Срок действия основного пароля созданного сервиса AKS

Question

Я создал свой кластер AKS на портале Azure, используя функцию «Создать кластер Kubernetes», и позволил ему создать нового участника службы.
Я начал задумываться об истечении срока действия учетных данных, которые использует этот участник.Надеясь избежать проблем с разговором K8 с Azure по истечении срока действия учетных данных, я начал смотреть на созданную учетную запись.

Что я вижу, если запускаю:

az ad app show --id <app Id>

... является ли аккаунт манифестом, кроме срока действия пароля.Мне не нужно видеть сам пароль, только когда он истекает.

passwordCredentials , однако, это пустой массив.

То, что я ожидал найти, былоСвойства startDate и endDate , как и для учетных записей, которые я создаю сам.

Класс PasswordCredential, описанный здесь:

https://docs.microsoft.com/en-us/dotnet/api/microsoft.azure.management.graph.rbac.fluent.models.passwordcredential?view=azure-dotnet

Процесс создания кластера AKS делает что-то иное, когда он создает свои учетные данные участника службы, что означает, что срок их действия не истекает?Разве мне не позволено видеть детали?Есть что-то фундаментальное, что я неправильно понял?

Answer 1

Столкнулся с той же проблемой истечения срока действия Принципа обслуживания для AKS.

В качестве быстрого обходного пути создал новый ключ с помощью портала Azure и вручную обновил все узлы AKS (/etc/kubernetes/azure.json) с помощью новогосекрет клиента и перезапущен один за другим, более того, главный узел не был обновлен новым client_secret (очевидно).Таким образом, недавно увеличенные узлы получали секрет клиента с истекшим сроком действия !! (выпуск)

30.01.2019 Получил ответ от службы поддержки Azure о добавлении новой опции в Azure Cli для обновленияучастник службы.

31.01.2019 Просто обновил мой CLI Azure, чтобы проверить наличие новой функции, к счастью, он есть и обновил мой тестовый кластер и его работы!

az aks update-credentials --reset-service-principal --service-principal <client-id> --client-secret <secret>

Примечание: идентификатор клиента и секрет клиента должны быть созданы вами

Он в основном обновляет файл /etc/kubernetes/azure.json на всех узлахи затем перезагрузите его один за другим!

Пробовал с масштабированием, и это работает!

Answer 2

Прежде всего, мне нужно дать объяснение о passwordCredentials , на который вы ссылаетесь.Это свойство о ключе регистрации приложения.При создании кластера AKS ключ не создается, поэтому passwordCredentials отображается пустым.Если вы создаете ключ в регистрации приложения, он будет выглядеть следующим образом:

Кроме того, когда выразверните кластер AKS, пароль никогда не истечет.Но не волнуйтесь, вы можете создать ключ для регистрации приложения в настройках и дать ему срок действия.Также можно сбросить время и пароль ключа.

Но вы должны соблюдать осторожность при сбросе пароля с помощью команды CLI az ad sp credential reset.Эта команда перезаписывает все ключи, а не просто сбрасывает время истечения и пароль.Это означает, что создайте для вас новый ключ и удалите все ранее созданные ключи или просто создайте новый ключ с параметром --append.

. Вы можете взглянуть на документ Служба Azure Kubernetes.(AKS) с Azure AD .Надеюсь, это поможет вам.