ZiGMaX IT Blog

Page 70 of 159

AKS | Rotation des certificats

13 décembre 2019 / / 0 Comments

Hello,

Si vous avez un cluster AKS déployé dans votre souscription Azure, vous avez très certainement reçu cet email:

« Les clusters AKS créés avant le mois de mars 2019 possèdent des certificats qui expirent au bout de deux ans. Tout cluster créé après mars 2019 ou tout cluster dont la rotation des certificats a été effectuée dispose de certificats qui expirent au bout de 30 ans. »

Azure Kubernetes Service (AKS) utilise des certificats pour l’authentification avec un grand nombre de ses composants. Régulièrement, vous pouvez être amené à procéder à une rotation de ces certificats pour des raisons de sécurité.

AKS génère et utilise les certificats, autorités de certification et comptes de service suivants :

  • Le serveur d’API AKS crée une autorité de certification (CA) appelée « autorité de certification de cluster ».
  • Le serveur d’API dispose d’une autorité de certification de cluster, qui signe les certificats pour la communication unidirectionnelle, du serveur d’API vers les kubelets.
  • Chaque kubelet crée également une demande de signature de certificat (CSR), qui est signée par l’autorité de certification de cluster, pour la communication du kubelet vers le serveur d’API.
  • Le magasin de valeurs de clés etcd dispose d’un certificat signé par l’autorité de certification de cluster, pour la communication émanant de etcd à destination du serveur d’API.
  • Le magasin de valeurs de clé etcd crée une autorité de certification qui signe les certificats pour authentifier et autoriser la réplication des données entre les réplicas etcd du cluster AKS.
  • L’agrégation d’API utilise l’autorité de certification de cluster pour émettre des certificats destinés à la communication avec d’autres API, telles que Open Service Broker pour Azure. L’agrégation d’API peut également disposer de sa propre autorité de certification pour émettre ces certificats, mais elle utilise actuellement l’autorité de certification de cluster.
  • Chaque nœud utilise un jeton de compte de service (SA), qui est signé par l’autorité de certification de cluster.
  • Le client kubectl dispose d’un certificat pour communiquer avec le cluster AKS.

Pour effectuer la rotation de l’ensemble des certificats de votre cluster, je vous invite à utiliser la commande suivante: 

az aks rotate-certs -g aksmaxime -n aksdemomax

Attention, ceci peut-entrainer une indisponibilité de votre cluster AKS, pendant environ 24 – 30 min …

Maxime.

Azure Interview – Tidjani

10 décembre 2019 / / 0 Comments

Hello,

Un de mes objectifs pour 2020 est de réaliser des reportages, retours d’expériences d’acteurs du cloud Azure.

Pour ce premier épisode, j’ai eu la chance d’accueillir Tidjani Belmansour, Microsoft MVP sur les technologies Azure. Tidjani est également l’auteur du célèbre blog francophone : http://espacenuagic.com/

Vous pouvez également retrouver Tidjani sur Twitter ou encore directement sur sa page Linkedin.

Biographie:

Consultant depuis plus de 14 ans et passionné par les technologies Microsoft, je me concentre principalement sur l’architecture et le développement d’applications sur la plateforme Microsoft .NET mais également sur l’intégration de nouvelles technologies et la formation.

Au cours de ma carrière, j’ai participé à divers projets au sein de grands organismes des secteurs public et privé tels que le Cirque du Soleil, Russell Investments et le gouvernement du Québec. J’ai participé à l’un des tout premiers projets utilisant la méthodologie agile, les approches TDD et d’intégration continue dans une grande organisation du gouvernement du Québec.

Actuellement, je travaille sur la conception et l’architecture de solutions cloud, en utilisant IaaS (pour les scénarios de lift-and-shift), PaaS, Containers et Serverless, mais aussi des services de Machine Learning.

Si vous êtes de passage sur Québec, ou encore souhaitez être conférencier, n’hésitez pas à rejoindre la Communauté Azure Québec.

Maxime.

Limiter l’accès au portail Azure

10 décembre 2019 / / 0 Comments

Hello,

Dans cet article nous allons voir ensemble comment limiter l’accès au portail Azure : https://portal.azure.com

Pour cela je vous donne rendez-vous dans le service Azure Active Directory, puis je vous invite à sélectionner « User Settings ». Vous pouvez aussi utiliser ce lien : https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/Overview

En activant cette option « Restrict access to Azure AD adminstration portal », vous autorisez seulement les utilisateurs possédant un rôle d’administration à pouvoir se connecter.

Dans cet article, nous avons vu ensemble comment limiter l’accès au portail Azure et ainsi limiter les curieux de votre organisation à se connecter sur votre le portail Azure de votre tenant.

Maxime.

« Older posts Newer posts »

© 2025 ZiGMaX IT Blog

Theme by Anders NorenUp ↑