如何从作为 pod 部署在 Azure Kubernetes 服务 (AKS) 中的 Asp.net Core Docker 容器访问 Azure KeyVault?

How to access Azure KeyVault from Asp.net Core Docker container deployed in Azure Kubernetes Service (AKS) as pod?

我有一个 Asp.Net 核心应用程序,配置为使用 Visual Studio 2019 Connected Services 连接到 Azure KeyVault:

https://docs.microsoft.com/en-us/azure/key-vault/general/vs-key-vault-add-connected-service

我使用 Docker 将应用程序容器化,并将其作为 Pod 部署到 Kubernetes 中。 KeyVault 连接不工作,可能是因为未设置托管标识。

我试过了:

  1. 将 Kubernetes 代理托管身份添加到 KeyVault 访问策略,就像我对应用程序服务或容器服务所做的那样,但不允许连接。
  2. 按照此处的文档操作:https://docs.microsoft.com/en-us/azure/key-vault/general/key-vault-integrate-kubernetes

我想知道“Kubernetes 上的 Secrets Store CSI 驱动程序的 Azure Key Vault 提供程序”是否是从 pod 使用 KeyVault 的正确方法,或者是否有更简单的解决方案,如直接连接。

解决方案,无论是谁在我的情况下,是使用 AAD-Pod Identity

无需附加 CSI 驱动程序,除非您需要 Kubernetes 配置中的 Secrets,想要完全控制自定义配置,或者在 Azure 之外拥有集群。

对于部署到 AKS 的 Asp.Net 核心应用程序,最简单的方法是使用托管身份,并向您的 Kubernetes 集群提供您需要 AAD-Pod 身份。

目前还没有文档页面,但是按照 GitHub 上的入门说明进行操作就足够了。

我使用 Managed Identity 从 Pod 中的 Azure Key Vault 中获取了一个秘密。只需将 AKS 群集的 .identityProfile.kubeletidentity.clientId 添加为 Key Vault 策略即可读取机密。您必须通过 Azure 门户设置此策略,因为“az keyvault set-policy”期望 --object-id 是我猜的 principalId...