使用 pod 身份安全访问 Azure 文件共享
Secure access Azure file share with pod identities
我使用 Azure 文件在 AKS 中的许多 pods 之间共享存储。
在这个集群中,我们有多个应用程序,我希望安全地访问这个存储,每个存储帐户只能通过分配给这些帐户的一个用户管理身份访问 pods :
- 使用 pod 身份
- 将“存储文件数据 SMB 共享贡献者”角色分配给我们
托管身份。
option1:使用pod-identity,当我们创建存储class和persistent volume claim时会自动创建pv和storage account,那么如何动态获取这个存储帐户的名称? (带 Terraform 的 IaC)
选项 2:在不使用 pod-identities 的情况下,我们如何确保从 pods 访问此存储帐户?
选项1:
您可以预先创建存储帐户,在存储帐户上分配角色并使用StorageClass storageAccount参数来使用它而不是创建一个新的。
您可以预先创建一个资源组,在资源组范围内分配角色,然后使用 resourceGroup StorageClass 参数指定该资源组来制作确保存储帐户是在此资源组中创建的。
选项2:
- 您将必须使用服务主体或存储帐户访问密钥。您可以从 Vault 中获取它们(例如:Azure Key Vault,使用 CSI Driver)或将它们存储在 Kubernetes Secret 中。
我使用 Azure 文件在 AKS 中的许多 pods 之间共享存储。
在这个集群中,我们有多个应用程序,我希望安全地访问这个存储,每个存储帐户只能通过分配给这些帐户的一个用户管理身份访问 pods :
- 使用 pod 身份
- 将“存储文件数据 SMB 共享贡献者”角色分配给我们 托管身份。
option1:使用pod-identity,当我们创建存储class和persistent volume claim时会自动创建pv和storage account,那么如何动态获取这个存储帐户的名称? (带 Terraform 的 IaC)
选项 2:在不使用 pod-identities 的情况下,我们如何确保从 pods 访问此存储帐户?
选项1:
您可以预先创建存储帐户,在存储帐户上分配角色并使用
StorageClassstorageAccount参数来使用它而不是创建一个新的。您可以预先创建一个资源组,在资源组范围内分配角色,然后使用
resourceGroupStorageClass参数指定该资源组来制作确保存储帐户是在此资源组中创建的。
选项2:
- 您将必须使用服务主体或存储帐户访问密钥。您可以从 Vault 中获取它们(例如:Azure Key Vault,使用 CSI Driver)或将它们存储在 Kubernetes Secret 中。