azure - 使用 ARM 模板将用户分配的身份分配给 AKS 群集-6ren

azure - 使用 ARM 模板将用户分配的身份分配给 AKS 群集

转载作者：行者123 更新时间：2023-12-02 23:16:16

我想使用用户分配的身份部署 AKS 群集。我在创建集群之前创建了用户分配的托管身份并将其作为参数传递。但是，当我在 ARM 模板中使用相同的内容时，观察结果如下:

如果“Identity”为“SystemAssigned”-> 部署将会成功
如果“Identity”为“UserAssigned”并为 UserAssignedIdentity 提供资源 ID，则部署会失败，并提示未提供“servicePrincipalProfile”。
如果“Identity”为“UserAssigned”且提供了“servicePrincipalProfile” -> 部署成功，但当我在集群中查询其 Identity 时，UserAssignedIdentity 详细信息为空。

ARM 模板引用: https://learn.microsoft.com/en-us/azure/templates/microsoft.containerservice/managedclusters#ManagedClusterServicePrincipalProfile

我正在更新的模板部分:

"identity": {
        "principalId": null,
        "tenantId": null,
        "type": "UserAssigned",
        "userAssignedIdentities": {
          "[parameters('userAssignedIdentitiesResourceID')]": {
            "clientId": "[parameters('userAssignedIdentitiesClientID')]",
            "principalId": "[parameters('userAssignedIdentitiesPrincipalID')]"
          }
        }
      }

更新:我尝试在创建 AKS 群集(使用 SystemAssignedIdentity)后通过 REST API 设置用户 MSI，但是它没有更新。我仍然可以看到集群身份为“SystemAssignedIdentity”。

(注意，“Invoke-CoeRestMethod”是一个调用 Invoke-RestMethod 的自定义包装函数。包装函数用于缓存不记名 token 等，)

$Body = @"
                {"location": "west europe",
                    "identity": {
        "principalId": null,
        "tenantId": null,
        "type": "UserAssigned",
        "userAssignedIdentities": {
          "/subscriptions/7e7f55d3-f30a-4bfd-a6be-1c59594b8592/resourcegroups/ITQIG-eu-rsv-manjug-dev/providers/Microsoft.ManagedIdentity/userAssignedIdentities/manjugtestmsi": {}
        }
      }
                      
                           }
"@

$Uri = ("https://management.azure.com/subscriptions/7e7f55d3-f30a-4bfd-a6be-1c59594b8592/resourceGroups/ITQIG-eu-rsv-manjug-dev/providers/Microsoft.ContainerService/managedClusters/ITQIG-eu-manjug-aks-dev?api-version=2020-09-01")
Invoke-CoeRestMethod -Method Put -Uri $Uri -Body $Body

用于 AKS 部署的模板:

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.1",
  "variables": {
    "copy": [
      {
        "name": "create-mi-dict",
        "count": 1,
        "input": {
          "[resourceId('7e7f55d3-f30a-4bf-a6be-1c594b8592', 'ITQIG-eu-rsv-manjug-dev','Microsoft.ManagedIdentity/userAssignedIdentities', 'manjugtestmsi')]": {}
        }
      }
    ]
  },
  "parameters": {
    "clusterName": {
      "type": "string",
      "defaultValue": "aks101cluster",
      "metadata": {
        "description": "The name of the Managed Cluster resource."
      }
    },
    "location": {
      "type": "string",
      "defaultValue": "[resourceGroup().location]",
      "metadata": {
        "description": "The location of the Managed Cluster resource."
      }
    },
    "userAssignedIdentitiesResourceID": {
      "type": "string",
      "metadata": {
        "description": "Resource ID of the User Assigned Identity."
      }
    },
    "userAssignedIdentitiesClientID": {
      "type": "string",
      "metadata": {
        "description": "Client ID of the User Assigned Identity."
      }
    },
    "userAssignedIdentitiesPrincipalID": {
      "type": "string",
      "metadata": {
        "description": "Principal ID of the User Assigned Identity."
      }
    },
    "dnsPrefix": {
      "type": "string",
      "defaultValue": "aks-coe-eu-manjug-dev-dns",
      "metadata": {
        "description": "Optional DNS prefix to use with hosted Kubernetes API server FQDN."
      }
    },
    "osDiskSizeGB": {
      "type": "int",
      "defaultValue": 0,
      "minValue": 0,
      "maxValue": 1023,
      "metadata": {
        "description": "Disk size (in GB) to provision for each of the agent pool nodes. This value ranges from 0 to 1023. Specifying 0 will apply the default disk size for that agentVMSize."
      }
    },
    "agentCount": {
      "type": "int",
      "defaultValue": 1,
      "minValue": 1,
      "maxValue": 50,
      "metadata": {
        "description": "The number of nodes for the cluster."
      }
    },
    "agentVMSize": {
      "type": "string",
      "defaultValue": "Standard_DS2_v2",
      "metadata": {
        "description": "The size of the Virtual Machine."
      }
    },
    "linuxAdminUsername": {
      "type": "string",
      "metadata": {
        "description": "User name for the Linux Virtual Machines."
      }
    },
    "sshRSAPublicKey": {
      "type": "string",
      "metadata": {
        "description": "Configure all linux machines with the SSH RSA public key string. Your key should include three parts, for example 'ssh-rsa AAAAB...snip...UcyupgH azureuser@linuxvm'"
      }
    },
    "osType": {
      "type": "string",
      "defaultValue": "Linux",
      "allowedValues": [
        "Linux"
      ],
      "metadata": {
        "description": "The type of operating system."
      }
    }
  },

  "resources": [
    {
      "type": "Microsoft.ContainerService/managedClusters",
      "apiVersion": "2020-03-01",
      "name": "[parameters('clusterName')]",
      "location": "[parameters('location')]",
      "properties": {
        "dnsPrefix": "[parameters('dnsPrefix')]",
        "agentPoolProfiles": [
          {
            "name": "agentpool",
            "maxPods": 110,
            "osDiskSizeGB": "[parameters('osDiskSizeGB')]",
            "type": "VirtualMachineScaleSets",
            "mode": "System",
            "count": "[parameters('agentCount')]",
            "vmSize": "[parameters('agentVMSize')]",
            "osType": "[parameters('osType')]",
            "storageProfile": "ManagedDisks",
            "availabilityZones": [
              "1",
              "2",
              "3"
            ]
          }
        ],
        "networkProfile": {
          "networkPlugin": "kubenet",
          "loadBalancerSku": "Standard"
        },
        "addonProfiles": {
          "KubeDashboard": {
            "enabled": false
          },
          "azurepolicy": {
            "enabled": true,
            "config": {
              "version": "v2"
            }
          },
          "httpApplicationRouting": {
            "enabled": true
          }
        },
        "linuxProfile": {
          "adminUsername": "[parameters('linuxAdminUsername')]",
          "ssh": {
            "publicKeys": [
              {
                "keyData": "[parameters('sshRSAPublicKey')]"
              }
            ]
          }
        },
        "enableRBAC": true,
        "aadProfile": {
          "managed": true,
          "enableAzureRBAC": true,
          "adminGroupObjectIDs": [
            "1f2a3b42-d409-4e5a-a530-cb899f033293"
          ]
        },
        "apiServerAccessProfile": {
          "enablePrivateCluster": false
        }
      },
      "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": "[first(variables('create-mi-dict'))]"
      }
    }
  ]
}

最佳答案

编辑:

自 2021 年 7 月 12 日起，这可以“正常”进行:

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', 'xxx'))]": {}
    }
}
}

据我所知，这是正确的(几乎)，但是您不能在arm模板中使用属性名称参数，因此您必须预先渲染模板。

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "/subscriptions/xxx/resourcegroups/yyyy/providers/Microsoft.ManagedIdentity/userAssignedIdentities/zzz": {}
    }
}

现在我想了一下，您可能会通过复制功能 hack 逃脱。我认为没有其他办法可以解决这个问题。

示例:

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "variables": {
        "copy": [
            {
                "name": "create-mi-dict",
                "count": 1,
                "input": {
                    "[resourceId('58aac3e3-e3c7-41e4-8539-5fd1893c46e9', 'rg-name','Microsoft.ManagedIdentity/userAssignedIdentities', 'mi-name')]": {}
                }
            }
        ]
    },
    "resources": [],
    "outputs": {
        "output1": {
            "type": "object",
            "value": "[first(variables('create-mi-dict'))]"
        }
    }
}

编辑:您可以像这样使用它:

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": "[first(variables('create-mi-dict'))]"
}

关于azure - 使用 ARM 模板将用户分配的身份分配给 AKS 群集，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/65575794/

文章推荐： azure - 如何azure函数HttpTrigger编辑代码参数名称？

文章推荐： Azure存储: BlobClient keeps resetting itself while uploading large files

文章推荐： azure - 对容器中的所有 blob 设置生命周期管理规则

文章推荐： c# - Azure 应用服务简单端点的响应非常慢

azure-aks - AKS 创建的服务主体密码到期
我使用“创建 Kubernetes 集群”功能在 Azure 门户中创建了我的 AKS 集群，并允许它创建新的服务主体。我开始怀疑这个主体使用的凭据是否过期。为了避免 K8s 在凭证到期时与 Azu
azure-aks - 如何将第二个 ACR 附加到我的 AKS 群集？
文档描述了如何将 ACR 附加到现有的 AKS 群集，https://learn.microsoft.com/en-us/azure/aks/cluster-container-registry-in
azure-aks - Azure RBAC 和 AKS 未按预期工作
我创建了一个 AKS 集群，并启用了 AKS 管理的 Azure Active Directory 和基于角色的访问控制 (RBAC)。如果我尝试使用 Admin Azure AD 组中包含的其中一个
azure-aks - 如何在 AKS 中查询每个容器的 CPU 和内存使用情况？
因此，我可以在 AKS 的见解选项卡中清楚地看到每个容器的统计信息。这些必须来自某个地方，但我只能在查询日志/指标时找到每个节点的统计信息。我如何查询这个(为了构建一个工作簿)。最佳答案该数据位于
到 AKS 的 Azure 专用链接以及到另一个 AKS 群集的专用终结点
我遇到的情况是，我的 AKS 集群已经就位，有两个 AKS 集群，并且它们仅在其安全区域内部可用。我不想通过互联网从另一个集群访问集群内的内部资源。我正在探索专用链接服务和端点，有什么建议吗？两个
azure - 具有静态 IP 和自定义证书/AKS 入口问题的 AKS
好吧，在过去的两天里，我一直在与这个文档作斗争: https://learn.microsoft.com/en-au/azure/aks/static-ip和 https://learn.micros
azure - AKS : CI/CD pipeline using AKS
我正在尝试找出使用 AKS 和 VSTS 为 Asp.Net Core Web 应用程序设置 CI/CD 的步骤。 https://learn.microsoft.com/en-us/vsts/bui
到 AKS 的 Azure 专用链接以及到另一个 AKS 群集的专用终结点
我遇到的情况是，我的 AKS 集群已经就位，有两个 AKS 集群，并且它们仅在其安全区域内部可用。我不想通过互联网从另一个集群访问集群内的内部资源。我正在探索专用链接服务和端点，有什么建议吗？两个
azure - AKS Kubenet 为您带来子网、可路由和 AGIC AKS 集成
只是一个问题，在微软页面上 https://learn.microsoft.com/en-us/azure/aks/configure-kubenet#bring-your-own-subnet-an
AKS Kubectl 任务的 Azure Devops 管道无法将 list 部署到 AKS
kubectl 任务无法将 list 文件部署到 AKS。管道失败并出现以下错误 ##[错误]未找到与/home/vsts/work/1/s/manifests 匹配的配置文件。管道在运行两个阶段(
azure-aks - AKS Horizontal Pod Autoscaling - 缺少 cpu 请求
我一直在尝试设置 Kubernetes 1.13 AKS 部署以使用 HPA，但我一直遇到问题: NAME REFERENCE
azure - 如何使用 Cloud shell SSH 进入 AKS 集群并测试 AKS 内部的连接
我们公司封锁了 ssh 端口。如何使用 cloud shell ssh 进入 AKS 集群，以便我们可以从那里 curl 到外部 URL 来测试连接？谢了。最佳答案这实际上没有多大意义，但您只需要
aks-istio-ingressgateway-external 的 Azure AKS 静态 IP 地址
我正在通过 azure 安装 istio az aks mesh enable --resource-group 'myrg' --name 'myk8s' 然后启用外部 istio 入口网关 az
azure - Terraform Azure AKS - 如何将 UAMI 设置为 AKS 集群的 kubelet_identity
查看地形 documentation我无法确定如何将 UAMI 分配为 kubelet_identity对于aks集群。 identity { ... }按照描述设置 controlPlane UAM
aks-istio-ingressgateway-external 的 Azure AKS 静态 IP 地址
我正在通过 azure 安装 istio az aks mesh enable --resource-group 'myrg' --name 'myk8s' 然后启用外部 istio 入口网关 az
azure - Terraform Azure AKS - 如何将 UAMI 设置为 AKS 集群的 kubelet_identity
查看地形 documentation我无法确定如何将 UAMI 分配为 kubelet_identity对于aks集群。 identity { ... }按照描述设置 controlPlane UAM
azure-aks - 来自 Azure 门户的 Pod 中运行的应用程序的 Azure AKS 应用程序日志？
我们可以从 Log Analytics Workspace 访问 pod 相关日志，但没有应用程序日志(类似于我们在 kubectl get events 中看到的)。我指的是 Azure 文档，但
azure-container-service - 无法使用命令 "az aks create"在 azure 中创建 AKS
az aks create -n MyServices -g MyKubernetes --generate-ssh-keys 不工作。错误消息:az aks create -n Adestis-Se
azure - 如何在 AKS 中安装 ELK Stack 以及如何通过 SSH 连接到两者(AKS 和 GKE)中的节点
我想知道如何通过 ssh 连接到 GKE 和 AKS 中的节点，以及如何在 Kubernetes 集群中安装 ELK 堆栈。任何一步一步的链接都会对我有帮助。无法使用此命令连接:gcloud co
azure - 如何阻止 azure aks get-credentials --admin 并仅在 azure 上允许 azure aks get-credentials？
使用azure aks get-credentials --admin可以获取kubernetes管理配置文件，azure aks get-credentials只能获取azure上的用户配置文件。

行者123

个人简介

我是一名优秀的程序员,十分优秀！

作者热门文章

滴滴打车优惠券免费领取

全站热门文章

首页

博学

6Ren·AI

商城

azure - 使用 ARM 模板将用户分配的身份分配给 AKS 群集