使用 pod 身份安全访问 Azure 文件共享

Secure access Azure file share with pod identities

我使用 Azure 文件在 AKS 中的许多 pods 之间共享存储。

在这个集群中,我们有多个应用程序,我希望安全地访问这个存储,每个存储帐户只能通过分配给这些帐户的一个用户管理身份访问 pods :

option1:使用pod-identity,当我们创建存储class和persistent volume claim时会自动创建pv和storage account,那么如何动态获取这个存储帐户的名称? (带 Terraform 的 IaC)

选项 2:在不使用 pod-identities 的情况下,我们如何确保从 pods 访问此存储帐户?

选项1:

  1. 您可以预先创建存储帐户,在存储帐户上分配角色并使用StorageClass storageAccount参数来使用它而不是创建一个新的。

  2. 您可以预先创建一个资源组,在资源组范围内分配角色,然后使用 resourceGroup StorageClass 参数指定该资源组来制作确保存储帐户是在此资源组中创建的。

选项2:

  1. 您将必须使用服务主体或存储帐户访问密钥。您可以从 Vault 中获取它们(例如:Azure Key Vault,使用 CSI Driver)或将它们存储在 Kubernetes Secret 中。