【发布时间】:2018-12-30 21:01:31
【问题描述】:
我无法为 az aks create --client-secret 参数传递存储在保管库中的服务主体密码
复制 1.) 创建一个保管库
az keyvault create \
--name ${AZURE_VAULT_NAME} \
--resource-group ${AZURE_RESOURCE_GROUP} \
--location ${AZURE_LOCATION} \
--enabled-for-deployment 'true'
2.) 使用保管库创建服务主体帐户
az ad sp create-for-rbac \
--skip-assignment \
--name ${AZURE_SERVICE_PRINCIPAL_NAME} \
--create-cert \
--cert ${AZURE_VAULT_SERVICE_PRINCIPAL_KEY_NAME} \
--keyvault ${AZURE_VAULT_NAME}
3.) 到 az ad sp create 的输出显示为
{
"appId": "d216c019-cd17-4350-a467-77be6e76c135",
"displayName": "aksServicePrincipalPOC",
"name": "http://aksServicePrincipalPOC",
"password": null,
"tenant": "06dd2342-6928-44d9-bd0f-bfb06b15a097"
}
注意密码为空。
4.) 使用服务主体创建 aks 集群。似乎没有办法为 az aks create 命令传递机密或保管库名称。我没有设置 --client-secret 的价值,因为它在创建服务主体帐户时没有返回。
az aks create \
--resource-group ${AZURE_RESOURCE_GROUP} \
--name ${AKS_CLUSTER_NAME} \
--admin-username ${AKS_NODE_ADMIN_USERNAME} \
--node-count ${AKS_MIN_NUMBER_OF_NODES} \
--service-principal ${AZURE_SERVICE_PRINCIPAL} \
--client-secret ??????????? \
--ssh-key-value ${AKS_VM_SSH_KEY_FILE_DIR}/${AKS_VM_SSH_KEY_FILE_NAME}.pub \
--network-plugin azure \
--vnet-subnet-id ${AZURE_PRIVATE_SUBNET_ID} \
--docker-bridge-address ${AZURE_AKS_DOCKER_BRIDGE_ADDRESS} \
--dns-service-ip ${AZURE_AKS_DNS_SERVICE_IP} \
--service-cidr ${AZURE_AKS_SERVICE_CIDR}
预期行为: az aks create 应该有一个选项,可以让它从维护该机密的保管库中提取服务主体密码。
【问题讨论】:
标签: azure-keyvault azure-cli azure-aks