Azure Kubernetes Service (AKS) kümesinin kimlik bilgilerini güncelleştirme veya döndürme
Hizmet sorumlusuyla oluşturulan AKS kümelerinin bir yıllık süre sonu vardır. Son kullanma tarihine yaklaştığınızda, hizmet sorumlusunu ek bir süre uzatmak için kimlik bilgilerini sıfırlayabilirsiniz. Kimlik bilgilerini tanımlanmış bir güvenlik ilkesinin parçası olarak güncelleştirmek veya döndürmek de isteyebilirsiniz. Kimlik doğrulama sağlayıcısı olarak Microsoft Entra Id ile tümleştirilmiş AKS kümelerinin iki kimliği daha vardır: Microsoft Entra Server Uygulaması ve Microsoft Entra İstemci Uygulaması. Bu makalede, AKS kümesi için hizmet sorumlusunun ve Microsoft Entra kimlik bilgilerinin nasıl güncelleştirilecekleri açıklanmaktadır.
Not
Alternatif olarak, hizmet sorumlusu yerine izinler için yönetilen kimlik kullanabilirsiniz. Yönetilen kimlikler güncelleştirme veya döndürme gerektirmez. Daha fazla bilgi için bkz . Yönetilen kimlikleri kullanma.
Başlamadan önce
Azure CLI sürüm 2.0.65 veya üzerinin yüklü ve yapılandırılmış olması gerekir. Sürümü bulmak için az --version
komutunu çalıştırın. Yüklemeniz veya yükseltmeniz gerekirse, bkz. Azure CLI yükleme.
AKS kümeniz için yeni bir hizmet sorumlusu güncelleştirme veya oluşturma
AKS kümesinin kimlik bilgilerini güncelleştirmek istediğinizde şunları seçebilirsiniz:
- Mevcut hizmet sorumlusunun kimlik bilgilerini güncelleştirin.
- Yeni bir hizmet sorumlusu oluşturun ve kümeyi bu yeni kimlik bilgilerini kullanacak şekilde güncelleştirin.
Uyarı
Yeni bir hizmet sorumlusu oluşturmayı seçerseniz, hizmet sorumlusu izninin tüm bölgelere yayılması için yaklaşık 30 dakika bekleyin. Büyük bir AKS kümesinin bu kimlik bilgilerini kullanacak şekilde güncelleştirilmesi uzun sürebilir.
Hizmet sorumlunuzun sona erme tarihini denetleyin
Hizmet sorumlunuzun son kullanma tarihini denetlemek için komutunu kullanın az ad app credential list
. Aşağıdaki örnek, komutunu kullanarak az aks show
kaynak grubundaki kümenin $CLUSTER_NAME
$RESOURCE_GROUP_NAME
hizmet sorumlusu kimliğini alır. Hizmet sorumlusu kimliği, SP_ID adlı bir değişken olarak ayarlanır.
SP_ID=$(az aks show --resource-group $RESOURCE_GROUP_NAME --name $CLUSTER_NAME \
--query servicePrincipalProfile.clientId -o tsv)
az ad app credential list --id "$SP_ID" --query "[].endDateTime" -o tsv
Mevcut hizmet sorumlusu kimlik bilgilerini sıfırlama
Mevcut bir hizmet sorumlusunun kimlik bilgilerini güncelleştirmek için komutunu kullanarak az aks show
kümenizin hizmet sorumlusu kimliğini alın. Aşağıdaki örnek, kaynak grubundaki kümenin $CLUSTER_NAME
$RESOURCE_GROUP_NAME
kimliğini alır. SP_ID adlı değişken, sonraki adımda kullanılan hizmet sorumlusu kimliğini depolar. Bu komutlar Bash komut dilini kullanır.
Uyarı
Azure Sanal Makine Ölçek Kümeleri kullanan bir AKS kümesinde küme kimlik bilgilerinizi sıfırladığınızda, düğümlerinizi yeni kimlik bilgileriyle güncelleştirmek için bir düğüm görüntüsü yükseltmesi gerçekleştirilir.
SP_ID=$(az aks show --resource-group $RESOURCE_GROUP_NAME --name $CLUSTER_NAME \
--query servicePrincipalProfile.clientId -o tsv)
komutunu kullanarak kimlik bilgilerini sıfırlamak için hizmet sorumlusu kimliğini içeren SP_ID değişkenini az ad app credential reset
kullanın. Aşağıdaki örnek, Azure platformunun hizmet sorumlusu için yeni bir güvenli gizli dizi oluşturmasını ve bunu SP_SECRET adlı bir değişken olarak depolamasını sağlar.
SP_SECRET=$(az ad app credential reset --id "$SP_ID" --query password -o tsv)
Ardından AKS kümesini hizmet sorumlusu kimlik bilgileriyle güncelleştirin. Aks kümenizdeki hizmet sorumlusunu güncelleştirmek için bu adım gereklidir.
Yeni bir hizmet sorumlusu oluşturma
Not
Önceki bölümde mevcut hizmet sorumlusu kimlik bilgilerini güncelleştirdiyseniz, bu bölümü atlayın ve bunun yerine AKS kümesini hizmet sorumlusu kimlik bilgileriyle güncelleştirin.
Hizmet sorumlusu oluşturmak ve AKS kümesini yeni kimlik bilgilerini kullanacak şekilde güncelleştirmek için komutunu kullanın az ad sp create-for-rbac
.
az ad sp create-for-rbac --role Contributor --scopes /subscriptions/$SUBSCRIPTION_ID
Çıkış, aşağıdaki örnek çıkışa benzer. Kendi ve sonraki adımda kullanmak için not appId
password
edin.
{
"appId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"name": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"password": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"tenant": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
}
komutunu çalıştırma az ad sp create-for-rbac
çıkışınızı kullanarak hizmet sorumlusu kimliği ve istemci gizli dizisi için değişkenleri tanımlayın. SP_ID appId, SP_SECRET ise parolanızdır.
SP_ID=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
SP_SECRET=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Ardından AKS kümesini yeni hizmet sorumlusu kimlik bilgileriyle güncelleştirin. Aks kümesini yeni hizmet sorumlusu kimlik bilgileriyle güncelleştirmek için bu adım gereklidir.
AKS kümesini hizmet sorumlusu kimlik bilgileriyle güncelleştirme
Önemli
Büyük kümeler için AKS kümenizi yeni bir hizmet sorumlusuyla güncelleştirme işleminin tamamlanması uzun sürebilir. Güncelleştirme sırasında kesintiyi en aza indirmek için düğüm dalgalanması yükseltme ayarlarını gözden geçirmeyi ve özelleştirmeyi göz önünde bulundurun. Küçük ve orta ölçekli kümelerde, yeni kimlik bilgilerinin kümede güncelleştirilmiş olması birkaç dakika sürer.
komutunu çalıştırarak AKS kümesini yeni veya mevcut kimlik bilgilerinizle güncelleştirin az aks update-credentials
.
az aks update-credentials \
--resource-group $RESOURCE_GROUP_NAME \
--name $CLUSTER_NAME \
--reset-service-principal \
--service-principal "$SP_ID" \
--client-secret "${SP_SECRET}"
AKS kümesini yeni Microsoft Entra uygulaması kimlik bilgileriyle güncelleştirme
Microsoft Entra tümleştirme adımlarını izleyerek yeni Microsoft Entra sunucusu ve istemci uygulamaları oluşturabilir veya hizmet sorumlusu sıfırlama ile aynı yöntemi izleyerek mevcut Microsoft Entra uygulamalarınızı sıfırlayabilirsiniz. Bundan sonra, --reset-aad değişkenleriyle komutunu kullanarak az aks update-credentials
kümenizin Microsoft Entra uygulama kimlik bilgilerini güncelleştirmeniz gerekir.
az aks update-credentials \
--resource-group $RESOURCE_GROUP_NAME \
--name $CLUSTER_NAME \
--reset-aad \
--aad-server-app-id $SERVER_APPLICATION_ID \
--aad-server-app-secret $SERVER_APPLICATION_SECRET \
--aad-client-app-id $CLIENT_APPLICATION_ID
Sonraki adımlar
Bu makalede hizmet sorumlusunu ve Microsoft Entra uygulaması kimlik bilgilerini güncelleştirmeyi veya döndürmeyi öğrendiniz. AKS kümesindeki iş yükleri için bir yönetim kimliği kullanma hakkında daha fazla bilgi için bkz . AKS'de kimlik doğrulaması ve yetkilendirme için en iyi yöntemler.
Azure Kubernetes Service