대상 클러스터의 서비스 주체 순환
이 문서에서는 대상 Nexus 클러스터에서 서비스 주체 순환을 수행하는 프로세스에 대한 개요를 제공합니다. 보안 모범 사례에 따라 보안 주체를 주기적으로 순환해야 합니다. 서비스 주체의 무결성이 의심되거나 손상된 것으로 알려질 때마다 즉시 순환해야 합니다.
필수 조건
- [Azure CLI 설치][installation-instruction]을 설치해야 합니다.
networkcloudCLI 확장이 필요합니다.networkcloud확장이 설치되지 않은 경우 여기에 나열된 단계에 따라 설치할 수 있습니다.- 대상 클러스터에 대한 Azure Portal에 액세스합니다.
az login을 통해 대상 클러스터와 동일한 구독에 로그인해야 합니다.- 대상 클러스터가 실행 중이고 정상 상태여야 합니다.
- 구성된 자격 증명이 만료되기 전에 서비스 주체 순환을 수행해야 합니다.
- 서비스 주체는 대상 클러스터의 구독에 대한 소유자 권한이 있어야 합니다.
기존 서비스 주체에 보조 자격 증명 추가
서비스 주체에 대한 기존 자격 증명 정보 나열
az ad app credential list --id "<SP Application (client) ID>"
서비스 주체에 보조 자격 증명을 추가합니다. 모범 사례에 따라 생성된 암호를 안전한 곳에 복사하세요.
az ad app credential reset --id "<SP Application (client) ID>" --append --display-name "<human-readable description>"
새 서비스 주체를 만들기
새 서비스 주체는 대상 클러스터 구독에 대해 소유자 권한 범위를 보유해야 합니다.
az ad sp create-for-rbac -n "<service principal display name>" --role owner --scopes /subscriptions/<subscription-id>
대상 클러스터에서 서비스 주체 순환
새 정보(보조 자격 증명 업데이트 또는 대상 클러스터의 새 서비스 주체)를 제공하여 대상 클러스터에서 서비스 주체를 순환할 수 있습니다.
az networkcloud cluster update --resource-group "<resourceGroupName>" --cluster-service-principal application-id="<sp app id>" password="<cleartext password>" principal-id="<sp id>" tenant-id="<tenant id>" -n <cluster name> --subscription <subscription-id>
대상 클러스터에서 새 서비스 주체 업데이트 확인
클러스터는 대상 클러스터에서 순환하는 새 서비스 주체 변경 내용을 나열합니다.
az networkcloud cluster show --name "clusterName" --resource-group "resourceGroup"
출력의 clusterServicePrincipal 속성 아래에서 세부 정보를 찾을 수 있습니다.
"clusterServicePrincipal": {
"applicationId": "<sp application id>",
"principalId": "<sp principal id>",
"tenantId": "tenant id"
}
참고 항목
업데이트할 때 올바른 서비스 주체 ID(Azure의 개체 ID)를 사용하고 있는지 확인합니다. 동일한 서비스 주체 이름에 대해 Azure에서 검색할 수 있는 두 가지 개체 ID가 있습니다. 다음 단계에 따라 올바른 개체를 찾습니다.
- Azure Portal 검색 창에서 서비스 주체를 검색할 때 표시되는 형식 애플리케이션의 서비스 주체에서 개체 ID를 검색하지 않습니다.
- 대신 Azure Services의 "엔터프라이즈 애플리케이션"에서 서비스 주체 이름을 검색하여 올바른 개체 ID를 찾은 후 보안 주체 ID로 사용합니다.
아직도 질문이 있으면 고객 지원팀에 문의하세요. 지원 플랜에 대한 자세한 내용은 Azure 지원 플랜을 참조하세요.