В настоящее время кластеру Azure Kubernetes Service (AKS) (в частности, облачному провайдеру Kubernetes) требуется субъект службы для создания дополнительных ресурсов, таких как балансировщики нагрузки и управляемые диски в Azure. Либо вы должны предоставить принципала обслуживания, либо AKS создаст его от вашего имени. Принципалы обслуживания обычно имеют срок действия. Кластеры в конечном итоге достигают состояния, в котором субъект службы должен быть обновлен, чтобы поддерживать работу кластера. Управление субъектами-службами усложняет задачу.
Управляемые удостоверения, по сути, являются оболочкой для участников-служб и упрощают управление ими. Чтобы узнать больше, прочитайте об управляемых удостоверениях для ресурсов Azure.
AKS создает два управляемых удостоверения:
Назначенный системой управляемый идентификатор: идентификатор, который поставщик облака Kubernetes использует для создания Azure ресурсы от имени пользователя. Жизненный цикл назначенного системой удостоверения привязан к кластеру. Идентификатор удаляется при удалении кластера. Назначенный пользователем управляемый идентификатор: идентификатор, который используется для авторизации в кластере. Например, назначенный пользователем идентификатор используется для авторизации AKS для использования Azure Реестров контейнеров (ACR) или для авторизации кублета для получения метаданных из Azure. Надстройки также проходят проверку подлинности с использованием управляемого удостоверения. Для каждого дополнения AKS создает управляемую идентификацию и действует в течение всего срока службы дополнения. Для создания и использования собственного VNet, статического c IP-адреса или подключенного Azure диска, где ресурсы находятся за пределами группы ресурсов MC_ *, используйте PrincipalID кластера для выполнения назначения роли. Для получения дополнительной информации о назначении ролей см. Раздел Делегирование доступа к другим Azure ресурсам.