从 VNET 中部署的 Azure 容器实例访问 KeyVault
Access KeyVault from Azure Container Instance deployed in VNET
Azure 容器实例部署在 VNET 中,我想将我的密钥和其他敏感变量存储在 Key Vault 中并以某种方式访问它。我在文档中发现,一旦 ACI 位于 VNET 中,目前就无法使用托管身份。
是否有另一种方法可以绕过此身份并使用 Key Vault?
我试图避免环境变量和秘密卷,因为这个容器将被安排到每天 运行,这意味着会有一些脚本可以访问所有秘密,我不想要在脚本中公开它们。
要访问 Azure Key Vault,您需要访问令牌,您可以将此令牌存储到 k8s 秘密中吗?
如果是,则可以使用任何 SKD 或 CURL 命令来利用 Key Vault 的其余 API 在 运行 时间检索机密:https://docs.microsoft.com/en-us/rest/api/keyvault/
如果您不想使用 secret/volumes 来存储 AKV 的令牌,那么最好将您的令牌放入您的容器图像中,并且也许每天使用您可以使用的新令牌重建您的图像在您的 CI 进程
中同时管理其访问 I AKS
Azure 容器实例部署在 VNET 中,我想将我的密钥和其他敏感变量存储在 Key Vault 中并以某种方式访问它。我在文档中发现,一旦 ACI 位于 VNET 中,目前就无法使用托管身份。 是否有另一种方法可以绕过此身份并使用 Key Vault?
我试图避免环境变量和秘密卷,因为这个容器将被安排到每天 运行,这意味着会有一些脚本可以访问所有秘密,我不想要在脚本中公开它们。
要访问 Azure Key Vault,您需要访问令牌,您可以将此令牌存储到 k8s 秘密中吗?
如果是,则可以使用任何 SKD 或 CURL 命令来利用 Key Vault 的其余 API 在 运行 时间检索机密:https://docs.microsoft.com/en-us/rest/api/keyvault/
如果您不想使用 secret/volumes 来存储 AKV 的令牌,那么最好将您的令牌放入您的容器图像中,并且也许每天使用您可以使用的新令牌重建您的图像在您的 CI 进程
中同时管理其访问 I AKS