Выполнение команды aks pod-identity add завершается с ошибкой оператора управляемого удостоверения, несмотря на наличие разрешений
В настоящее время борюсь с проблемой разрешений при попытке назначить управляемое удостоверение в рамках установки/настройки
Выполнили инструкции по назначению роли участника частной зоны DNS назначенному пользователем управляемому удостоверению. Это MI, который модули внешнего DNS будут использовать для взаимодействия с настройкой DNS в Azure и внесения изменений.
Единственное небольшое предостережение: кластер AKS и частная зона DNS находятся в разных группах ресурсов, но не думайте, что это проблема.
Пытался запустить следующий субъект-службу с полным доступом, который мы используем для развертываний в группе ресурсов, но все равно обнаружил следующую ошибку:
az aks pod-identity add --resource-group my-resource-group --cluster-name my-aks-cluster --namespace "external-dns"
--name "external-dns" --identity-resource-id ${IDENTITY_RESOURCE_ID of my managed identity user}
The command requires the extension aks-preview. Do you want to install it now? The command will continue to run after the extension is installed. (Y/n): y
Run 'az config set extension.use_dynamic_install=yes_without_prompt' to allow installing extensions without prompt.
The installed extension 'aks-preview' is in preview.
Waiting for AAD role to propagate[################################ ] 90.0000%Could not grant Managed Identity Operator permission for cluster
У кого-нибудь есть идеи или указатели?
Дважды проверено, и SPN, на котором я запускаю команды, имеет разрешения оператора идентификации машины (вместе с участником MI) для MI, который я хочу использовать.
Все еще сталкиваюсь с ошибкой «не удалось предоставить разрешение оператора управляемых удостоверений для кластера».