ошибка: не удалось получить назначенные идентификаторы для модуля в состоянии CREATED - идентификатор AKS AAD-Pod

Question

Я получаю приведенную ниже ошибку для модуля в журналах NMI для aks (1.14.8) с использованием идентификатора AAD-POD с управляемым идентификатором. Я выполнил шаги, указанные в https://github.com/Azure/aad-pod-identity, за исключением того, что мы хотим использовать управляемое удостоверение для azure sql paas. Ссылка: https://trstringer.com/connect-k8s-apps-msi/

E0618 17:19:40.762387 1 server.go:370] failed to get matching identities for pod: default/schedulerserviceapi-7fc4dc9547-95vbw, error: getting assigned identities for pod default/schedulerserviceapi-7fc4dc9547-95vbw in CREATED state failed after 16 attempts, retry duration [5]s. Error: <nil>

Answer 1

Вероятная причина этого в том, что ваш субъект кластерной службы не имеет роли Managed Identity Operator.

Вы можете проверить журналы службы mic и найти следующий фрагмент журнала "not иметь разрешение на выполнение действия Microsoft.ManagedIdentity / userAssignedIdentities / assign / action '"

Вы можете назначить роль субъекту службы, используя следующие команды интерфейса командной строки:

# retrieve cluster service principal clientId ($SP_CLIENT_ID below)
az aks show -g $RESOURCE_GROUP -n $AKS_CLUSTER_NAME --query servicePrincipalProfile.clientId -o tsv

# assign role to SP
az role assignment create --role "Managed Identity Operator" --assignee $SP_CLIENT_ID  --scope /subscriptions/$SUBSCRIPTION_ID/resourcegroups/$RESOURCE_GROUP

ref: https://github.com/Azure/aad-pod-identity/issues/585