Instanční objekty se službou Azure Kubernetes Service (AKS)

Potřebujete také nainstalované a nakonfigurované Rozhraní příkazového řádku Azure CLI verze 2.0.59 nebo novější. Verzi zjistíte spuštěním příkazu az --version. Pokud potřebujete instalaci nebo upgrade, přečtěte si téma Instalace Azure CLI.

Musíte mít nainstalovanou Azure PowerShell verze 5.0.0 nebo novější. Verzi zjistíte spuštěním příkazu Get-InstalledModule -Name Az. Pokud potřebujete instalaci nebo upgrade, podívejte se na modul Azure Az PowerShell.

Když vytvoříte cluster AKS v Azure Portal nebo pomocí příkazu az aks create, Azure vytvoří spravovanou identitu.

V následujícím příkladu rozhraní příkazového řádku Azure není zadán instanční objekt. V tomto scénáři Azure CLI vytvoří spravovanou identitu pro cluster AKS.

az aks create --name myAKSCluster --resource-group myResourceGroup

Když vytvoříte cluster AKS v Azure Portal nebo pomocí příkazu New-AzAksCluster, Azure může vygenerovat novou spravovanou identitu .

V následujícím Azure PowerShell příkladu není instanční objekt zadán. V tomto scénáři Azure PowerShell vytvoří spravovanou identitu pro cluster AKS.

New-AzAksCluster -Name myAKSCluster -ResourceGroupName myResourceGroup

Pokud chcete ručně vytvořit instanční objekt pomocí Azure CLI, použijte příkaz az ad sp create-for-rbac.

az ad sp create-for-rbac --name myAKSClusterServicePrincipal

Výstup se podobá následujícímu příkladu. Poznamenejte si sami appId a password. Tyto hodnoty se používají při vytváření clusteru AKS v další části.

{
  "appId": "559513bd-0c19-4c1a-87cd-851a26afd5fc",
  "displayName": "myAKSClusterServicePrincipal",
  "name": "http://myAKSClusterServicePrincipal",
  "password": "e763725a-5eee-40e8-a466-dc88d980f415",
  "tenant": "72f988bf-86f1-41af-91ab-2d7cd011db48"
}

Pokud chcete ručně vytvořit objekt služby pomocí Azure PowerShell, použijte příkaz New-AzADServicePrincipal. V následujícím příkladu parametr -SkipAssignment zakazuje jakékoli další přiřazení výchozích přiřazení:

New-AzADServicePrincipal -DisplayName myAKSClusterServicePrincipal -SkipAssignment -OutVariable sp

Výstup se podobá následujícímu příkladu. Hodnoty se také ukládají do proměnné, která se použije při vytváření clusteru AKS v další části.

Secret                : System.Security.SecureString
ServicePrincipalNames : {559513bd-0c19-4c1a-87cd-851a26afd5fc, http://myAKSClusterServicePrincipal}
ApplicationId         : 559513bd-0c19-4c1a-87cd-851a26afd5fc
ObjectType            : ServicePrincipal
DisplayName           : myAKSClusterServicePrincipal
Id                    : 559513bd-0c19-4c1a-87cd-851a26afd5fc
Type                  :

K dešifrování hodnoty uložené v zabezpečeném řetězci Tajné použijte následující příklad.

$BSTR = [System.Runtime.InteropServices.Marshal]::SecureStringToBSTR($sp.Secret)
[System.Runtime.InteropServices.Marshal]::PtrToStringAuto($BSTR)

Další informace najdete v tématu Vytvoření objektu služby Azure pomocí Azure PowerShell

Chcete-li použít existující instanční objekt, když vytváříte cluster AKS pomocí příkazu az aks create, použijte parametry --service-principal a --client-secret k určení appId a password z výstupu příkazu az ad sp create-for-rbac:

az aks create \
    --resource-group myResourceGroup \
    --name myAKSCluster \
    --service-principal <appId> \
    --client-secret <password>

Pokud nasadíte cluster AKS pomocí portálu Microsoft Azure, na stránce ověřování dialogového okna Vytvořit cluster Kubernetes zvolit Konfigurace instančního objektu. Vyberte Použít existující a zadejte následující hodnoty:

• ID klienta instančního objektu je vaše appId
• Tajný klíč klienta instančního objektu služby je hodnota hesla

Pokud chcete při vytváření clusteru AKS použít existující instanční objekt, budete muset instanční objekt převést na objekt PSCredential, jak je znázorněno ApplicationId Secret v následujícím příkladu.

$Cred = New-Object -TypeName System.Management.Automation.PSCredential ($sp.ApplicationId, $sp.Secret)

Při spuštění příkazu zadáte parametr s dříve vytvořeným objektem New-AzAksCluster ServicePrincipalIdAndSecret PSCredential jako jeho hodnotou.

New-AzAksCluster -ResourceGroupName myResourceGroup -Name myAKSCluster -ServicePrincipalIdAndSecret $Cred

Pokud nasadíte cluster AKS pomocí portálu Microsoft Azure, na stránce ověřování dialogového okna Vytvořit cluster Kubernetes zvolit Konfigurace instančního objektu. Vyberte Použít existující a zadejte následující hodnoty:

• ID klienta objektu služby je VAŠE ID aplikace.
• Tajný kód klienta objektu služby je dešifrovaná hodnota tajného klíče.

Pokud chcete delegovat oprávnění, vytvořte přiřazení role pomocí příkazu az role assignment create. appIdPřiřaďte k určitému oboru, například ke skupině prostředků nebo prostředku virtuální sítě. Role pak definuje, jaká oprávnění má instanční objekt k prostředku, jak je znázorněno v následujícím příkladu:

az role assignment create --assignee <appId> --scope <resourceScope> --role Contributor

Pro prostředek musí být úplné ID prostředku, například --scope /subscriptions/ <guid> /resourceGroups/myResourceGroup nebo /subscriptions/ <guid> /resourceGroups/myResourceGroupVnet/providers/Microsoft.Network/virtualNetworks/myVnet.

Pokud chcete delegovat oprávnění, vytvořte přiřazení role pomocí příkazu New-AzRoleAssignment. ApplicationIdPřiřaďte k určitému oboru, například ke skupině prostředků nebo prostředku virtuální sítě. Role pak definuje, jaká oprávnění má instanční objekt k prostředku, jak je znázorněno v následujícím příkladu:

New-AzRoleAssignment -ApplicationId <ApplicationId> -Scope <resourceScope> -RoleDefinitionName Contributor

Pro prostředek musí být úplné ID prostředku, například Scope /subscriptions/ <guid> /resourceGroups/myResourceGroup nebo /subscriptions/ <guid> /resourceGroups/myResourceGroupVnet/providers/Microsoft.Network/virtualNetworks/myVnet.

Pokud jako Azure Container Registry imagí kontejneru používáte službu ACR, musíte vašemu clusteru AKS udělit oprávnění ke čtení a čtení imagí. V současné době se doporučuje použít příkaz az aks create nebo az aks update k integraci s registrem a přiřazení příslušné role pro objekt služby. Podrobný postup najdete v tématu Ověřování pomocí Azure Container Registry z Azure Kubernetes Service.

Pokud jako Azure Container Registry imagí kontejneru používáte službu ACR, musíte vašemu clusteru AKS udělit oprávnění ke čtení a čtení imagí. V současné době se doporučuje použít příkaz New-AzAksCluster nebo Set-AzAksCluster k integraci s registrem a přiřazení příslušné role pro objekt služby. Podrobný postup najdete v tématu Ověřování pomocí Azure Container Registry z Azure Kubernetes Service.

Při použití instančních objektů služeb Azure AD a AKS mějte na paměti následující informace.

• Instanční objekt pro Kubernetes je součástí konfigurace clusteru. K nasazení clusteru ale nepoužívejte identitu.
• Ve výchozím nastavení jsou přihlašovací údaje instančního objektu platné po dobu jednoho roku. Přihlašovací údaje instančního objektu můžete kdykoli aktualizovat nebo otáčet .
• Každý instanční objekt je přidružený k aplikaci Azure AD. Instanční objekt pro cluster Kubernetes se dá přidružit k libovolnému platnému názvu aplikace Azure AD (například: https://www.contoso.org/example ). Adresa URL aplikace nemusí být skutečný koncový bod.
• Při zadávání ID klienta instančního objektu použijte hodnotu appId.
• Na virtuálních počítačích uzlů agentů v clusteru Kubernetes se přihlašovací údaje instančního objektu ukládají do souboru. /etc/kubernetes/azure.json
• Pokud použijete příkaz az aks create k automatickému vygenerování instančního objektu, zapíší se přihlašovací údaje instančního objektu do souboru ~/.azure/aksServicePrincipal.json na počítači, který jste ke spuštění příkazu použili.
• Pokud instanční objekt nebudete výslovně předávat v dalších příkazech rozhraní příkazového řádku AKS, použije se výchozí instanční objekt umístěný v ~/.azure/aksServicePrincipal.json .
• Volitelně můžete také odebrat soubor aksServicePrincipal. JSON a AKS vytvoří nový instanční objekt.
• Při odstraňování clusteru AKS vytvořeného příkazem az aks create se instanční objekt, který se vytvořil automaticky, neodstraní.

  • Pokud chcete odstranit instanční objekt, zadejte dotaz na svůj cluster servicePrincipalProfile. ClientID a pak ho odstraňte pomocí příkazu AZ AD SP Delete. Nahraďte následující názvy skupin prostředků a názvů clusterů vlastními hodnotami:

    az ad sp delete --id $(az aks show -g myResourceGroup -n myAKSCluster --query servicePrincipalProfile.clientId -o tsv)
    

Při použití instančních objektů služeb Azure AD a AKS mějte na paměti následující informace.

• Instanční objekt pro Kubernetes je součástí konfigurace clusteru. K nasazení clusteru ale nepoužívejte identitu.
• Ve výchozím nastavení jsou přihlašovací údaje instančního objektu platné po dobu jednoho roku. Přihlašovací údaje instančního objektu můžete kdykoli aktualizovat nebo otáčet .
• Každý instanční objekt je přidružený k aplikaci Azure AD. Instanční objekt pro cluster Kubernetes se dá přidružit k libovolnému platnému názvu aplikace Azure AD (například: https://www.contoso.org/example ). Adresa URL aplikace nemusí být skutečný koncový bod.
• Při zadávání ID klienta instančního objektu použijte hodnotu ApplicationId.
• Na virtuálních počítačích uzlů agentů v clusteru Kubernetes se přihlašovací údaje instančního objektu ukládají do souboru. /etc/kubernetes/azure.json
• Když použijete příkaz New-AzAksCluster k automatickému vygenerování instančního objektu, zapíší se přihlašovací údaje instančního objektu do souboru ~/.azure/acsServicePrincipal.json na počítači, který se používá ke spuštění příkazu.
• Pokud instanční objekt nebudete výslovně předávat v dalších příkazech PowerShellu AKS, použije se výchozí instanční objekt umístěný v ~/.azure/acsServicePrincipal.json .
• Volitelně můžete také odebrat soubor acsServicePrincipal. JSON a AKS vytvoří nový instanční objekt.
• Když odstraníte cluster AKS, který byl vytvořen pomocí New-AzAksCluster, objekt služby, který byl vytvořen automaticky, nebude odstraněn.

  • Pokud chcete odstranit instanční objekt, zadejte dotaz na svůj cluster ServicePrincipalProfile. ClientID a pak ho odstraňte pomocí Remove-AzADServicePrincipal. Nahraďte následující názvy skupin prostředků a názvů clusterů vlastními hodnotami:

    $ClientId = (Get-AzAksCluster -ResourceGroupName myResourceGroup -Name myAKSCluster ).ServicePrincipalProfile.ClientId
    Remove-AzADServicePrincipal -ApplicationId $ClientId
    

Azure CLI ukládá přihlašovací údaje instančního objektu pro cluster AKS do mezipaměti. Pokud vyprší platnost těchto přihlašovacích údajů, při nasazování clusterů AKS dojde k chybám. Při spuštění AZ AKS Create může znamenat problém s přihlašovacími údaji instančního objektu uloženého v mezipaměti následující chybová zpráva:

Operation failed with status: 'Bad Request'.
Details: The credentials in ServicePrincipalProfile were invalid. Please see https://aka.ms/aks-sp-help for more details.
(Details: adal: Refresh request failed. Status Code = '401'.

Pomocí následujícího příkazu zkontrolujte stáří souboru s přihlašovacími údaji.

ls -la $HOME/.azure/aksServicePrincipal.json

Výchozí čas vypršení platnosti přihlašovacích údajů instančního objektu je jeden rok. Pokud je soubor aksServicePrincipal. JSON starší než jeden rok, odstraňte soubor a pokuste se znovu nasadit cluster AKS.

Přihlašovací údaje instančního objektu pro cluster AKS se ukládají do mezipaměti Azure PowerShell. Pokud vyprší platnost těchto přihlašovacích údajů, při nasazování clusterů AKS dojde k chybám. Při spuštění New-AzAksCluster může indikovat problém s přihlašovacími údaji instančního objektu uloženého v mezipaměti následující chybová zpráva:

Operation failed with status: 'Bad Request'.
Details: The credentials in ServicePrincipalProfile were invalid. Please see https://aka.ms/aks-sp-help for more details.
(Details: adal: Refresh request failed. Status Code = '401'.

Pomocí následujícího příkazu zkontrolujte stáří souboru s přihlašovacími údaji.

Get-ChildItem -Path $HOME/.azure/aksServicePrincipal.json

Výchozí čas vypršení platnosti přihlašovacích údajů instančního objektu je jeden rok. Pokud je soubor aksServicePrincipal. JSON starší než jeden rok, odstraňte soubor a pokuste se znovu nasadit cluster AKS.