aks：尝试创建负载均衡器时出现未经授权的错误

Question

尝试在 AKS 中创建负载平衡器时出现以下错误，

{"error":{"code":"AuthorizationFailed","message":"客户端 带有对象 ID 的“85e23f21-xxxxxxxxxxx” '85e23f21-xxxxxxxxxxx' 无权执行 在范围内操作“Microsoft.Network/virtualNetworks/subnets/read” '/subscriptions/xxxx-xxxx-xxxx-xxxx-xxxx/resourceGroups/my-vnet/providers/Microsoft.Network/virtualNetworks/my-vnet/subnets/my-subnet' 或范围无效。如果最近授予访问权限，请刷新您的 凭据。"}}

此处的客户端 ID 和对象 ID 相同，这是托管标识的 principalId，因为我的 AKS 群集已启用托管标识。

❯ az aks show -g my-rg -n my-aks --query "identity" { “principalId”：“85e23f21-xxxxxxxxxxx”， "tenantId": "xxxxxxxxxxxxxxxxxxxx", “类型”：“系统分配”， “userAssignedIdentities”：空 }

我还为我的 aks 集群启用了azure RBAC

az aks update -g myResourceGroup -n myAKSCluster --enable-azure-rbac

这里缺少什么，如何授予权限？请帮忙。

Answer 1

这可能是因为您的 VNet 不在工作节点资源组中，因此系统分配的标识默认只能管理该资源组内的资源。您需要对集群系统分配的托管标识的主体 ID 执行角色分配，以授予其访问该资源组之外的托管资源的权限。来自Azure documentation：

注意

用于创建和使用您自己的 VNet、静态 IP 地址或附加 资源位于工作程序节点资源之外的 Azure 磁盘 组，使用集群 System Assigned Managed 的​​ PrincipalID 执行角色分配的身份。