Вопрос создания службы Azure kubernetes

Question

Я создаю службу kubernetes в Azure с опциями Advanced Networking, где я выбрал определенную виртуальную сеть и подсеть для нее.

Я получаю сообщение об ошибке, как показано ниже:

{"code":"InvalidTemplateDeployment","message":"The template deployment failed with error: 'Authorization failed for template resource '<vnetid>/<subnetid>/Microsoft.Authorization/xxx' of type 'Microsoft.Network/virtualNetworks/subnets/providers/roleAssignments'. The client '<emailid>' with object id 'xxx' does not have permission to perform action 'Microsoft.Authorization/roleAssignments/write' at scope '/subscriptions/<subid>/resourceGroups/<rgid>/providers/Microsoft.Network/virtualNetworks/<vnetid>/subnets/<subnetid>/providers/Microsoft.Authorization/roleAssignments/xxx'.'."}

У меня есть роль участника.

Answer 1

В соответствии со следующей статьей вам понадобятся привилегии Владельца через виртуальную сеть для изменения доступа к ней.

https://docs.microsoft.com/en-us/azure/role-based-access-control/built-in-roles#built-in-role-descriptions

Answer 2

существующий ответ не совсем верен, вы, очевидно, можете обойтись без роли Owner, но вам нужно только Microsoft.Authorization/roleAssignments/write в пределах подсети (может быть vnet, не проверял это). что помогает немного заблокировать безопасность. Вам понадобится специальная роль, чтобы сделать это. В случае, если вы не хотите переходить к пользовательской роли, существующий ответ будет просто отличным.

Answer 3

Существует два способа решения проблемы:

1. Вам просто нужно назначить роль Owner для вашей учетной записи в области vnet.

Позвольте вашему администратору (для входа в учетную запись на портале требуется роль Owner в виртуальной сети), перейдите к виртуальной сети, упомянутой в сообщении об ошибке в портале -> Access control (IAM) -> Add -> Add role assignment -> добавитьучетная запись в ошибке как Owner, для получения более подробной информации см. ссылку . После назначения вашей учетной записи в сети vnet вы сможете создавать акс.

В этом случае пользовательская роль , указанная другими пользователями, - бессмысленно . Как только пользователь получит разрешение Microsoft.Authorization/roleAssignments/write, он может назначить себе любую роль, какую пожелает, включая роль Owner. Так что по вопросам безопасности это не поможет.

2.Если вам не разрешено назначать свою учетную запись как Owner для vnet в вашем случае, вот лучший способ. Вы можете позволить своему администратору (учетная запись имеет Owner в виртуальной сети) добавить субъект службы, который вы настроили на шаге Authentication (не выбирая параметр create new), в качестве Network Contributor для виртуальной сети, затемпри создании aks он также работает без ошибок.

Если у вас не было участника службы, см. эту ссылку , чтобы создать его.