使用Azure磁盘的AKS动态持久卷声明

Question

我正在关注下面提到的创建动态持久卷声明的文章。

  

https://docs.microsoft.com/en-us/azure/aks/azure-disks-dynamic-pv

我使用：

创建了一个持久量声明

kubectl get pvc -n <namespace>

问题01：

据我了解，永久卷和实际的基础磁盘将在创建时进行配置。

这是正确的吗？

问题02：

Pending

使我的PVC的状态为Failed to provision volume with StorageClass "managed-premium": azure.BearerAuthorizer#WithAuthorization: Failed to refresh the Token for request to https://management.azure.com/subscriptions/xxxx/resourceGroups/MC_XXXX/providers/Microsoft.Compute/disks/kubernetes-dynamic-pvc-651cef89-49ae-11e9-8104-0a58ac1f222a?api-version=2016-04-30-preview: StatusCode=401 Original Error: adal: Refresh request failed. Status Code = '401'. { "error": "invalid_client", "error_description": "AADSTS7000215: Invalid client secret is provided.\r\n Trace ID: xxxx\r\nCorrelation ID: xxxxr\nTimestamp: 2019-03-18 18:49:42Z", "error_codes": [ 7000215 ], "timestamp": "2019-03-18 18:49:42Z", "trace_id": "xxxx", "correlation_id": "xxxx" } 。我在kubernetes事件列表中遇到以下错误

EPPlus.dll

Answer 1

1. 是的，可以动态配置它
2. 确信此错误表示您的服务主体没有对该资源组的权限，或者它的机密已过期。

一种检查方法是从AKS资源（在servicePrincipalProfile >> clientId下使用az aks list -g %resource-group%查找信息，并检查它是否对该资源具有权限组。如果是这样，您可以尝试将机密旋转到新的机密

https://docs.microsoft.com/en-us/azure/aks/update-credentials