Sdílet prostřednictvím

Aktualizace nebo obměna přihlašovacích údajů pro cluster Azure Kubernetes Service (AKS)

  • Článek

Clustery AKS vytvořené pomocí instančního objektu mají roční dobu vypršení platnosti. Při blížícím se datu vypršení platnosti můžete resetovat přihlašovací údaje, abyste instanční objekt rozšířili o další časové období. Přihlašovací údaje můžete také aktualizovat nebo otočit jako součást definovaných zásad zabezpečení. Clustery AKS integrované s ID Microsoft Entra jako zprostředkovatel ověřování mají dvě další identity: aplikaci Microsoft Entra Server a klientskou aplikaci Microsoft Entra. Tento článek podrobně popisuje aktualizaci instančního objektu a přihlašovacích údajů Microsoft Entra pro cluster AKS.

Poznámka:

Případně můžete použít spravovanou identitu pro oprávnění místo instančního objektu. Spravované identity nevyžadují aktualizace ani obměny. Další informace najdete v tématu Použití spravovaných identit.

Než začnete

Potřebujete nainstalované a nakonfigurované Rozhraní příkazového řádku Azure CLI verze 2.0.65 nebo novější. Verzi zjistíte spuštěním příkazu az --version. Pokud potřebujete instalaci nebo upgrade, přečtěte si téma Instalace Azure CLI.

Aktualizace nebo vytvoření nového instančního objektu pro cluster AKS

Pokud chcete aktualizovat přihlašovací údaje pro cluster AKS, můžete zvolit jednu z těchto akcí:

  • Aktualizujte přihlašovací údaje pro existující instanční objekt.
  • Vytvořte nový instanční objekt a aktualizujte cluster tak, aby používal tyto nové přihlašovací údaje.

Upozorňující

Pokud se rozhodnete vytvořit nový instanční objekt, počkejte přibližně 30 minut, než se oprávnění instančního objektu rozšíří do všech oblastí. Dokončení aktualizace velkého clusteru AKS na používání těchto přihlašovacích údajů může trvat dlouhou dobu.

Kontrola data ukončení platnosti instančního objektu

Ke kontrole data vypršení platnosti instančního objektu az ad app credential list použijte příkaz. Následující příklad získá ID instančního objektu $CLUSTER_NAME pro cluster ve $RESOURCE_GROUP_NAME skupině prostředků pomocí az aks show příkazu. ID instančního objektu je nastaveno jako proměnná s názvem SP_ID.

SP_ID=$(az aks show --resource-group $RESOURCE_GROUP_NAME --name $CLUSTER_NAME \
    --query servicePrincipalProfile.clientId -o tsv)
az ad app credential list --id "$SP_ID" --query "[].endDateTime" -o tsv

Resetování existujících přihlašovacích údajů instančního objektu

Pokud chcete aktualizovat přihlašovací údaje pro existující instanční objekt, pomocí příkazu získejte ID instančního objektu vašeho clusteru az aks show . Následující příklad získá ID clusteru $CLUSTER_NAME ve skupině $RESOURCE_GROUP_NAME prostředků. Proměnná s názvem SP_ID ukládá ID instančního objektu použitého v dalším kroku. Tyto příkazy používají jazyk příkazů Bash.

Upozorňující

Když resetujete přihlašovací údaje clusteru v clusteru AKS, který používá škálovací sady virtuálních počítačů Azure, provede se upgrade image uzlu, aby se uzly aktualizovaly informacemi o nových přihlašovacích údajích.

SP_ID=$(az aks show --resource-group $RESOURCE_GROUP_NAME --name $CLUSTER_NAME \
    --query servicePrincipalProfile.clientId -o tsv)

Pomocí proměnné SP_ID obsahující ID instančního objektu az ad app credential reset resetujte přihlašovací údaje pomocí příkazu. Následující příklad umožňuje platformě Azure vygenerovat nový zabezpečený tajný klíč pro instanční objekt a uložit ho jako proměnnou s názvem SP_SECRET.

SP_SECRET=$(az ad app credential reset --id "$SP_ID" --query password -o tsv)

Dále aktualizujete cluster AKS pomocí přihlašovacích údajů instančního objektu. Tento krok je nezbytný k aktualizaci instančního objektu v clusteru AKS.

Vytvoření nového instančního objektu

Poznámka:

Pokud jste aktualizovali stávající přihlašovací údaje instančního objektu v předchozí části, přeskočte tuto část a místo toho aktualizujte cluster AKS pomocí přihlašovacích údajů instančního objektu.

Pokud chcete vytvořit instanční objekt a aktualizovat cluster AKS tak, aby používal nové přihlašovací údaje, použijte az ad sp create-for-rbac tento příkaz.

az ad sp create-for-rbac --role Contributor --scopes /subscriptions/$SUBSCRIPTION_ID

Výstup je podobný následujícímu příkladu výstupu. Poznamenejte si vlastní a appIdpassword použijte ho v dalším kroku.

{
  "appId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
  "name": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
  "password": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
  "tenant": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
}

Definujte proměnné pro ID instančního objektu a tajný klíč klienta pomocí výstupu az ad sp create-for-rbac spuštění příkazu. SP_ID je appId a SP_SECRET je vaše heslo.

SP_ID=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
SP_SECRET=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

Dále aktualizujete cluster AKS pomocí nových přihlašovacích údajů instančního objektu. Tento krok je nezbytný k aktualizaci clusteru AKS pomocí nových přihlašovacích údajů instančního objektu.

Aktualizace clusteru AKS pomocí přihlašovacích údajů instančního objektu

Důležité

U velkých clusterů může aktualizace clusteru AKS pomocí nového instančního objektu trvat dlouhou dobu. Zvažte kontrolu a přizpůsobení nastavení upgradu přechodu uzlu, abyste minimalizovali přerušení během aktualizace. U malých a středně velkého clusteru trvá aktualizace nových přihlašovacích údajů v clusteru několik minut.

Spuštěním az aks update-credentials příkazu aktualizujte cluster AKS pomocí nových nebo existujících přihlašovacích údajů.

az aks update-credentials \
    --resource-group $RESOURCE_GROUP_NAME \
    --name $CLUSTER_NAME \
    --reset-service-principal \
    --service-principal "$SP_ID" \
    --client-secret "${SP_SECRET}"

Aktualizace clusteru AKS pomocí nových přihlašovacích údajů aplikace Microsoft Entra

Nové serverové a klientské aplikace Microsoft Entra můžete vytvořit pomocí kroků integrace Microsoft Entra nebo obnovit stávající aplikace Microsoft Entra stejným způsobem jako pro resetování instančního objektu. Potom je potřeba aktualizovat přihlašovací údaje aplikace Microsoft Entra clusteru az aks update-credentials pomocí příkazu s proměnnými --reset-aad .

az aks update-credentials \
    --resource-group $RESOURCE_GROUP_NAME \
    --name $CLUSTER_NAME \
    --reset-aad \
    --aad-server-app-id $SERVER_APPLICATION_ID \
    --aad-server-app-secret $SERVER_APPLICATION_SECRET \
    --aad-client-app-id $CLIENT_APPLICATION_ID

Další kroky

V tomto článku jste zjistili, jak aktualizovat nebo otočit instanční objekt a přihlašovací údaje aplikace Microsoft Entra. Další informace o tom, jak používat správu identity pro úlohy v clusteru AKS, najdete v tématu Osvědčené postupy pro ověřování a autorizaci v AKS.