utenticação do Azure DevOp Pipelines no AKS com o Azure AD RBAC configurad
Configuramos nossos Clusters Kubernetes do Azure para usar o RBAC do Azure Active Directory. Isso significa que, ao usar o kubectl, precisamos primeiro nos autenticar como um usuário do AD (geralmente feito através da conclusão manual da autenticação do código do dispositivo pelo navegador da web). Configuramos isso quase exatamente conforme o artigo do MSDNIntegrar o Azure Active Directory com o Serviço Kubernetes do Azure.
O problema é que agora essa autenticação também é necessária para tarefas de criação / liberação do Kubernetes nos Pipelines do Azure DevOp, por exemplo, quando executamos o kubectl apply:
2019-01-02T08:48:21.2070286Z ##[section]Starting: kubectl apply
2019-01-02T08:48:21.2074936Z ==============================================================================
2019-01-02T08:48:21.2075160Z Task : Deploy to Kubernetes
2019-01-02T08:48:21.2075398Z Description : Deploy, configure, update your Kubernetes cluster in Azure Container Service by running kubectl commands.
2019-01-02T08:48:21.2075625Z Version : 1.1.17
2019-01-02T08:48:21.2075792Z Author : Microsoft Corporation
2019-01-02T08:48:21.2076009Z Help : [More Information](https://go.microsoft.com/fwlink/?linkid=851275)
2019-01-02T08:48:21.2076245Z ==============================================================================
2019-01-02T08:48:25.7971481Z Found tool in cache: kubectl 1.7.0 x64
2019-01-02T08:48:25.7980222Z Prepending PATH environment variable with directory: C:\agents\HephaestusForge\_work\_tool\kubectl\1.7.0\x64
2019-01-02T08:48:25.8666111Z [command]C:\agents\HephaestusForge\_work\_tool\kubectl\1.7.0\x64\kubectl.exe apply -f C:\agents\HephaestusForge\_work\r8\a\_MyProject\kubernetes\deploy.yaml -o json
2019-01-02T08:48:26.3518703Z To sign in, use a web browser to open the page https://microsoft.com/devicelogin and enter the code CUYYYYYVV to authenticate.
O que é uma solução alternativa para isso? É possível que o Azure DevOps se autentique como um cliente servidor em vez de um cliente AD?