如何以编程方式向 Azure Kubernetes (AKS) 进行身份验证

时间:2021-05-28 10:39:25

标签: azure kubernetes azure-active-directory

我正在设置 AKS 群集,最近启用了 Azure Active Directory 集成。我有一个 C# 应用程序,它在创建 Kubernetes 作业的 Kubernetes 集群之外运行。因此,我使用的是 C# KubernetesClient 包,它以前一直运行良好(现在仍然如此)。但是,它使用的是未与 Active Directory 集成的所谓“本地帐户”(即本地管理员用户)。我的目标是从长远来看完全停用本地帐户,这意味着我需要一种不同的身份验证方式。由于 Kubernetes 集群现已与 AAD 完全集成,因此我最好使用服务主体进行身份验证。

Microsoft 没有提供任何关于如何实现这一目标的文档,支持也没有特别的帮助。

1 个答案:

答案 0 :(得分:0)

您需要手动获取 Kubernetes 环境的访问令牌。这可以通过以下代码完成:

var credFactory = new AzureCredentialsFactory();
var credentials = credFactory.FromServicePrincipal(
    "CLIENT_ID",
    "CLIENT_SECRET",
    "TENANT_ID",
    AzureEnvironment.AzureGlobalCloud
);

var azure = Microsoft.Azure.Management.Fluent.Azure
    .Authenticate(credentials)
    .WithSubscription("SUBSCRIPTION_ID");

var kubeConfigBytes = azure.KubernetesClusters.GetUserKubeConfigContents(
    "K8S_RESOURCE_GROUP",
    "K8S_CLUSTER_NAME"
);


var kubeConfigRaw = KubernetesClientConfiguration.LoadKubeConfig(new MemoryStream(kubeConfigBytes));
var authProvider  = kubeConfigRaw.Users.Single().UserCredentials.AuthProvider;
if (!authProvider.Name.Equals("azure", StringComparison.OrdinalIgnoreCase))
    throw new Exception("Invalid k8s auth provider!");

// Token Helper is a small helper utility that I use instead of MSAL
// This method is doing a POST call to https://login.microsoftonline.com/{tenantId}/oauth2/v2.0/token
var token = TokenHelper.GetTokenByClientCredentials(
    "CLIENT_ID",
    "CLIENT_SECRET",
    "TENANT_ID",
    "6dae42f8-4368-4678-94ff-3960e28e3630/.default" // This scope is always the same. It's the "Azure Kubernetes Service AAD Server" app from Microsoft. (az ad sp show --id 6dae42f8-4368-4678-94ff-3960e28e3630)
).GetAwaiter().GetResult();

authProvider.Config["access-token"] = token.AccessToken;
authProvider.Config["expires-on"]   = DateTimeOffset.UtcNow.AddSeconds(token.ExpiresIn).ToUnixTimeSeconds().ToString();

var kubeConfig    = KubernetesClientConfiguration.BuildConfigFromConfigObject(kubeConfigRaw);
var kubernetes = new Kubernetes(kubeConfig);

请记住,令牌每小时都会过期,因此您需要定期创建一个新的 Kubernetes 实例。另请注意,这仅负责身份验证,而不是授权。这意味着,您将能够登录,但您的服务主体可能不被允许读取/编辑任何 kubernetes 资源。为此,您需要按照 HERE 所述为您的服务主体分配 RoleCluterRole

相关问题
最新问题