共用方式為


在 Azure Kubernetes Service (AKS) 中使用受控識別

Azure Kubernetes Service (AKS) 叢集需要 Microsoft Entra 身分識別才能存取 Azure 資源,例如負載平衡器和受控磁碟。 Azure 資源受控識別是授權從 AKS 叢集存取其他 Azure 服務的建議方式。

您可以使用受控識別,從 AKS 叢集將存取權授權給任何支援 Microsoft Entra 授權的服務,而不需要管理認證或包含在程式碼中。 您會將受控識別指派給 Azure 角色型存取控制 (Azure RBAC) 角色,將權限授與 Azure 中的特定資源。 例如,您可以將權限授與受控識別,以存取 Azure Key Vault 中的秘密,供叢集使用。 如需有關 Azure RBAC 的詳細資訊,請參閱什麼是 Azure 角色型存取控制 (Azure RBAC)?

本文說明如何在新的或現有的 AKS 叢集上啟用下列類型的受控識別:

  • 系統指派的受控識別。 系統指派的受控識別會與單一 Azure 資源 (例如 AKS 叢集) 相關聯。 只有叢集的生命週期才會存在。
  • 使用者指派的受控識別。 使用者指派的受控識別是獨立 Azure 資源,AKS 叢集可用來授權存取其他 Azure 服務。 其會與 AKS 叢集分開保存,且可供多個 Azure 資源使用。
  • 預先建立的 Kubelet 受控識別。 預先建立的 kubelet 受控識別是選擇性的使用者指派身分識別,可供 kubelet 用來存取 Azure 中的其他資源。 如果您未為 kubelet 指定使用者指派的受控識別,AKS 會在節點資源群組中建立使用者指派的 kubelet 身分識別。

若要深入了解受控識別,請參閱 Azure 資源受控識別

概觀

AKS 叢集會使用受控識別來要求來自 Microsoft Entra 的權杖。 這些權杖可用來授權存取 Azure 中執行的其他資源。 您可以將 Azure RBAC 角色指派給受控識別,以授與叢集存取特定資源的權限。 例如,如果您的叢集需要存取 Azure 金鑰保存庫中的秘密,您可以將授與這些權限的 Azure RBAC 角色指派給叢集的受控識別。

受控識別可以是系統指派或使用者指派的識別。 這兩種類型的受控識別很類似,您可以使用任一類型來授權從 AKS 叢集存取 Azure 資源。 兩者之間的主要差異在於,系統指派的受控識別與單一 Azure 資源 (例如 AKS 叢集) 相關聯,而使用者指派的受控識別本身就是獨立的 Azure 資源。 如需受控識別類型之間差異的詳細資料,請參閱 Azure 資源的受控識別中的受控識別類型

這兩種類型的受控識別都是由 Azure 平台所管理,因此您可以從應用程式授權存取權,而不必佈建或輪替任何秘密。 Azure 會為您管理身分識別的認證。

當您部署 AKS 叢集時,預設會為您建立系統指派的受控識別。 您也可以使用使用者指派的受控識別來建立叢集。

您也可以建立具有應用程式服務主體的叢集,而不是受控識別。 建議透過服務主體使用受控識別,以獲得安全性和方便使用。 如需使用服務主體建立叢集的詳細資訊,請參閱搭配 Azure Kubernetes Service (AKS) 使用服務主體

您可以更新現有的叢集,以從應用程式服務主體使用受控識別。 您也可以將現有的叢集更新為不同類型的受控識別。 如果您的叢集已經使用受控識別,且身分識別已變更 (例如,您將叢集身分識別類型從系統指派更新為使用者指派),則控制平面元件切換至新的身分識別時會發生延遲。 控制平面元件會繼續使用舊的身分識別,直到其權杖到期為止。 重新整理權杖之後,它們會切換至新的身分識別。 此程序可能需要數小時的時間。

系統指派和使用者指派的身分識別類型與 Microsoft Entra Workload 身分識別不同,這是供 Pod 上執行的應用程式使用。

開始之前

執行本文中的範例之前,請呼叫 az account set 命令並傳入您的訂用帳戶識別碼,將您的訂用帳戶設定為目前的使用中訂用帳戶。

az account set --subscription <subscription-id>

如果您還沒有 Azure 資源群組,請呼叫 az group create 命令來建立 Azure 資源群組。

az group create \
    --name myResourceGroup \
    --location westus2

啟用系統指派的受控識別

系統指派的受控識別是與 AKS 叢集或其他 Azure 資源相關聯的身分識別。 系統指派的受控識別會繫結至叢集的生命週期。 刪除叢集時,也會刪除系統指派的受控識別。

AKS 叢集可以使用系統指派的受控識別來授權存取 Azure 中執行的其他資源。 您可以將 Azure RBAC 角色指派給系統指派的受控識別,以授與叢集存取特定資源的權限。 例如,如果您的叢集需要存取 Azure 金鑰保存庫中的秘密,您可以將授與這些權限的 Azure RBAC 角色指派給系統指派的受控識別。

在新 AKS 叢集上啟用系統指派的受控識別

若要在新的叢集上啟用系統指派的受控識別,請呼叫 az aks create。 預設會在新的叢集上啟用系統指派的受控識別。

使用 az aks create 命令建立 AKS 叢集。

az aks create \
    --resource-group myResourceGroup \
    --name myManagedCluster \
    --generate-ssh-keys

若要在建立叢集之後確認叢集已啟用系統指派的受控識別,請參閱判斷叢集所使用的受控識別類型

更新現有的 AKS 叢集以使用系統指派的受控識別

若要更新使用服務主體改用系統指派受控識別的現有 AKS 叢集,請使用 --enable-managed-identity 參數執行 az aks update 命令。

az aks update \
    --resource-group myResourceGroup \
    --name myManagedCluster \
    --enable-managed-identity

更新叢集以使用系統指派的受控識別,而不是服務主體之後,控制平面和 Pod 會在存取 Azure 中的其他服務時,使用系統指派的受控識別進行授權。 除非您也升級代理程式集區,否則 kubelet 會繼續使用服務主體。 您可以在節點上使用 az aks nodepool upgrade --resource-group myResourceGroup --cluster-name myAKSCluster --name mynodepool --node-image-only 命令來更新為受控識別。 節點集區升級會導致 AKS 叢集停機,因為會隔離/清空節點集區中的節點,然後重新安裝其映像。

注意

更新叢集時,請記住下列資訊:

  • 只有在有要取用的 VHD 更新時,更新才會運作。 如果您要執行最新的 VHD,則需要等到下一個 VHD 可供使用,才能執行更新。

  • Azure CLI 可確保在移轉之後正確設定附加元件的權限。 如果您未使用 Azure CLI 來執行移轉作業,則需要自行處理附加元件身分識別的權限。 如需使用 Azure Resource Manager (ARM) 範本的範例,請參閱使用 ARM 範本來指派 Azure 角色

  • 如果您的叢集之前使用 --attach-acr 以從 Azure Container Registry (ACR) 中的映像進行提取,則在更新您的叢集之後,您需要執行 az aks update --resource-group myResourceGroup --name myAKSCluster --attach-acr <ACR resource ID> 命令,以讓用於受控識別的新建 kubelet 取得從 ACR 提取的權限。 否則,您將無法在更新之後從 ACR 提取。

為系統指派的受控識別新增角色指派

您可以將 Azure RBAC 角色指派給系統指派的受控識別,以授與另一個 Azure 資源的叢集權限。 Azure RBAC 同時支援指定權限層級的內建和自訂角色定義。 如需指派 Azure RBAC 角色的詳細資訊,請參閱指派 Azure 角色的步驟

當您將 Azure RBAC 角色指派給受控識別時,您必須定義角色的範圍。 一般而言,最佳做法是將角色的範圍限制為受控識別所需的最低權限。 如需界定 Azure RBAC 角色範圍的詳細資訊,請參閱了解 Azure RBAC 的範圍

建立和使用您自己的 VNet、連結的 Azure 磁碟、靜態 IP 位址、路由表,或資源位於背景工作節點資源群組外部的使用者指派 kubelet 身分識別時,Azure CLI 會自動新增角色指派。 如果您要使用 ARM 範本或另一種方法,請使用受控識別的主體識別碼來執行角色指派。

如果您未使用 Azure CLI,而是使用自己的 VNet、連結的 Azure 磁碟、靜態 IP 位址、路由表,或位於背景工作節點資源群組外部的使用者指派 kubelet 身分識別,則建議您使用控制平面的使用者指派受控識別。 當控制平面使用系統指派的受控識別時,身分識別會與叢集同時建立,因此在建立叢集之前,無法執行角色指派。

取得系統指派受控識別的主體識別碼

若要將 Azure RBAC 角色指派給叢集的系統指派受控識別,您必須先取得受控識別的主體識別碼。 呼叫 az aks show 命令,以取得叢集系統指派受控識別的主體識別碼。

# Get the principal ID for a system-assigned managed identity.
CLIENT_ID=$(az aks show \
    --name myAKSCluster \
    --resource-group myResourceGroup \
    --query identity.principalId \
    --output tsv)

將 Azure RBAC 角色指派給系統指派的受控識別

若要將系統指派的受控識別權限授與 Azure 中的資源,請呼叫 az role assignment create 命令,將 Azure RBAC 角色指派給受控識別。

針對 VNet、連結的 Azure 磁碟、靜態 IP 位址或預設背景工作節點資源群組外的路由表,您需要在自訂資源群組上指派 Network Contributor 角色。

例如,使用 az role assignment create 命令,在自訂資源群組上指派 Network Contributor 角色。 針對 --scope 參數,提供叢集資源群組的資源識別碼。

az role assignment create \
    --assignee $CLIENT_ID \
    --role "Network Contributor" \
    --scope "<resource-group-id>"

注意

授與叢集受控識別的權限,最多可能需要 60 分鐘的時間才能散佈。

啟用使用者指派的受控識別

使用者指派的受控識別是獨立的 Azure 資源。 當您為控制平面建立具有使用者指派受控識別的叢集時,使用者指派的受控識別資源在叢集建立之前就必須存在。 此功能可啟用使用自訂 VNet 建立叢集,或使用使用者定義路由 (UDR) 的輸出類型建立叢集等案例。

建立使用者指派的受控識別

如果您還沒有使用者指派的受控識別資源,請使用 az identity create 命令建立一個。

az identity create \
    --name myIdentity \
    --resource-group myResourceGroup

您的輸出應該類似下列範例輸出:

{                                  
  "clientId": "<client-id>",
  "clientSecretUrl": "<clientSecretUrl>",
  "id": "/subscriptions/<subscriptionid>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myIdentity", 
  "location": "westus2",
  "name": "myIdentity",
  "principalId": "<principal-id>",
  "resourceGroup": "myResourceGroup",                       
  "tags": {},
  "tenantId": "<tenant-id>",
  "type": "Microsoft.ManagedIdentity/userAssignedIdentities"
}

接下來,取得使用者指派受控識別的主體識別碼

若要取得使用者指派受控識別的主體識別碼,請呼叫 az identity show 並查詢 principalId 屬性:

CLIENT_ID=$(az identity show \
    --name myIdentity \
    --resource-group myResourceGroup \
    --query principalId \
    --output tsv)

取得使用者指派受控識別的資源識別碼

若要建立具有使用者指派受控識別的叢集,您需要新受控識別的資源識別碼。 若要取得使用者指派受控識別的資源識別碼,請呼叫 az aks show 並查詢 id 屬性:

RESOURCE_ID=$(az identity show \
    --name myIdentity \
    --resource-group myResourceGroup \
    --query id \
    --output tsv)

將 Azure RBAC 角色指派給使用者指派的受控識別

建立叢集之前,請先呼叫 az role assignment create 命令來新增受控識別的角色指派。

下列範例會將 Key Vault 秘密使用者角色指派給使用者指派的受控識別,以授與其存取密鑰保存庫中秘密的權限。 角色指派的範圍是金鑰保存庫資源:

az role assignment create \
    --assignee $CLIENT_ID \
    --role "Key Vault Secrets User" \
    --scope "<keyvault-resource-id>"

注意

授與叢集受控識別的權限,最多可能需要 60 分鐘的時間才能填入。

使用使用者指派的受控識別建立叢集

若要使用使用者指派的受控識別建立 AKS 叢集,請呼叫 az aks create 命令。 包含 --assign-identity 參數,並傳入使用者指派受控識別的資源識別碼:

az aks create \
    --resource-group myResourceGroup \
    --name myManagedCluster \
    --network-plugin azure \
    --vnet-subnet-id <subnet-id> \
    --dns-service-ip 10.2.0.10 \
    --service-cidr 10.2.0.0/24 \
    --assign-identity $RESOURCE_ID \
    --generate-ssh-keys

注意

Azure US Government 雲端中的 USDOD Central、USDOD East 和 USGov Iowa 區域不支援建立具有使用者指派受控識別的叢集。

更新現有的叢集以使用使用者指派的受控識別

若要更新現有的叢集以使用使用者指派的受控識別,請呼叫 az aks update 命令。 包含 --assign-identity 參數,並傳入使用者指派受控識別的資源識別碼:

az aks update \
    --resource-group myResourceGroup \
    --name myManagedCluster \
    --enable-managed-identity \
    --assign-identity $RESOURCE_ID

使用使用者指派受控識別的成功叢集更新輸出應該類似下列範例輸出:

  "identity": {
    "principalId": null,
    "tenantId": null,
    "type": "UserAssigned",
    "userAssignedIdentities": {
      "/subscriptions/<subscriptionid>/resourcegroups/resourcegroups/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myIdentity": {
        "clientId": "<client-id>",
        "principalId": "<principal-id>"
      }
    }
  },

注意

將控制平面的受控識別從系統指派移轉至使用者指派,不會造成控制平面和代理程式集區的任何停機。 控制平面元件會繼續進行舊的系統指派身分識別最多數個小時,直到下次權杖重新整理為止。

判斷叢集所使用的受控識別類型

若要判斷現有 AKS 叢集所使用的受控識別類型,請呼叫 az aks show 命令,並查詢身分識別的 type 屬性。

az aks show \
    --name myAKSCluster \
    --resource-group myResourceGroup \
    --query identity.type \
    --output tsv       

如果叢集使用受控識別,則 type 屬性的值會是 SystemAssignedUserAssigned

如果叢集使用服務主體,則 type 屬性的值會是 Null。 請考慮升級叢集以使用受控識別。

使用預先建立的 kubelet 受控識別

預先建立的 kubelet 身分識別是在叢集建立之前即存在的使用者指派受控識別。 這項功能可在叢集建立期間啟用連線至 Azure Container Registry (ACR) 等案例。

注意

如果您未指定自己的 kubelet 受控識別,則 AKS 會在節點資源群組中建立使用者指派的 kubelet 身分識別。

針對預設背景工作節點資源群組外部的使用者指派 kubelet 身分識別,您需要在 kubelet 身分識別上指派控制平面受控識別的受控識別操作員角色。

kubelet 受控識別

如果您沒有 kubelet 受控識別,則請使用 az identity create 命令來建立受控識別。

az identity create \
    --name myKubeletIdentity \
    --resource-group myResourceGroup

您的輸出應該與下列範例輸出類似:

{
  "clientId": "<client-id>",
  "clientSecretUrl": "<clientSecretUrl>",
  "id": "/subscriptions/<subscriptionid>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myKubeletIdentity", 
  "location": "westus2",
  "name": "myKubeletIdentity",
  "principalId": "<principal-id>",
  "resourceGroup": "myResourceGroup",                       
  "tags": {},
  "tenantId": "<tenant-id>",
  "type": "Microsoft.ManagedIdentity/userAssignedIdentities"
}

將 RBAC 角色指派給 kubelet 受控識別

使用 az role assignment create 命令,以在 kubelet 身分識別上指派 ACRPull 角色。 提供 $KUBELET_CLIENT_ID 變數的 kubelet 身分識別主體標識碼,並提供 $ACR_REGISTRY_ID 變數的 ACR 登錄標識符。

az role assignment create \
    --assignee $KUBELET_CLIENT_ID \
    --role "acrpull" \
    --scope "$ACR_REGISTRY_ID"

建立叢集以使用 kubelet 身分識別

現在,您可以使用現有身分識別來建立 AKS 叢集。 請務必包括 assign-identity 引數,以針對控制平面提供受控識別的資源識別碼,以及使用 assign-kubelet-identity 引數來提供 kubelet 受控識別。

使用 az aks create 命令,以使用現有身分識別來建立 AKS 叢集。

az aks create \
    --resource-group myResourceGroup \
    --name myManagedCluster \
    --network-plugin azure \
    --vnet-subnet-id <subnet-id> \
    --dns-service-ip 10.2.0.10 \
    --service-cidr 10.2.0.0/24 \
    --assign-identity <identity-resource-id> \
    --assign-kubelet-identity <kubelet-identity-resource-id> \
    --generate-ssh-keys

使用 kubelet 受控識別成功建立的 AKS 叢集應該會產生類似下列的輸出:

  "identity": {
    "principalId": null,
    "tenantId": null,
    "type": "UserAssigned",
    "userAssignedIdentities": {
      "/subscriptions/<subscriptionid>/resourcegroups/resourcegroups/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myIdentity": {
        "clientId": "<client-id>",
        "principalId": "<principal-id>"
      }
    }
  },
  "identityProfile": {
    "kubeletidentity": {
      "clientId": "<client-id>",
      "objectId": "<object-id>",
      "resourceId": "/subscriptions/<subscriptionid>/resourcegroups/resourcegroups/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myKubeletIdentity"
    }
  },

更新現有的叢集以使用 kubelet 身分識別

若要更新現有的叢集以使用 kubelet 受控識別,請先取得 AKS 叢集目前的控制平面受控識別。

警告

更新 kubelet 受控識別會升級 AKS 叢集的節點集區,這會導致叢集停機,因為會隔離/清空節點集區中的節點,然後重新安裝其映像。

  1. 使用 az aks show 命令,確認您的 AKS 叢集使用使用者指派受控識別。

    az aks show \
        --resource-group <RGName> \
        --name <ClusterName> \
        --query "servicePrincipalProfile"
    

    如果您的叢集要使用受控識別,則輸出會顯示值為 msiclientId。 使用服務主體的叢集會顯示物件識別碼。 例如:

    # The cluster is using a managed identity.
    {
      "clientId": "msi"
    }
    
  2. 確認叢集使用受控識別之後,請使用 az aks show 命令來尋找受控識別的資源識別碼。

    az aks show --resource-group <RGName> \
        --name <ClusterName> \
        --query "identity"
    

    針對使用者指派的受控識別,您的輸出應該看起來類似下列範例輸出:

    {
      "principalId": null,
      "tenantId": null,
      "type": "UserAssigned",
      "userAssignedIdentities": <identity-resource-id>
          "clientId": "<client-id>",
          "principalId": "<principal-id>"
    },
    
  3. 使用 az aks update 命令,以使用現有身分識別來更新叢集。 針對 assign-identity 引數的控制平面提供使用者指派受控識別的資源識別碼。 為 assign-kubelet-identity 引數提供 kubelet 受控識別的資源識別碼。

    az aks update \
        --resource-group myResourceGroup \
        --name myManagedCluster \
        --enable-managed-identity \
        --assign-identity <identity-resource-id> \
        --assign-kubelet-identity <kubelet-identity-resource-id>
    

使用您自己的 kubelet 受控識別的成功叢集更新輸出應該類似下列範例輸出:

  "identity": {
    "principalId": null,
    "tenantId": null,
    "type": "UserAssigned",
    "userAssignedIdentities": {
      "/subscriptions/<subscriptionid>/resourcegroups/resourcegroups/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myIdentity": {
        "clientId": "<client-id>",
        "principalId": "<principal-id>"
      }
    }
  },
  "identityProfile": {
    "kubeletidentity": {
      "clientId": "<client-id>",
      "objectId": "<object-id>",
      "resourceId": "/subscriptions/<subscriptionid>/resourcegroups/resourcegroups/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myKubeletIdentity"
    }
  },

注意

如果您的叢集之前使用 --attach-acr 以從 Azure Container Registry 中的映像進行提取,則在更新您的叢集之後,請執行 az aks update --resource-group myResourceGroup --name myAKSCluster --attach-acr <ACR Resource ID> 命令,以讓用於受控識別的新建 kubelet 取得從 ACR 提取的權限。 否則,您無法在升級之後從 ACR 提取。

取得 kubelet 身分識別的屬性

若要取得 kubelet 身分識別的屬性,請呼叫 az aks show 並查詢 identityProfile.kubeletidentity 屬性。

az aks show \
    --name myAKSCluster \
    --resource-group myResourceGroup \
    --query "identityProfile.kubeletidentity"

預先建立的 kubelet 身分識別限制

請注意下列預先建立 kubelet 身分識別的限制:

  • 預先建立的 kubelet 身分識別必須為使用者指派的受控識別。
  • 不支援 21Vianet 所營運 Microsoft Azure 中的中國東部和中國北部區域。

AKS 所使用的受控識別摘要

AKS 會針對內建服務和附加元件使用數個受控識別。

身分識別 名稱 使用案例 預設權限 自備識別
控制平面 AKS 叢集名稱 AKS 控制平面元件用來管理叢集資源,包括輸入負載平衡器和 AKS 受控公用 IP、叢集自動調整程式、Azure 磁碟、檔案、Blob CSI 驅動程式。 節點資源群組的參與者角色 支援
Kubelet AKS 叢集名稱 - agentpool 使用 Azure Container Registry (ACR) 進行驗證。 N/A (針對 kubernetes v1.15+) 支援
附加元件 AzureNPM 不需要身分識別。 N/A No
附加元件 AzureCNI 網路監視 不需要身分識別。 N/A No
附加元件 azure-policy (gatekeeper) 不需要身分識別。 N/A No
附加元件 azure-policy 不需要身分識別。 N/A No
附加元件 Calico 不需要身分識別。 N/A No
附加元件 application-routing 管理 Azure DNS 和 Azure Key Vault 憑證 Key Vault 秘密 Key Vault 的使用者角色、DNS 區域的 DNZ 區域參與者角色、私人 DNS 區域的私人 DNS 區域參與者角色 No
附加元件 HTTPApplicationRouting 管理必要的網路資源。 節點資源群組的讀取者角色、DNS 區域的參與者角色 No
附加元件 輸入應用程式閘道 管理必要的網路資源。 節點資源群組的參與者角色 No
附加元件 omsagent 用來將 AKS 計量傳送至 Azure 監視器。 監視計量發行者角色 No
附加元件 Virtual-Node (ACIConnector) 管理 Azure 容器執行個體 (ACI) 所需的網路資源。 節點資源群組的參與者角色 No
附加元件 成本分析 用來收集成本配置資料
工作負載身分識別 Microsoft Entra 工作負載 ID 讓應用程式使用 Microsoft Entra 工作負載 ID 安全地存取雲端資源。 N/A No

重要

Azure Kubernetes Service 中的開放原始碼 Microsoft Entra Pod 受控識別 (預覽) 已於 2022 年 10 月 24 日棄用,而且專案已於 2023 年 9 月封存。 如需詳細資訊,請參閱淘汰通知。 AKS Managed 附加元件將於 2024 年 9 月開始淘汰。

建議您檢閱 Microsoft Entra 工作負載 ID。 Microsoft Entra 工作負載 ID 驗證會取代已淘汰的 Pod 受控識別 (預覽) 功能。 Entra 工作負載 ID 是建議的方法,可讓在 Pod 上執行的應用程式針對支援的其他 Azure 服務自行驗證。

限制

  • 不支援將已啟用受控識別的叢集移轉至不同的租用戶。

  • 如果叢集已啟用 Microsoft Entra Pod 受控識別 (aad-pod-identity),則節點受控識別 (NMI) Pod 會修改節點的 iptable 來攔截對 Azure 執行個體中繼資料 (IMDS) 端點的呼叫。 此設定表示即使特定 Pod 未使用 aad-pod-identity,對 IMDS 端點所做的任何要求仍會遭到 NMI 攔截。

    AzurePodIdentityException 自訂資源定義 (CRD) 可以設定為指定來自 CRD 中所定義 Pod 比對標籤 IMDS 端點的要求,應該在 NMI 中進行任何處理的情況下進行 Proxy 處理。 設定 AzurePodIdentityException CRD 時,在 aad-pod-identity 中排除 kube-system 命名空間中具有 kubernetes.azure.com/managedby: aks 標籤的系統 Pod。 如需詳細資訊,請參閱在 Azure Kubernetes Service 中使用 Microsoft Entra Pod 受控識別 (部分機器翻譯)。

    若要設定例外狀況,請安裝 mic-exception YAML

  • 使用自訂私人 DNS 區域時,AKS 不支援使用系統指派的受控識別。

下一步