可以在 AKS 中托管的服务和作为应用服务托管的客户端应用之间使用托管标识吗
can managed identity be used between service hosted in AKS and client app hosted as app service
我有 asp.net core 网络 api 应用程序托管在 Azure Kubernetes Service 中,网络 api 端点由 Azure Active Directory (AAD) 保护。按照下面的文章,
https://dotnetplaybook.com/secure-a-net-core-api-using-bearer-authentication/
现在我有另一个 asp.net 核心 Web api 应用程序(网关),它托管为 Azure App Service,这是托管在 AKS 中的上述微服务的客户端应用程序。
我也在 AAD 中注册了客户端应用程序(网关)并使用 secret 并使用此网关和微服务进行身份验证并正常工作。
由于 AKS 托管微服务与 Azure 应用程序服务对话,我可以使用 Managed Identity 以便不需要进行 secret 管理吗?
所以澄清一下,部署在 Azure App Service 中的服务正在调用部署在 AKS 中的应用程序。
如果您的 Azure App Service 代表自己行事(即:它是一个守护程序应用程序,并且用户不与该应用程序交互),那么是的,您可以简单地为该应用程序服务使用托管标识并提供标识 AKS 中应用程序的 API 权限。
--对上述内容的更新
我写了一些额外的细节来完成所有步骤来实现这个,看看这个 post: https://blog.identitydigest.com/single-tenant-daemon-managed-identity/ 。它还有一个指向非常基本的代码示例的指针。
我有 asp.net core 网络 api 应用程序托管在 Azure Kubernetes Service 中,网络 api 端点由 Azure Active Directory (AAD) 保护。按照下面的文章,
https://dotnetplaybook.com/secure-a-net-core-api-using-bearer-authentication/
现在我有另一个 asp.net 核心 Web api 应用程序(网关),它托管为 Azure App Service,这是托管在 AKS 中的上述微服务的客户端应用程序。
我也在 AAD 中注册了客户端应用程序(网关)并使用 secret 并使用此网关和微服务进行身份验证并正常工作。
由于 AKS 托管微服务与 Azure 应用程序服务对话,我可以使用 Managed Identity 以便不需要进行 secret 管理吗?
所以澄清一下,部署在 Azure App Service 中的服务正在调用部署在 AKS 中的应用程序。
如果您的 Azure App Service 代表自己行事(即:它是一个守护程序应用程序,并且用户不与该应用程序交互),那么是的,您可以简单地为该应用程序服务使用托管标识并提供标识 AKS 中应用程序的 API 权限。
--对上述内容的更新
我写了一些额外的细节来完成所有步骤来实现这个,看看这个 post: https://blog.identitydigest.com/single-tenant-daemon-managed-identity/ 。它还有一个指向非常基本的代码示例的指针。