我该如何找到我的AKS集群的服务主体密码？

最终的解决方案非常简单。

• 在Azure门户中，导航到名为MC_<resourcegroup>_<aksName>_<region> 的资源组。
• 单击类型为“虚拟机”的其中一个资源。
• 向下滚动至“Run command”

• 选择“RunShellScript”
• 输入cat /etc/kubernetes/azure.json并单击“Run”

该命令将返回JSON文件的内容。您需要的属性是aadClientSecret

微软推出了更新的解决方案，可用于解决此问题。

https://learn.microsoft.com/zh-cn/azure/aks/update-credentials#update-aks-cluster-with-new-credentials

他们还提到（这并不明显）： 默认情况下，AKS 群集会创建一个有效期为一年的服务主体。

此外， 自 Azure CLI 2.0.68 起，不再支持使用“--password”参数来创建具有用户定义密码的服务主体，以防止意外使用弱密码。 因此，更改服务主体密码的初始解决方案已不再适用。

在Azure门户中，有新的功能可用于查看群集配置，而无需使用CLI。 前往Azure门户 -> 您的群集资源 -> 概述

在右侧有一个按钮，上面写着“JSON视图”。单击它，您将看到一个包含群集详细信息的json文件。服务主体ID在“servicePrincipalProfile”下可见。

这是一件让人烦恼的事情。对于您的问题，如果没有进行身份验证，您将无法拉取图像。

首先，您需要找到容器注册表的服务主体。您可以在 Azure 门户中执行此操作并导航到注册表面板，然后您可以像这样找到服务主体：

或者您可以使用 Azure CLI 命令像这样查找注册表 ID：

az acr show --resource-group groupName --name registryName --query id --output tsv

然后使用以下命令查找服务主体 ID：

az role assignment list --scope registryID

您可以选择所需的服务主体。

然后，您可以使用命令kubectl get secrets 和 kubectl get secrets secretName -o yaml 来获取密钥的 Token。然后逐一分析检查是否用户名与服务主体ID相同，您可以使用 JWT 等工具来分析密钥 Token。结果将如下所示：

如果用户名与您找到的服务主体ID相同，则该密码就是您想要的。这一步有点麻烦。您应该逐个检查密码，或者您可以找到更好的方法来检查它们。

顺便说一下，当您创建服务主体时，似乎只能看到其密码一次。Azure不会再次显示给您。但是，如果您创建了Kubernetes密钥，密码将存储在其中。