我使用“创建 Kubernetes 集群”功能在 Azure 门户中创建了我的 AKS 集群,并允许它创建新的服务主体。
我开始怀疑这个主体使用的凭据是否过期。为了避免 K8s 在凭证到期时与 Azure 通信的问题,我开始查看已创建的帐户。
如果我运行,我会看到什么:
az ad app show --id <app Id>
...是除密码到期外的帐户 list 。我不需要看到密码本身,只是在它到期时。
密码凭据 ,然而,是一个空数组。
我期待找到的是 开始日期 和 结束日期 就像我为自己创建的帐户所做的那样。
此处描述的 PasswordCredential 类:
https://docs.microsoft.com/en-us/dotnet/api/microsoft.azure.management.graph.rbac.fluent.models.passwordcredential?view=azure-dotnet
AKS 群集创建过程在创建其服务主体凭据时是否会执行不同的操作,这意味着它们不会过期?我只是不允许看到细节吗?有什么基本的东西我误解了吗?
最佳答案
首先,我需要解释一下密码凭据你引用的。它是关于应用程序注册 key 的属性。创建 AKS 群集时没有创建 key ,因此 密码凭据显示为空。如果您在应用注册中创建一个 key ,它将显示如下:
此外,在部署 AKS 群集时,密码永远不会过期。不过不用担心,您可以在设置中创建应用程序注册的 key 并为其设置到期时间。也可以重置时间和 key 密码。
但是在使用 CLI 命令重置密码时应该小心 az ad sp credential reset .此命令将覆盖所有 key ,而不仅仅是重置到期时间和密码。这意味着为您创建一个新 key 并删除之前创建的所有 key ,或者只是创建一个带有参数 --append 的新 key .
你可以看看文档Azure Kubernetes Service (AKS) with Azure AD .希望这会帮助你。
关于azure-aks - AKS 创建的服务主体密码到期,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/53748591/