[AKS] 클러스터 로컬 계정의 무효화와 과거 자격 정보의 무효화

AKS(Azure Kubernetes Service)의 문서를 읽을 때'클러스터된 로컬 계정의 무효화'에 신경 쓰이는 문구가 있어서 다음 동작을 봤습니다.

시험해 보다


클러스터 생성


일반적으로 포털 사이트에서 창설한다.기본 버전은 1.220.9입니다.

로컬 계정의 자격 정보 얻기


지금까지 보살핌을 받아 아래 명령을 통해 자격 정보를 얻었습니다.
az aks get-credentials --resource-group <resource-group> --name <cluster-name> --admin
kubectl의 집행도 문제없다.
kubectl get nodes

NAME                                STATUS   ROLES   AGE     VERSION
aks-agentpool-40731062-vmss000000   Ready    agent   4m38s   v1.20.9
aks-agentpool-40731062-vmss000001   Ready    agent   4m43s   v1.20.9
aks-agentpool-40731062-vmss000002   Ready    agent   4m41s   v1.20.9

클러스터를 통해 로컬 계정 비활성화


처음 문서에서 설명한 대로 다음 명령은 비활성화됩니다.
az aks update -g <resource-group> -n <cluster-name> --disable-local-accounts
출력에서 properties.disableLocalAccounts 필드를 true로 설정하면 됩니다.
"properties": {
    ...
    "disableLocalAccounts": true,
    ...
}

현지 신용장 취득(재)


관리자 자격 정보를 얻으려면 기능에 장애가 발생하고 액세스가 실패했다는 오류 메시지가 표시됩니다.OK.
az aks get-credentials --resource-group <resource-group> --name <cluster-name> --admin

(BadRequest) Getting static credential is not allowed because this cluster is set to disable local accounts.
Code: BadRequest
Message: Getting static credential is not allowed because this cluster is set to disable local accounts.
다른 한편, 이미 취득한 자격 정보로kubectl을 실행할 수 있다.이거 NG 내고 싶다.
kubectl get nodes

NAME                                STATUS   ROLES   AGE   VERSION
aks-agentpool-40731062-vmss000000   Ready    agent   10m   v1.20.9
aks-agentpool-40731062-vmss000001   Ready    agent   11m   v1.20.9
aks-agentpool-40731062-vmss000002   Ready    agent   10m   v1.20.9
이 섹션은 문서 고려 사항에 기재된 다음 섹션입니다.

이미 자격정보를 취득했다면kubectl을 수행할 수 있기 때문에 자격정보(증명서)를 취소해야 한다는 것이다.

그룹 인증서 교체


위에서 설명한 대로 az aks rotate-certs 명령만 있으면 됩니다.
"Azaks rotate-certs 전사 인증서를 사용하면 모든 노드가 재제작되고 AKS 클러스터는 최대 30분의 마비 시간이 발생할 수 있습니다."따라서 실제 환경에서 실행할 때는 매우 주의해야 한다.
컬렉션을 만드는 데 같은 시간이 걸리니 참을성 있게 기다려 주세요.☕

동작 확인


같은 케이스의kubectl 명령이 통과되지 않았습니다.
kubectl get nodes

Unable to connect to the server: x509: certificate signed by unknown authority (possibly because of "crypto/rsa: verification error" while trying to verify candidate authority certificate "ca")
자격 정보를 다시 얻으려고 시도했지만 로컬 계정이 비활성화되어 가져올 수 없습니다.
az aks get-credentials --resource-group <resource-group> --name <cluster-name> --admin

(BadRequest) Getting static credential is not allowed because this cluster is set to disable local accounts.
Code: BadRequest
Message: Getting static credential is not allowed because this cluster is set to disable local accounts.

끝말


따라서 로컬 계정은 과거에 저장된 자격 정보의 연결을 포함하여 안전하게 비활성화됩니다.기존 클러스터에서는 본 보도와 같은 형태로 추가 작업(클러스터 증명서 전달)이 필요하다.
또 "AKS 클러스터링은 최대 30분의 감소 시간을 낼 수 있다"고 덧붙였다.이 점은 영향이 매우 크기 때문에 기존의 분류에 반영될 때 반드시 매우 주의해야 한다.

좋은 웹페이지 즐겨찾기