Azure Kubernetes Hizmeti (AKS) ile hizmet sorumluları

Ayrıca Azure CLI 2.0.59 veya sonraki bir sürümün yüklü ve yapılandırılmış olması gerekir. Sürümü bulmak için az --version komutunu çalıştırın. Yüklemeniz veya yükseltmeniz gerekirse, bkz. Azure CLI yükleme.

Ayrıca 5.0.0 Azure PowerShell veya sonraki bir sürümü de yüklemeniz gerekir. Sürümü bulmak için Get-InstalledModule -Name Az komutunu çalıştırın. Yüklemeniz veya yükseltmeniz gerekirse bkz. Azure Az PowerShell modülünü yükleme.

Azure portal az aks create komutunu kullanarak bir AKS kümesi oluşturursanız, Azure yönetilen bir kimlik oluşturur.

Aşağıdaki Azure CLI örneğinde bir hizmet sorumlusu belirtilmemiştir. Bu senaryoda Azure CLI, AKS kümesi için bir yönetilen kimlik oluşturur.

az aks create --name myAKSCluster --resource-group myResourceGroup

Azure portal'de veya New-AzAksCluster komutunu kullanarak bir AKS kümesi sanız, Azure yeni bir yönetilen kimlik oluşturabilir.

Aşağıdaki örnek Azure PowerShell hizmet sorumlusu belirtilmemiştir. Bu senaryoda, Azure PowerShell AKS kümesi için bir yönetilen kimlik oluşturur.

New-AzAksCluster -Name myAKSCluster -ResourceGroupName myResourceGroup

El ile hizmet sorumlusunu Azure CLI ile oluşturmak için az ad sp create-for-rbac komutunu kullanın.

az ad sp create-for-rbac --name myAKSClusterServicePrincipal

Çıktı aşağıdaki örneğe benzerdir. Kendi appId ve password’lerinizi not edin. Bu değerler bir sonraki bölümde AKS kümesi oluşturduğunuzda kullanılır.

{
  "appId": "559513bd-0c19-4c1a-87cd-851a26afd5fc",
  "displayName": "myAKSClusterServicePrincipal",
  "name": "http://myAKSClusterServicePrincipal",
  "password": "e763725a-5eee-40e8-a466-dc88d980f415",
  "tenant": "72f988bf-86f1-41af-91ab-2d7cd011db48"
}

Hizmet sorumlularını el ile oluşturmak Azure PowerShell New-AzADServicePrincipal komutunu kullanın. Aşağıdaki örnekte, -SkipAssignment parametresi, ek varsayılan atamaların atanmasını engellemektedir:

New-AzADServicePrincipal -DisplayName myAKSClusterServicePrincipal -SkipAssignment -OutVariable sp

Çıktı aşağıdaki örneğe benzerdir. Değerler, sonraki bölümde AKS kümesi bilgisayarınızda kullanılan bir değişkende de depolanır.

Secret                : System.Security.SecureString
ServicePrincipalNames : {559513bd-0c19-4c1a-87cd-851a26afd5fc, http://myAKSClusterServicePrincipal}
ApplicationId         : 559513bd-0c19-4c1a-87cd-851a26afd5fc
ObjectType            : ServicePrincipal
DisplayName           : myAKSClusterServicePrincipal
Id                    : 559513bd-0c19-4c1a-87cd-851a26afd5fc
Type                  :

Gizli dizi güvenli dizesinde depolanan değerin şifresini çözmek için aşağıdaki örneği kullanın.

$BSTR = [System.Runtime.InteropServices.Marshal]::SecureStringToBSTR($sp.Secret)
[System.Runtime.InteropServices.Marshal]::PtrToStringAuto($BSTR)

Daha fazla bilgi için bkz. Azure hizmet sorumlusu oluşturma Azure PowerShell

az aks create komutunu kullanarak bir AKS kümesi oluşturduğunuzda var olan bir hizmet sorumlusunu kullanmak üzere, az ad sp create-for-rbac komutunun çıktısından appId ve password’i belirtmek için --service-principal ve --client-secret parametrelerini kullanın:

az aks create \
    --resource-group myResourceGroup \
    --name myAKSCluster \
    --service-principal <appId> \
    --client-secret <password>

Azure portalı kullanarak bir AKS kümesi dağıtırsanız, Kubernetes kümesi oluştur iletişim kutusunun Kimlik doğrulaması sayfasında Hizmet sorumlusu yapılandır’ı seçin. Var olanı kullan’ı seçin ve aşağıdaki değerleri belirtin:

• Hizmet sorumlusu istemci kimliği, appId’nizdir
• Hizmet sorumlusu istemci parolası, parola değeridir

Aks kümesi oluşturmada var olan bir hizmet sorumlularını kullanmak için, aşağıdaki örnekte gösterildiği gibi hizmet sorumlularını ApplicationId Secret ve PSCredential nesnesine dönüştürmeniz gerekir.

$Cred = New-Object -TypeName System.Management.Automation.PSCredential ($sp.ApplicationId, $sp.Secret)

Komutunu New-AzAksCluster çalıştırarak, parametresini ServicePrincipalIdAndSecret değeri olarak önceden oluşturulmuş PSCredential nesnesiyle belirtirsiniz.

New-AzAksCluster -ResourceGroupName myResourceGroup -Name myAKSCluster -ServicePrincipalIdAndSecret $Cred

Azure portalı kullanarak bir AKS kümesi dağıtırsanız, Kubernetes kümesi oluştur iletişim kutusunun Kimlik doğrulaması sayfasında Hizmet sorumlusu yapılandır’ı seçin. Var olanı kullan’ı seçin ve aşağıdaki değerleri belirtin:

• Hizmet sorumlusu istemci kimliği ApplicationId'nizdir
• Hizmet sorumlusu istemci gizli anahtarı, şifresi çözülen Gizli Anahtar değeridir

İzinleri temsilci olarak atamak için az role assignment create komutunu kullanarak bir rol ataması oluşturun. kaynak appId grubu veya sanal ağ kaynağı gibi belirli bir kapsama attayabilirsiniz. Ardından rol, aşağıdaki örnekte gösterildiği gibi hizmet sorumlusuna kaynak üzerinde hangi izinlerin olduğunu tanımlar:

az role assignment create --assignee <appId> --scope <resourceScope> --role Contributor

Bir kaynağın tam kaynak kimliği --scope olmalıdır; örneğin, /subscriptions/ <guid> /resourceGroups/myResourceGroup veya /subscriptions/ <guid> /resourceGroups/myResourceGroupVnet/providers/Microsoft.Network/virtualNetworks/myVnet

İzinleri temsilci olarak atamak için New-AzRoleAssignment komutunu kullanarak bir rol ataması oluşturun. kaynak ApplicationId grubu veya sanal ağ kaynağı gibi belirli bir kapsama attayabilirsiniz. Ardından rol, aşağıdaki örnekte gösterildiği gibi hizmet sorumlusuna kaynak üzerinde hangi izinlerin olduğunu tanımlar:

New-AzRoleAssignment -ApplicationId <ApplicationId> -Scope <resourceScope> -RoleDefinitionName Contributor

Bir kaynağın tam kaynak kimliği Scope olmalıdır; örneğin, /subscriptions/ <guid> /resourceGroups/myResourceGroup veya /subscriptions/ <guid> /resourceGroups/myResourceGroupVnet/providers/Microsoft.Network/virtualNetworks/myVnet

Kapsayıcı görüntü Azure Container Registry (ACR) kullanıyorsanız AKS kümenizin görüntü okuması ve çekmesi için hizmet sorumlusuna izinler verebilirsiniz. Şu anda önerilen yapılandırma, az aks create veya az aks update komutunu kullanarak kayıt defteriyle tümleştirilecek ve hizmet sorumlusuna uygun rolün atanmasıdır. Ayrıntılı adımlar için bkz. Azure Container Registry'Azure Kubernetes Service.

Kapsayıcı görüntü Azure Container Registry (ACR) kullanıyorsanız AKS kümenizin görüntü okuması ve çekmesi için hizmet sorumlusuna izinler verebilirsiniz. Şu anda önerilen yapılandırma, kayıt defteriyle tümleşmek ve hizmet sorumlusuna uygun rolü atamak için New-AzAksCluster veya Set-AzAksCluster komutunu kullanmaktır. Ayrıntılı adımlar için bkz. Azure Container Registry'Azure Kubernetes Service.

AKS ve Azure AD hizmet sorumlularını kullanılırken aşağıdaki noktalara dikkat edin.

• Kubernetes için hizmet sorumlusu, küme yapılandırmasının bir parçasıdır. Ancak, kümeyi dağıtmak için kimlik kullanmayın.
• Varsayılan olarak, hizmet sorumlusu kimlik bilgileri bir yıl için geçerlidir. Hizmet sorumlusu kimlik bilgilerini dilediğiniz zaman güncelleştirebilir veya döndürebilirsiniz .
• Her hizmet sorumlusunun bir Azure AD uygulamasıyla ilişkilendirilmiş olması gerekir. Bir Kubernetes kümesinin hizmet sorumlusu, geçerli herhangi bir Azure AD uygulama adıyla ilişkilendirilebilir (örneğin: https://www.contoso.org/example ). Uygulama URL'sinin gerçek bir uç nokta olması gerekmez.
• Hizmet sorumlusu İstemci kimliğini belirttiğinizde appId değerini kullanın.
• Kubernetes kümesindeki aracı düğümü VM 'lerinde hizmet sorumlusu kimlik bilgileri dosyada depolanır /etc/kubernetes/azure.json
• Hizmet sorumlusunu otomatik olarak oluşturmak için az aks create komutunu kullandığınızda, hizmet sorumlusu kimlik bilgileri komutun çalıştırıldığı makinede ~/.azure/aksServicePrincipal.json dosyasına yazılır.
• Ek AKS CLı komutlarına özel olarak bir hizmet sorumlusu geçirmezseniz, adresinde bulunan varsayılan hizmet sorumlusu ~/.azure/aksServicePrincipal.json kullanılır.
• Ayrıca, isteğe bağlı olarak aksServicePrincipal. json dosyasını kaldırabilir ve AKS 'ler yeni bir hizmet sorumlusu oluşturur.
• az aks create komutu tarafından oluşturulan bir AKS kümesini sildiğinizde, otomatik olarak oluşturulan hizmet sorumlusu silinmez.

  • Hizmet sorumlusunu silmek için, kümenizin Serviceprincipalprofile. ClientID ' yi sorgulayın ve az ad SP Deleteile silin. Aşağıdaki kaynak grubunu ve küme adlarını kendi değerlerinizle değiştirin:

    az ad sp delete --id $(az aks show -g myResourceGroup -n myAKSCluster --query servicePrincipalProfile.clientId -o tsv)
    

AKS ve Azure AD hizmet sorumlularını kullanılırken aşağıdaki noktalara dikkat edin.

• Kubernetes için hizmet sorumlusu, küme yapılandırmasının bir parçasıdır. Ancak, kümeyi dağıtmak için kimlik kullanmayın.
• Varsayılan olarak, hizmet sorumlusu kimlik bilgileri bir yıl için geçerlidir. Hizmet sorumlusu kimlik bilgilerini dilediğiniz zaman güncelleştirebilir veya döndürebilirsiniz .
• Her hizmet sorumlusunun bir Azure AD uygulamasıyla ilişkilendirilmiş olması gerekir. Bir Kubernetes kümesinin hizmet sorumlusu, geçerli herhangi bir Azure AD uygulama adıyla ilişkilendirilebilir (örneğin: https://www.contoso.org/example ). Uygulama URL'sinin gerçek bir uç nokta olması gerekmez.
• Hizmet sorumlusu İstemci kimliğini belirttiğinizde ApplicationId değerini kullanın.
• Kubernetes kümesindeki aracı düğümü VM 'lerinde hizmet sorumlusu kimlik bilgileri dosyada depolanır /etc/kubernetes/azure.json
• Hizmet sorumlusunu otomatik olarak oluşturmak için New-AzAksCluster komutunu kullandığınızda hizmet sorumlusu kimlik bilgileri, ~/.azure/acsServicePrincipal.json komutu çalıştırmak için kullanılan makinedeki dosyaya yazılır.
• Ek AKS PowerShell komutlarına özel olarak bir hizmet sorumlusu geçirmezseniz, adresinde bulunan varsayılan hizmet sorumlusu ~/.azure/acsServicePrincipal.json kullanılır.
• Ayrıca acsServicePrincipal. json dosyasını da kaldırabilirsiniz ve AKS 'ler yeni bir hizmet sorumlusu oluşturur.
• New-AzAksClustertarafından oluşturulan bir aks kümesini sildiğinizde, otomatik olarak oluşturulan hizmet sorumlusu silinmez.

  • Hizmet sorumlusunu silmek için, kümenizin Serviceprincipalprofile. ClientID ' yi sorgulayın ve sonra Remove-AzADServicePrincipalile silin. Aşağıdaki kaynak grubunu ve küme adlarını kendi değerlerinizle değiştirin:

    $ClientId = (Get-AzAksCluster -ResourceGroupName myResourceGroup -Name myAKSCluster ).ServicePrincipalProfile.ClientId
    Remove-AzADServicePrincipal -ApplicationId $ClientId
    

Bir AKS kümesi için hizmet sorumlusu kimlik bilgileri, Azure CLI tarafından önbelleğe alınır. Bu kimlik bilgilerinin geçerlilik süresi dolmuşsa, AKS kümelerini dağıtma hatalarıyla karşılaşırsınız. Az aks Create çalıştırılırken aşağıdaki hata iletisi, önbelleğe alınmış hizmet sorumlusu kimlik bilgileriyle ilgili bir sorun olduğunu gösteriyor olabilir:

Operation failed with status: 'Bad Request'.
Details: The credentials in ServicePrincipalProfile were invalid. Please see https://aka.ms/aks-sp-help for more details.
(Details: adal: Refresh request failed. Status Code = '401'.

Aşağıdaki komutu kullanarak kimlik bilgileri dosyasının yaşını denetleyin:

ls -la $HOME/.azure/aksServicePrincipal.json

Hizmet sorumlusu kimlik bilgileri için varsayılan süre sonu zamanı bir yıldır. Aksserviceprincipal. JSON dosyanız bir yıldan eskiyse dosyayı silin ve bır aks kümesini yeniden dağıtmayı deneyin.

Bir AKS kümesi için hizmet sorumlusu kimlik bilgileri Azure PowerShell tarafından önbelleğe alınır. Bu kimlik bilgilerinin geçerlilik süresi dolmuşsa, AKS kümelerini dağıtma hatalarıyla karşılaşırsınız. New-AzAksCluster çalıştırılırken aşağıdaki hata iletisi, önbelleğe alınmış hizmet sorumlusu kimlik bilgileriyle ilgili bir sorun olduğunu gösteriyor olabilir:

Operation failed with status: 'Bad Request'.
Details: The credentials in ServicePrincipalProfile were invalid. Please see https://aka.ms/aks-sp-help for more details.
(Details: adal: Refresh request failed. Status Code = '401'.

Aşağıdaki komutu kullanarak kimlik bilgileri dosyasının yaşını denetleyin:

Get-ChildItem -Path $HOME/.azure/aksServicePrincipal.json

Hizmet sorumlusu kimlik bilgileri için varsayılan süre sonu zamanı bir yıldır. Aksserviceprincipal. JSON dosyanız bir yıldan eskiyse dosyayı silin ve bır aks kümesini yeniden dağıtmayı deneyin.