Felügyelt identitás használata az Azure Kubernetes Service-ben (AKS)
Az Azure Kubernetes Service- (AKS-) fürtök identitást igényelnek az Azure-erőforrások, például a terheléselosztók és a felügyelt lemezek eléréséhez. Az identitás lehet felügyelt identitás vagy szolgáltatásnév.
Ez a cikk részletesen bemutatja, hogyan engedélyezheti a következő felügyelt identitástípusokat egy új vagy meglévő AKS-fürtön:
- Rendszer által hozzárendelt felügyelt identitás
- Saját felhasználó által hozzárendelt felügyelt identitás létrehozása
- Előre létrehozott Kubelet felügyelt identitás
Áttekintés
AKS-fürtök üzembe helyezésekor a rendszer automatikusan létrehoz egy rendszer által hozzárendelt felügyelt identitást, amelyet az Azure platform felügyel, így nem kell titkos kulcsokat kiépítenie vagy elforgatnia. További információkért tekintse meg az Azure-erőforrások felügyelt identitását.
Az AKS nem hoz létre automatikusan szolgáltatásnevet, ezért létre kell hoznia egyet. A szolgáltatásnevet használó fürtök végül lejárnak, és a szolgáltatásnevet meg kell újítani, hogy ne legyen hatással az identitással való fürthitelesítésre. A szolgáltatásnevek kezelése összetettebbé teszi a szolgáltatást, így egyszerűbb a felügyelt identitások használata. Ugyanezek az engedélykövetelmények vonatkoznak a szolgáltatásnevekre és a felügyelt identitásokra is. A felügyelt identitások tanúsítványalapú hitelesítést használnak. Minden felügyelt identitás hitelesítő adatai 90 napos lejárati idővel rendelkeznek, és 45 nap után lesznek beállítva.
Az AKS mind a rendszer által hozzárendelt, mind a felhasználó által hozzárendelt felügyelt identitástípusokat használja, és ezek az identitások nem módosíthatók. Ezeket az identitástípusokat nem szabad összekeverni a Microsoft Entra Számítási feladatok identitásával, amelyet podon futó alkalmazás használ.
Fontos
Az Azure Kubernetes Service nyílt forráskód Microsoft Entra pod által felügyelt identitása (előzetes verzió) 2022.10.24-én elavult, a projekt pedig 2023 szeptemberében archiválva lett. További információt az elavulásról szóló közleményben talál. Az AKS által felügyelt bővítmény 2024 szeptemberében kezdi elavulni.
Javasoljuk, hogy először tekintse át Microsoft Entra Számítási feladat ID áttekintést. Az Entra Számítási feladat ID hitelesítés felváltja a Microsoft Entra pod által felügyelt identitást (előzetes verzió), és ajánlott módszer arra, hogy egy podon futó alkalmazás hitelesítse magát más, az azt támogató Azure-szolgáltatásokon.
Mielőtt elkezdené
Győződjön meg arról, hogy telepítve van az Azure CLI 2.23.0-s vagy újabb verziója. A verzió azonosításához futtassa a következőt:
az --version
. Ha telepíteni vagy frissíteni szeretne: Az Azure CLI telepítése.Az előre létrehozott kubelet felügyelt identitás használatához telepítenie kell az Azure CLI 2.26.0-s vagy újabb verzióját.
A felügyelt identitás meglévő fürtön való frissítéséhez telepítve kell lennie az Azure CLI 2.49.0-s vagy újabb verziójának.
Korlátozások
- A felügyelt identitással kompatibilis fürtöket áthelyező vagy migráló bérlők nem támogatottak.
- Ha a fürtben engedélyezve van a Microsoft Entra pod által felügyelt identitás (
aad-pod-identity
) használata, a csomópontok által felügyelt identitás (NMI) podjai módosítják a csomópontok iptable-jait, hogy elfogják az Azure-példány metaadatainak (IMDS) végpontjára irányuló hívásokat. Ez a konfiguráció azt jelenti, hogy a metaadat-végpontra irányuló kéréseket az NMI elfogja, még akkor is, ha a pod nem használjaaad-pod-identity
. Az AzurePodIdentityException CRD konfigurálható úgy, hogy a CRD-ben definiált címkéknek megfelelő podból származó metaadat-végpontra irányuló kéréseket azaad-pod-identity
NMI-ben történő feldolgozás nélkül lehessen megadni. Az AzurePodIdentityException CRD konfigurálásával ki kell zárni a kube-rendszer névterébenaad-pod-identity
címkével ellátottkubernetes.azure.com/managedby: aks
rendszer podokat.- További információ: Microsoft Entra ID-pod-identity letiltása egy adott podhoz vagy alkalmazáshoz.
- A kivétel konfigurálásához telepítse a mikrofonkivételi YAML-t.
- Az AKS nem támogatja a rendszer által hozzárendelt felügyelt identitás használatát egyéni privát DNS-zóna használatakor.
Felügyelt identitások összegzése
Az AKS számos felügyelt identitást használ a beépített szolgáltatásokhoz és bővítményekhez.
Identitás | Név | Használati eset | Alapértelmezett engedélyek | Saját identitás létrehozása |
---|---|---|---|---|
Vezérlősík | AKS-fürt neve | Az AKS vezérlősík-összetevői használják a fürterőforrások kezelésére, beleértve a bejövő terheléselosztókat és az AKS által felügyelt nyilvános IP-címeket, a fürt automatikus skálázását, az Azure Disket, a Fájlokat és a Blob CSI-illesztőprogramokat. | Közreműködői szerepkör a Csomópont erőforráscsoporthoz | Támogatott |
Kubelet | AKS-fürt név-ügynökkészlete | Hitelesítés az Azure Container Registry (ACR) használatával. | N/A (kubernetes v1.15+) | Támogatott |
Alkalmazáson belüli | AzureNPM | Nincs szükség identitásra. | n/a | Nem |
Alkalmazáson belüli | AzureCNI hálózatfigyelés | Nincs szükség identitásra. | n/a | Nem |
Alkalmazáson belüli | azure-policy (gatekeeper) | Nincs szükség identitásra. | n/a | Nem |
Alkalmazáson belüli | azure-policy | Nincs szükség identitásra. | n/a | Nem |
Alkalmazáson belüli | Calico | Nincs szükség identitásra. | n/a | Nem |
Alkalmazáson belüli | Irányítópult | Nincs szükség identitásra. | n/a | Nem |
Alkalmazáson belüli | alkalmazás-útválasztás | Azure DNS- és Azure Key Vault-tanúsítványok kezelése | A Key Vault titkos kulcstartójának felhasználói szerepköre, a DNS-zónák DNZ-zóna közreműködői szerepköre, saját DNS privát DNS-zónák zóna-közreműködői szerepköre | Nem |
Alkalmazáson belüli | HTTPApplicationRouting | Kezeli a szükséges hálózati erőforrásokat. | Olvasói szerepkör a csomópont erőforráscsoportjában, a DNS-zóna közreműködői szerepköre | Nem |
Alkalmazáson belüli | Bejövő alkalmazásátjáró | Kezeli a szükséges hálózati erőforrásokat. | Közreműködői szerepkör a csomópont erőforráscsoporthoz | Nem |
Alkalmazáson belüli | omsagent | AKS-metrikák azure monitorba küldésére szolgál. | Metrika közzétevői szerepkör figyelése | Nem |
Alkalmazáson belüli | Virtuális csomópont (ACI Csatlakozás or) | Kezeli az Azure Container Instances (ACI) szükséges hálózati erőforrásait. | Közreműködői szerepkör a csomópont erőforráscsoporthoz | Nem |
Alkalmazáson belüli | Költségelemzés | Költségfelosztási adatok gyűjtésére szolgál | ||
Számítási feladatok identitása | Microsoft Entra számítási feladat azonosítója | Lehetővé teszi az alkalmazások számára a felhőbeli erőforrások biztonságos elérését a Microsoft Entra számítási feladatazonosítójával. | n/a | Nem |
Felügyelt identitások engedélyezése új AKS-fürtön
Feljegyzés
Az AKS létrehoz egy felhasználó által hozzárendelt kubelet-identitást a csomópont erőforráscsoportjában, ha nem adja meg a saját kubelet felügyelt identitását.
Feljegyzés
Ha a fürt már használ felügyelt identitást, és az identitás módosult, például a fürt identitástípusát a rendszer által hozzárendeltről a felhasználó által hozzárendeltre frissíti, a vezérlősík összetevői késve váltanak az új identitásra. A vezérlősík összetevői a régi identitást használják a jogkivonat lejáratáig. A jogkivonat frissítése után átváltanak az új identitásra. Ez a folyamat több órát is igénybe vehet.
Hozzon létre egy Azure-erőforráscsoportot a
az group create
paranccsal.az group create --name myResourceGroup --location westus2
Hozzon létre egy AKS-fürtöt a
az aks create
paranccsal.az aks create -g myResourceGroup -n myManagedCluster --enable-managed-identity
Hitelesítő adatok lekérése a fürt eléréséhez a
az aks get-credentials
parancs használatával.az aks get-credentials --resource-group myResourceGroup --name myManagedCluster
Felügyelt identitások engedélyezése meglévő AKS-fürtön
A rendszer által hozzárendelt felügyelt identitás használatához szolgáltatásnévvel rendelkező meglévő AKS-fürt frissítéséhez futtassa a az aks update
parancsot.
az aks update -g myResourceGroup -n myManagedCluster --enable-managed-identity
A fürt frissítése után a vezérlősík és a podok a felügyelt identitást használják. A Kubelet az ügynökkészlet frissítéséig továbbra is használja a szolgáltatásnevet. A csomópontok parancsával az aks nodepool upgrade --resource-group myResourceGroup --cluster-name myAKSCluster --name mynodepool --node-image-only
frissíthet egy felügyelt identitásra. A csomópontkészletek frissítése állásidőt okoz az AKS-fürt számára, mivel a csomópontkészletek csomópontjai kordonozott/ürített és újraimagozott állapotban vannak.
Feljegyzés
A fürt frissítésekor tartsa szem előtt az alábbi információkat:
A frissítés csak akkor működik, ha egy VHD-frissítést fel kell használni. Ha a legújabb VHD-t futtatja, meg kell várnia, amíg a következő virtuális merevlemez elérhetővé válik a frissítés végrehajtásához.
Az Azure CLI biztosítja, hogy a bővítmény engedélye megfelelően legyen beállítva az áttelepítés után. Ha nem az Azure CLI-t használja a migrálási művelet végrehajtásához, akkor egyedül kell kezelnie a bővítményi identitás engedélyét. Azure Resource Manager-sablont használó példáért lásd: Azure-szerepkörök hozzárendelése ARM-sablonokkal.
Ha a fürt lemezképeket használt
--attach-acr
az Azure Container Registryből való lekéréshez, a fürt frissítése után futtatnia kell aaz aks update --resource-group myResourceGroup --name myAKSCluster --attach-acr <ACR resource ID>
parancsot, hogy a felügyelt identitáshoz használt újonnan létrehozott kubelet megkapja az engedélyt az ACR-ből való lekérésre. Ellenkező esetben a frissítés után nem tud lekérni az ACR-ből.
Szerepkör-hozzárendelés hozzáadása felügyelt identitáshoz
Amikor saját virtuális hálózatot hoz létre és használ, csatolja az Azure-lemezeket, a statikus IP-címet, az útvonaltáblát vagy a felhasználó által hozzárendelt kubelet-identitást, ahol az erőforrások a feldolgozó csomópont erőforráscsoportján kívül vannak, az Azure CLI automatikusan hozzáadja a szerepkör-hozzárendelést. Ha ARM-sablont vagy más módszert használ, a fürt által felügyelt identitás egyszerű azonosítójával kell elvégeznie egy szerepkör-hozzárendelést.
Ha nem az Azure CLI-t használja, de saját virtuális hálózatot használ, csatolja az Azure-lemezeket, a statikus IP-címet, az útvonaltáblát vagy a felhasználó által hozzárendelt kubelet-identitást, amely kívül esik a feldolgozó csomópont erőforráscsoportján, javasoljuk, hogy a vezérlősíkhoz felhasználó által hozzárendelt felügyelt identitást használjon. Ahhoz, hogy a vezérlősík rendszer által hozzárendelt felügyelt identitást használjon, nem tudjuk lekérni az identitásazonosítót a fürt létrehozása előtt, ami késlelteti a szerepkör-hozzárendelés érvénybe lépését.
A felügyelt identitás egyszerű azonosítójának lekérése
Kérje le a meglévő identitás egyszerű azonosítóját a
az identity show
parancs használatával.az identity show --ids <identity-resource-id>
A kimenetnek a következő példakimenethez kell hasonlítania:
{ "clientId": "<client-id>", "id": "/subscriptions/<subscriptionid>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myIdentity", "location": "eastus", "name": "myIdentity", "principalId": "<principal-id>", "resourceGroup": "myResourceGroup", "tags": {}, "tenantId": "<tenant-id>", "type": "Microsoft.ManagedIdentity/userAssignedIdentities" }
Szerepkör-hozzárendelés hozzáadása
Az alapértelmezett feldolgozócsomópont-erőforráscsoporton kívüli virtuális hálózat, csatolt Azure-lemez, statikus IP-cím vagy útvonaltábla esetében hozzá kell rendelnie a Contributor
szerepkört az egyéni erőforráscsoporthoz.
Rendelje hozzá a szerepkört
Contributor
az egyéni erőforráscsoporthoz aaz role assignment create
paranccsal.az role assignment create --assignee <control-plane-identity-principal-id> --role "Contributor" --scope "<custom-resource-group-resource-id>"
Ha a felhasználó által hozzárendelt kubelet-identitás az alapértelmezett feldolgozó csomópont erőforráscsoportján kívül van, a felügyelt identitáskezelő szerepkört kell hozzárendelnie a kubelet-identitáshoz a vezérlősík felügyelt identitásához.
Rendelje hozzá a
Managed Identity Operator
szerepkört a kubelet-identitáshoz aaz role assignment create
paranccsal.az role assignment create --assignee <control-plane-identity-principal-id> --role "Managed Identity Operator" --scope "<kubelet-identity-resource-id>"
Feljegyzés
A fürt felügyelt identitásához megadott engedélyek feltöltése akár 60 percet is igénybe vehet.
Saját felügyelt identitás létrehozása
Fürt létrehozása felhasználó által hozzárendelt felügyelt identitással
A vezérlősík egyéni, felhasználó által hozzárendelt felügyelt identitása lehetővé teszi a meglévő identitás elérését a fürt létrehozása előtt. Ez a funkció olyan forgatókönyveket tesz lehetővé, mint például az egyéni virtuális hálózat vagy az UDR kimenő típusa egy előre létrehozott felügyelt identitással.
Feljegyzés
Az AZURE US Government-felhőben található USDOD Central, USDOD East és USGov Iowa régiók nem támogatottak.
Az AKS létrehoz egy felhasználó által hozzárendelt kubelet-identitást a csomópont erőforráscsoportjában, ha nem adja meg a saját kubelet felügyelt identitását.
Ha nem rendelkezik felügyelt identitással, hozzon létre egyet a
az identity create
paranccsal.az identity create --name myIdentity --resource-group myResourceGroup
A kimenetnek a következő példakimenethez kell hasonlítania:
{ "clientId": "<client-id>", "clientSecretUrl": "<clientSecretUrl>", "id": "/subscriptions/<subscriptionid>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myIdentity", "location": "westus2", "name": "myIdentity", "principalId": "<principal-id>", "resourceGroup": "myResourceGroup", "tags": {}, "tenantId": "<tenant-id>", "type": "Microsoft.ManagedIdentity/userAssignedIdentities" }
Feljegyzés
A fürt felügyelt identitásához megadott engedélyek feltöltése akár 60 percet is igénybe vehet.
A fürt létrehozása előtt adja hozzá a felügyelt identitás szerepkör-hozzárendelését a
az role assignment create
parancs használatával.Hozza létre a fürtöt felhasználó által hozzárendelt felügyelt identitással.
az aks create \ --resource-group myResourceGroup \ --name myManagedCluster \ --network-plugin azure \ --vnet-subnet-id <subnet-id> \ --dns-service-ip 10.2.0.10 \ --service-cidr 10.2.0.0/24 \ --enable-managed-identity \ --assign-identity <identity-resource-id>
Felügyelt identitás frissítése meglévő fürtön
Feljegyzés
A vezérlősík felügyelt identitásának migrálása a rendszer által hozzárendelt felhasználóhoz nem okoz leállást a vezérlősík és az ügynökkészletek esetében. Eközben a vezérlősík összetevői több órán át használják a régi rendszer által hozzárendelt identitást a következő jogkivonat frissítéséig.
Ha nem rendelkezik felügyelt identitással, hozzon létre egyet a
az identity create
paranccsal.az identity create --name myIdentity --resource-group myResourceGroup
A kimenetnek a következő példakimenethez kell hasonlítania:
{ "clientId": "<client-id>", "clientSecretUrl": "<clientSecretUrl>", "id": "/subscriptions/<subscriptionid>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myIdentity", "location": "westus2", "name": "myIdentity", "principalId": "<principal-id>", "resourceGroup": "myResourceGroup", "tags": {}, "tenantId": "<tenant-id>", "type": "Microsoft.ManagedIdentity/userAssignedIdentities" }
Miután létrehozta az egyéni felhasználó által hozzárendelt felügyelt identitást a vezérlősíkhoz, adja hozzá a felügyelt identitás szerepkör-hozzárendelését a
az role assignment create
parancs használatával.Frissítse a fürtöt a meglévő identitásokkal a
az aks update
parancs használatával. Győződjön meg arról, hogy megadja a vezérlősík felügyelt identitásának erőforrás-azonosítóját azassign-identity
argumentum hozzáadásával.az aks update \ --resource-group myResourceGroup \ --name myManagedCluster \ --enable-managed-identity \ --assign-identity <identity-resource-id>
A saját kubelet felügyelt identitást használó sikeres fürtfrissítés kimenetének a következő példakimenethez kell hasonlítania:
"identity": { "principalId": null, "tenantId": null, "type": "UserAssigned", "userAssignedIdentities": { "/subscriptions/<subscriptionid>/resourcegroups/resourcegroups/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myIdentity": { "clientId": "<client-id>", "principalId": "<principal-id>" } } },
Előre létrehozott kubelet felügyelt identitás használata
A kubelet-identitás lehetővé teszi a meglévő identitás elérését a fürt létrehozása előtt. Ez a funkció olyan forgatókönyveket tesz lehetővé, mint például az ACR-hez való csatlakozás előre létrehozott felügyelt identitással.
Előre létrehozott kubelet-identitáskorlátozások
- Csak felhasználó által hozzárendelt felügyelt fürttel működik.
- A Microsoft Azure 21Vianet által üzemeltetett keleti és kínai északi régiója nem támogatott.
Felhasználó által hozzárendelt felügyelt identitások létrehozása
Vezérlősík felügyelt identitása
Ha nem rendelkezik felügyelt identitással a vezérlősíkhoz, hozzon létre egyet a
az identity create
.az identity create --name myIdentity --resource-group myResourceGroup
A kimenetnek a következő példakimenethez kell hasonlítania:
{ "clientId": "<client-id>", "clientSecretUrl": "<clientSecretUrl>", "id": "/subscriptions/<subscriptionid>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myIdentity", "location": "westus2", "name": "myIdentity", "principalId": "<principal-id>", "resourceGroup": "myResourceGroup", "tags": {}, "tenantId": "<tenant-id>", "type": "Microsoft.ManagedIdentity/userAssignedIdentities" }
kubelet felügyelt identitás
Ha nem rendelkezik kubelet felügyelt identitással, hozzon létre egyet a
az identity create
paranccsal.az identity create --name myKubeletIdentity --resource-group myResourceGroup
A kimenetnek a következő példakimenethez kell hasonlítania:
{ "clientId": "<client-id>", "clientSecretUrl": "<clientSecretUrl>", "id": "/subscriptions/<subscriptionid>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myKubeletIdentity", "location": "westus2", "name": "myKubeletIdentity", "principalId": "<principal-id>", "resourceGroup": "myResourceGroup", "tags": {}, "tenantId": "<tenant-id>", "type": "Microsoft.ManagedIdentity/userAssignedIdentities" }
Fürt létrehozása felhasználó által hozzárendelt kubelet-identitással
Most már létrehozhatja az AKS-fürtöt a meglévő identitásokkal. Az argumentum és a kubelet felügyelt identitás argumentum használatával adja meg a vezérlősík assign-identity
felügyelt identitásának erőforrás-azonosítóját assign-kubelet-identity
.
Hozzon létre egy AKS-fürtöt a meglévő identitásokkal a
az aks create
parancs használatával.az aks create \ --resource-group myResourceGroup \ --name myManagedCluster \ --network-plugin azure \ --vnet-subnet-id <subnet-id> \ --dns-service-ip 10.2.0.10 \ --service-cidr 10.2.0.0/24 \ --enable-managed-identity \ --assign-identity <identity-resource-id> \ --assign-kubelet-identity <kubelet-identity-resource-id>
A saját kubelet felügyelt identitást használó sikeres AKS-fürtlétrehozásnak az alábbi példakimenethez kell hasonlítania:
"identity": { "principalId": null, "tenantId": null, "type": "UserAssigned", "userAssignedIdentities": { "/subscriptions/<subscriptionid>/resourcegroups/resourcegroups/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myIdentity": { "clientId": "<client-id>", "principalId": "<principal-id>" } } }, "identityProfile": { "kubeletidentity": { "clientId": "<client-id>", "objectId": "<object-id>", "resourceId": "/subscriptions/<subscriptionid>/resourcegroups/resourcegroups/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myKubeletIdentity" } },
Meglévő fürt frissítése Kubelet-identitással
Figyelmeztetés
A Kubelet felügyelt identitásának frissítése frissíti a csomópontkészleteket, ami állásidőt okoz az AKS-fürt számára, mivel a csomópontkészletek csomópontjai kordonozódnak/ürítenek és újraépülnek.
Feljegyzés
Ha a fürt lemezképeket használt --attach-acr
az Azure Container Registryből való lekéréshez, a fürt frissítése után futtatnia kell a az aks update --resource-group myResourceGroup --name myAKSCluster --attach-acr <ACR Resource ID>
parancsot, hogy a felügyelt identitáshoz használt újonnan létrehozott kubelet megkapja az engedélyt az ACR-ből való lekérésre. Ellenkező esetben a frissítés után nem tud lekérni az ACR-ből.
Az AKS-fürt aktuális vezérlősík által felügyelt identitásának lekérése
Ellenőrizze, hogy az AKS-fürt a felhasználó által hozzárendelt felügyelt identitást használja-e a
az aks show
parancs használatával.az aks show -g <RGName> -n <ClusterName> --query "servicePrincipalProfile"
Ha a fürt felügyelt identitást használ, a kimenet msi értékkel jelenik meg
clientId
. Egy szolgáltatásnevet használó fürt objektumazonosítót jelenít meg. Példa:{ "clientId": "msi" }
Miután meggyőződett arról, hogy a fürt felügyelt identitást használ, keresse meg a felügyelt identitás erőforrás-azonosítóját a
az aks show
paranccsal.az aks show -g <RGName> -n <ClusterName> --query "identity"
Felhasználó által hozzárendelt felügyelt identitás esetén a kimenetnek az alábbi példakimenethez hasonlóan kell kinéznie:
{ "principalId": null, "tenantId": null, "type": "UserAssigned", "userAssignedIdentities": <identity-resource-id> "clientId": "<client-id>", "principalId": "<principal-id>" },
Fürt frissítése kubelet-identitással
Ha nem rendelkezik kubelet felügyelt identitással, hozzon létre egyet a
az identity create
paranccsal.az identity create --name myKubeletIdentity --resource-group myResourceGroup
A kimenetnek a következő példakimenethez kell hasonlítania:
{ "clientId": "<client-id>", "clientSecretUrl": "<clientSecretUrl>", "id": "/subscriptions/<subscriptionid>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myKubeletIdentity", "location": "westus2", "name": "myKubeletIdentity", "principalId": "<principal-id>", "resourceGroup": "myResourceGroup", "tags": {}, "tenantId": "<tenant-id>", "type": "Microsoft.ManagedIdentity/userAssignedIdentities" }
Frissítse a fürtöt a meglévő identitásokkal a
az aks update
parancs használatával. Győződjön meg arról, hogy a vezérlősíkhoz tartozó felügyelt identitás erőforrás-azonosítóját adja meg azassign-identity
argumentum és az argumentum kubelet felügyelt identitásánakassign-kubelet-identity
hozzáadásával.az aks update \ --resource-group myResourceGroup \ --name myManagedCluster \ --enable-managed-identity \ --assign-identity <identity-resource-id> \ --assign-kubelet-identity <kubelet-identity-resource-id>
A saját kubelet felügyelt identitást használó sikeres fürtfrissítés kimenetének a következő példakimenethez kell hasonlítania:
"identity": { "principalId": null, "tenantId": null, "type": "UserAssigned", "userAssignedIdentities": { "/subscriptions/<subscriptionid>/resourcegroups/resourcegroups/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myIdentity": { "clientId": "<client-id>", "principalId": "<principal-id>" } } }, "identityProfile": { "kubeletidentity": { "clientId": "<client-id>", "objectId": "<object-id>", "resourceId": "/subscriptions/<subscriptionid>/resourcegroups/resourcegroups/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myKubeletIdentity" } },
Következő lépések
- Az Azure Resource Manager-sablonok használatával felügyelt identitás-kompatibilis fürtöt hozhat létre.
- Megtudhatja, hogyan [használhatja a kubelogin][kubelogin-authentication] metódust az AKS-ben támogatott Microsoft Entra hitelesítési módszerekhez.