Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Os clusters AKS criados com um service principal têm um tempo de expiração de um ano. Quando se aproxima da data de expiração, pode redefinir as credenciais para estender o principal de serviço por um período adicional. Você também pode querer atualizar ou rotar as credenciais como parte de uma política de segurança definida. Os clusters AKS integrados com o Microsoft Entra ID como um provedor de autenticação têm mais duas identidades: o Microsoft Entra Server App e o Microsoft Entra Client App. Este artigo detalha como atualizar o principal de serviço e as credenciais do Microsoft Entra para um cluster AKS.
Note
Como alternativa, pode usar uma identidade gerida para permissões em vez de um principal de serviço. As identidades gerenciadas não exigem atualizações ou rotações. Para obter mais informações, consulte Usar identidades gerenciadas.
Antes de começar
Você precisa da CLI do Azure versão 2.0.65 ou posterior instalada e configurada. Executar az --version para localizar a versão. Se precisar de instalar ou atualizar, consulte Install Azure CLI.
Atualizar ou criar um novo service principal para o cluster AKS
Quando quiser atualizar as credenciais de um cluster AKS, você pode optar por:
- Atualizar as credenciais da entidade de serviço existente.
- Crie um novo principal de serviço e atualize o cluster para usar essas novas credenciais.
Warning
Se você optar por criar uma nova entidade de serviço, aguarde cerca de 30 minutos para que a permissão da entidade de serviço se propague por todas as regiões. A atualização de um cluster AKS grande para usar essas credenciais pode levar muito tempo para ser concluída.
Verifique a data de expiração do principal de serviço
Para verificar a data de expiração do principal de serviço, use o comando az ad app credential list. O exemplo a seguir obtém a ID da entidade de serviço para o cluster $CLUSTER_NAME no grupo de recursos $RESOURCE_GROUP_NAME usando o comando az aks show. O ID da entidade de serviço é definido como uma variável chamada SP_ID.
SP_ID=$(az aks show --resource-group $RESOURCE_GROUP_NAME --name $CLUSTER_NAME \
--query servicePrincipalProfile.clientId -o tsv)
az ad app credential list --id "$SP_ID" --query "[].endDateTime" -o tsv
Redefinir as credenciais da entidade de serviço existente
Para atualizar as credenciais de uma entidade de serviço existente, obtenha a ID da entidade de serviço do cluster usando o az aks show comando. O exemplo a seguir obtém a ID do $CLUSTER_NAME cluster no grupo de recursos $RESOURCE_GROUP_NAME. A variável chamada SP_ID armazena o identificador principal de serviço usado na próxima etapa. Esses comandos usam a linguagem de comando Bash.
Warning
Quando você redefine suas credenciais de cluster em um cluster AKS que usa Conjuntos de Escala de Máquina Virtual do Azure, uma atualização de imagem de nó é executada para atualizar seus nós com as novas informações de credencial.
SP_ID=$(az aks show --resource-group $RESOURCE_GROUP_NAME --name $CLUSTER_NAME \
--query servicePrincipalProfile.clientId -o tsv)
Use a variável SP_ID que contém a ID da entidade de serviço para redefinir as credenciais usando o az ad app credential reset comando. O exemplo a seguir permite que a plataforma Azure gere um novo segredo seguro para a entidade de serviço e o armazene como uma variável chamada SP_SECRET.
SP_SECRET=$(az ad app credential reset --id "$SP_ID" --query password -o tsv)
Em seguida, atualize o cluster AKS com as credenciais da entidade de serviço. Esta etapa é necessária para atualizar o principal de serviço no cluster AKS.
Criar um novo principal de serviço
Note
Se você atualizou as credenciais da entidade de serviço existente na seção anterior, ignore esta seção e, em vez disso, atualize o cluster AKS com as credenciais da entidade de serviço.
Para criar uma entidade de serviço e atualizar o cluster AKS para usar a nova credencial, use o az ad sp create-for-rbac comando.
az ad sp create-for-rbac --role Contributor --scopes /subscriptions/$SUBSCRIPTION_ID
A saída é semelhante à saída de exemplo a seguir. Anote os seus próprios appId e password para usar na próxima etapa.
{
"appId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"name": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"password": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"tenant": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
}
Defina variáveis para o ID da entidade de serviço e o segredo do cliente utilizando a saída do comando az ad sp create-for-rbac. O SP_ID é o appId e o SP_SECRET é a sua senha.
SP_ID=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
SP_SECRET=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Em seguida, atualize o cluster AKS com a nova credencial da entidade de serviço. Esta etapa é necessária para atualizar o cluster AKS com a nova credencial da entidade de serviço.
Atualizar cluster AKS com credenciais de entidade de serviço
Important
Para clusters grandes, a atualização do cluster AKS com um novo principal de serviço pode demorar bastante a concluir. Considere rever e personalizar as configurações de atualização de pico de nós para minimizar a interrupção durante a atualização de software. Para clusters pequenos e médios, leva alguns minutos para que as novas credenciais sejam atualizadas no cluster.
Atualize o cluster AKS com suas credenciais novas ou existentes executando o az aks update-credentials comando.
az aks update-credentials \
--resource-group $RESOURCE_GROUP_NAME \
--name $CLUSTER_NAME \
--reset-service-principal \
--service-principal "$SP_ID" \
--client-secret "${SP_SECRET}"
Atualizar cluster AKS com novas credenciais de aplicativo Microsoft Entra
Você pode criar novos aplicativos cliente e servidor Microsoft Entra seguindo as etapas de integração do Microsoft Entra ou redefinir seus aplicativos Microsoft Entra existentes seguindo o mesmo método da redefinição da entidade de serviço. Depois disso, você precisa atualizar as credenciais do aplicativo Microsoft Entra do cluster usando o az aks update-credentials comando com as variáveis --reset-aad .
az aks update-credentials \
--resource-group $RESOURCE_GROUP_NAME \
--name $CLUSTER_NAME \
--reset-aad \
--aad-server-app-id $SERVER_APPLICATION_ID \
--aad-server-app-secret $SERVER_APPLICATION_SECRET \
--aad-client-app-id $CLIENT_APPLICATION_ID
Próximos passos
Neste artigo, você aprendeu como atualizar ou rodar o principal de serviço e as credenciais do aplicativo Microsoft Entra. Para obter mais informações sobre como usar uma identidade de gerenciamento para cargas de trabalho dentro de um cluster AKS, consulte Práticas recomendadas para autenticação e autorização no AKS.