Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Klastry usługi AKS utworzone za pomocą jednostki usługi mają roczny czas wygaśnięcia. Gdy zbliżasz się do daty wygaśnięcia, możesz zresetować poświadczenia, aby przedłużyć jednostkę usługi przez dodatkowy okres. Możesz również zaktualizować lub obrócić poświadczenia w ramach zdefiniowanych zasad zabezpieczeń. Klastry usługi AKS zintegrowane z identyfikatorem Entra firmy Microsoft jako dostawcą uwierzytelniania mają jeszcze dwie tożsamości: aplikację Microsoft Entra Server i aplikację kliencką firmy Microsoft Entra. W tym artykule opisano sposób aktualizowania jednostki usługi i poświadczeń usługi Microsoft Entra dla klastra usługi AKS.
Uwaga
Alternatywnie można użyć tożsamości zarządzanej dla uprawnień zamiast głównego składnika usługi. Tożsamości zarządzane nie wymagają aktualizacji ani rotacji. Aby uzyskać więcej informacji, zobacz Używanie tożsamości zarządzanych.
Zanim rozpoczniesz
Potrzebny jest interfejs wiersza polecenia platformy Azure w wersji 2.0.65 lub nowszej, zainstalowany i skonfigurowany. Uruchom polecenie az --version, aby dowiedzieć się, jaka wersja jest używana. Jeśli konieczna będzie instalacja lub uaktualnienie, zobacz Instalowanie interfejsu wiersza polecenia platformy Azure.
Aktualizowanie lub tworzenie nowej jednostki usługi dla klastra usługi AKS
Jeśli chcesz zaktualizować poświadczenia klastra usługi AKS, możesz wybrać jedną z następujących opcji:
- Zaktualizuj poświadczenia dla istniejącego podmiotu usługi.
- Utwórz nową jednostkę usługi i zaktualizuj klaster, aby używał tych nowych poświadczeń.
Ostrzeżenie
Jeśli zdecydujesz się utworzyć nową jednostkę usługi, poczekaj około 30 minut na propagację uprawnień jednostki usługi we wszystkich regionach. Aktualizowanie dużego klastra usługi AKS w celu używania tych poświadczeń może zająć dużo czasu.
Sprawdź datę wygaśnięcia głównej usługi
Aby sprawdzić datę wygaśnięcia jednostki usługi, użyj az ad app credential list polecenia . Poniższy przykład pobiera identyfikator jednostki usługi dla klastra $CLUSTER_NAME w $RESOURCE_GROUP_NAME grupie zasobów przy użyciu az aks show polecenia . Identyfikator jednostki usługi jest ustawiany jako zmienna o nazwie SP_ID.
SP_ID=$(az aks show --resource-group $RESOURCE_GROUP_NAME --name $CLUSTER_NAME \
--query servicePrincipalProfile.clientId -o tsv)
az ad app credential list --id "$SP_ID" --query "[].endDateTime" -o tsv
Resetowanie istniejących poświadczeń głównego użytkownika usługi
Aby zaktualizować poświadczenia dla istniejącego podmiotu zabezpieczeń, pobierz ID podmiotu zabezpieczeń klastra za pomocą polecenia az aks show. Poniższy przykład uzyskuje identyfikator dla klastra $CLUSTER_NAME w grupie zasobów $RESOURCE_GROUP_NAME. Zmienna o nazwie SP_ID przechowuje identyfikator jednostki usługi używany w następnym kroku. Te polecenia używają języka poleceń powłoki Bash.
Ostrzeżenie
Po zresetowaniu poświadczeń w klastrze AKS korzystającym z zestawów skalowania maszyn wirtualnych platformy Azure, przeprowadzane jest uaktualnienie obrazu węzła w celu zaktualizowania węzłów przy użyciu nowych informacji o poświadczeniach.
SP_ID=$(az aks show --resource-group $RESOURCE_GROUP_NAME --name $CLUSTER_NAME \
--query servicePrincipalProfile.clientId -o tsv)
Użyj zmiennej SP_ID, która zawiera identyfikator głównego użytkownika usługi, aby zresetować poświadczenia przy użyciu polecenia az ad app credential reset. Poniższy przykład umożliwia platformie Azure wygenerowanie nowego bezpiecznego wpisu tajnego dla jednostki usługi i zapisanie go jako zmiennej o nazwie SP_SECRET.
SP_SECRET=$(az ad app credential reset --id "$SP_ID" --query password -o tsv)
Następnie zaktualizujesz klaster usługi AKS przy użyciu poświadczeń głównego konta usługi. Ten krok jest niezbędny do zaktualizowania jednostki usługi w klastrze usługi AKS.
Utwórz nową nazwę główną usługi
Uwaga
Jeśli w poprzedniej sekcji zaktualizowano istniejące poświadczenia jednostki usługi, pomiń tę sekcję i zamiast tego zaktualizuj klaster usługi AKS przy użyciu poświadczeń jednostki usługi.
Aby utworzyć jednostkę usługi i zaktualizować klaster usługi AKS w celu użycia nowego poświadczenia, użyj polecenia az ad sp create-for-rbac.
az ad sp create-for-rbac --role Contributor --scopes /subscriptions/$SUBSCRIPTION_ID
Dane wyjściowe są podobne do następujących przykładowych danych wyjściowych. Zanotuj swoje appId i password, aby użyć ich w następnym kroku.
{
"appId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"name": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"password": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"tenant": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
}
Zdefiniuj zmienne dla identyfikatora głównego użytkownika usługi i klucza tajnego klienta, korzystając z danych wyjściowych uzyskanych z uruchomienia polecenia az ad sp create-for-rbac.
SP_ID to appId, a SP_SECRET to twoje hasło.
SP_ID=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
SP_SECRET=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Następnie zaktualizujesz klaster AKS przy użyciu nowego poświadczenia pryncypała usługi. Ten krok jest niezbędny do zaktualizowania klastra usługi AKS przy użyciu nowego poświadczenia jednostki usługi.
Aktualizowanie klastra usługi AKS przy użyciu poświadczeń jednostki usługi
Ważne
W przypadku dużych klastrów aktualizowanie klastra usługi AKS przy użyciu nowej jednostki usługi może zająć dużo czasu. Rozważ przejrzenie i dostosowanie ustawień aktualizacji zwiększającej przepustowość węzła, aby zminimalizować zakłócenia podczas aktualizacji. W przypadku małych i średnich klastrów aktualizacja nowych poświadczeń w klastrze trwa kilka minut.
Zaktualizuj klaster AKS, korzystając z nowych lub istniejących poświadczeń, uruchamiając polecenie az aks update-credentials.
az aks update-credentials \
--resource-group $RESOURCE_GROUP_NAME \
--name $CLUSTER_NAME \
--reset-service-principal \
--service-principal "$SP_ID" \
--client-secret "${SP_SECRET}"
Aktualizowanie klastra AKS przy użyciu nowych poświadczeń aplikacji Microsoft Entra
Możesz utworzyć nowe serwery Microsoft Entra i aplikacje klienckie, wykonując kroki integracji Microsoft Entra lub resetując istniejące aplikacje Microsoft Entra zgodnie z tę samą metodą jak przy resetowaniu zasobu głównego. Następnie należy zaktualizować poświadczenia aplikacji Microsoft Entra klastra przy użyciu az aks update-credentials polecenia ze zmiennymi --reset-aad .
az aks update-credentials \
--resource-group $RESOURCE_GROUP_NAME \
--name $CLUSTER_NAME \
--reset-aad \
--aad-server-app-id $SERVER_APPLICATION_ID \
--aad-server-app-secret $SERVER_APPLICATION_SECRET \
--aad-client-app-id $CLIENT_APPLICATION_ID
Następne kroki
W tym artykule przedstawiono sposób aktualizowania lub obracania jednostki usługi i poświadczeń aplikacji Microsoft Entra. Aby uzyskać więcej informacji na temat używania zarządzanej tożsamości dla obciążeń w klastrze usługi AKS, zobacz Najlepsze praktyki dotyczące uwierzytelniania i autoryzacji w usłudze AKS.