Azure Kubernetes Service (AKS) kümesinin kimlik bilgilerini güncelleştirme veya döndürme

Hizmet sorumlusuyla oluşturulan AKS kümelerinin bir yıllık süre sonu vardır. Son kullanma tarihine yaklaştığınızda, hizmet sorumlusunu ek bir süre uzatmak için kimlik bilgilerini sıfırlayabilirsiniz. Kimlik bilgilerini tanımlanmış bir güvenlik ilkesinin parçası olarak güncelleştirmek veya döndürmek de isteyebilirsiniz. Kimlik doğrulama sağlayıcısı olarak Microsoft Entra Id ile tümleştirilmiş AKS kümelerinin iki kimliği daha vardır: Microsoft Entra Server Uygulaması ve Microsoft Entra İstemci Uygulaması. Bu makalede, AKS kümesi için hizmet sorumlusunun ve Microsoft Entra kimlik bilgilerinin nasıl güncelleştirilecekleri açıklanmaktadır.

Not

Alternatif olarak, hizmet sorumlusu yerine izinler için yönetilen kimlik kullanabilirsiniz. Yönetilen kimlikler güncelleştirme veya döndürme gerektirmez. Daha fazla bilgi için bkz . Yönetilen kimlikleri kullanma.

Başlamadan önce

Azure CLI sürüm 2.0.65 veya üzerinin yüklü ve yapılandırılmış olması gerekir. Sürümü bulmak için az --version komutunu çalıştırın. Yüklemeniz veya yükseltmeniz gerekirse, bkz. Azure CLI yükleme.

AKS kümeniz için yeni bir hizmet sorumlusu güncelleştirme veya oluşturma

AKS kümesinin kimlik bilgilerini güncelleştirmek istediğinizde şunları seçebilirsiniz:

  • Mevcut hizmet sorumlusunun kimlik bilgilerini güncelleştirin.
  • Yeni bir hizmet sorumlusu oluşturun ve kümeyi bu yeni kimlik bilgilerini kullanacak şekilde güncelleştirin.

Uyarı

Yeni bir hizmet sorumlusu oluşturmayı seçerseniz, hizmet sorumlusu izninin tüm bölgelere yayılması için yaklaşık 30 dakika bekleyin. Büyük bir AKS kümesinin bu kimlik bilgilerini kullanacak şekilde güncelleştirilmesi uzun sürebilir.

Hizmet sorumlunuzun sona erme tarihini denetleyin

Hizmet sorumlunuzun son kullanma tarihini denetlemek için komutunu kullanın az ad app credential list . Aşağıdaki örnek, komutunu kullanarak az aks show kaynak grubundaki kümenin $CLUSTER_NAME $RESOURCE_GROUP_NAME hizmet sorumlusu kimliğini alır. Hizmet sorumlusu kimliği, SP_ID adlı bir değişken olarak ayarlanır.

SP_ID=$(az aks show --resource-group $RESOURCE_GROUP_NAME --name $CLUSTER_NAME \
    --query servicePrincipalProfile.clientId -o tsv)
az ad app credential list --id "$SP_ID" --query "[].endDateTime" -o tsv

Mevcut hizmet sorumlusu kimlik bilgilerini sıfırlama

Mevcut bir hizmet sorumlusunun kimlik bilgilerini güncelleştirmek için komutunu kullanarak az aks show kümenizin hizmet sorumlusu kimliğini alın. Aşağıdaki örnek, kaynak grubundaki kümenin $CLUSTER_NAME $RESOURCE_GROUP_NAME kimliğini alır. SP_ID adlı değişken, sonraki adımda kullanılan hizmet sorumlusu kimliğini depolar. Bu komutlar Bash komut dilini kullanır.

Uyarı

Azure Sanal Makine Ölçek Kümeleri kullanan bir AKS kümesinde küme kimlik bilgilerinizi sıfırladığınızda, düğümlerinizi yeni kimlik bilgileriyle güncelleştirmek için bir düğüm görüntüsü yükseltmesi gerçekleştirilir.

SP_ID=$(az aks show --resource-group $RESOURCE_GROUP_NAME --name $CLUSTER_NAME \
    --query servicePrincipalProfile.clientId -o tsv)

komutunu kullanarak kimlik bilgilerini sıfırlamak için hizmet sorumlusu kimliğini içeren SP_ID değişkenini az ad app credential reset kullanın. Aşağıdaki örnek, Azure platformunun hizmet sorumlusu için yeni bir güvenli gizli dizi oluşturmasını ve bunu SP_SECRET adlı bir değişken olarak depolamasını sağlar.

SP_SECRET=$(az ad app credential reset --id "$SP_ID" --query password -o tsv)

Ardından AKS kümesini hizmet sorumlusu kimlik bilgileriyle güncelleştirin. Aks kümenizdeki hizmet sorumlusunu güncelleştirmek için bu adım gereklidir.

Yeni bir hizmet sorumlusu oluşturma

Not

Önceki bölümde mevcut hizmet sorumlusu kimlik bilgilerini güncelleştirdiyseniz, bu bölümü atlayın ve bunun yerine AKS kümesini hizmet sorumlusu kimlik bilgileriyle güncelleştirin.

Hizmet sorumlusu oluşturmak ve AKS kümesini yeni kimlik bilgilerini kullanacak şekilde güncelleştirmek için komutunu kullanın az ad sp create-for-rbac .

az ad sp create-for-rbac --role Contributor --scopes /subscriptions/$SUBSCRIPTION_ID

Çıkış, aşağıdaki örnek çıkışa benzer. Kendi ve sonraki adımda kullanmak için not appId password edin.

{
  "appId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
  "name": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
  "password": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
  "tenant": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
}

komutunu çalıştırma az ad sp create-for-rbac çıkışınızı kullanarak hizmet sorumlusu kimliği ve istemci gizli dizisi için değişkenleri tanımlayın. SP_ID appId, SP_SECRET ise parolanızdır.

SP_ID=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
SP_SECRET=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

Ardından AKS kümesini yeni hizmet sorumlusu kimlik bilgileriyle güncelleştirin. Aks kümesini yeni hizmet sorumlusu kimlik bilgileriyle güncelleştirmek için bu adım gereklidir.

AKS kümesini hizmet sorumlusu kimlik bilgileriyle güncelleştirme

Önemli

Büyük kümeler için AKS kümenizi yeni bir hizmet sorumlusuyla güncelleştirme işleminin tamamlanması uzun sürebilir. Güncelleştirme sırasında kesintiyi en aza indirmek için düğüm dalgalanması yükseltme ayarlarını gözden geçirmeyi ve özelleştirmeyi göz önünde bulundurun. Küçük ve orta ölçekli kümelerde, yeni kimlik bilgilerinin kümede güncelleştirilmiş olması birkaç dakika sürer.

komutunu çalıştırarak AKS kümesini yeni veya mevcut kimlik bilgilerinizle güncelleştirin az aks update-credentials .

az aks update-credentials \
    --resource-group $RESOURCE_GROUP_NAME \
    --name $CLUSTER_NAME \
    --reset-service-principal \
    --service-principal "$SP_ID" \
    --client-secret "${SP_SECRET}"

AKS kümesini yeni Microsoft Entra uygulaması kimlik bilgileriyle güncelleştirme

Microsoft Entra tümleştirme adımlarını izleyerek yeni Microsoft Entra sunucusu ve istemci uygulamaları oluşturabilir veya hizmet sorumlusu sıfırlama ile aynı yöntemi izleyerek mevcut Microsoft Entra uygulamalarınızı sıfırlayabilirsiniz. Bundan sonra, --reset-aad değişkenleriyle komutunu kullanarak az aks update-credentials kümenizin Microsoft Entra uygulama kimlik bilgilerini güncelleştirmeniz gerekir.

az aks update-credentials \
    --resource-group $RESOURCE_GROUP_NAME \
    --name $CLUSTER_NAME \
    --reset-aad \
    --aad-server-app-id $SERVER_APPLICATION_ID \
    --aad-server-app-secret $SERVER_APPLICATION_SECRET \
    --aad-client-app-id $CLIENT_APPLICATION_ID

Sonraki adımlar

Bu makalede hizmet sorumlusunu ve Microsoft Entra uygulaması kimlik bilgilerini güncelleştirmeyi veya döndürmeyi öğrendiniz. AKS kümesindeki iş yükleri için bir yönetim kimliği kullanma hakkında daha fazla bilgi için bkz . AKS'de kimlik doğrulaması ve yetkilendirme için en iyi yöntemler.