AKS 中的 Azure Key Vault 值
Azure key vault values inside AKS
我一直在构建 Azure Bicep 文件,目的是让我们的基础设施编码化。
除 AKS 外一切顺利。阅读和试验我想我有两个选择。
AKS pods 中包含 Nodejs 或 .net 服务 运行,它们需要数据库连接字符串等环境变量。这些可以在每个节点/.net 的部署阶段传入,也可以在每个 AKS 实例中 'included'。
我走在正确的轨道上吗?一个比另一个有优势吗?
您的 AKS 的 IaC 代码不应与工作负载(您的 Nodejs 或 .Net Pods)的部署代码混合。
我也不建议将 ENV 变量用于机密和连接字符串。 Kubernetes 上游决定采用 CSI(容器存储接口)。
话虽如此,您可以编写部署 AKS 和 Azure Key Vault 的 Bicep 部署。为 AKS 启用 azureKeyvaultSecretsProvider add-on 以将机密从 Azure KeyVault 同步到 Kubernetes secrets or directly as files into pods。
在此之后,您将编写 Nodejs 和 .Net 的工作负载部署 Pods 并参考 AZURE KEY VAULT PROVIDER FOR SECRETS STORE CSI DRIVER。如果您创建更多集群等,这也会使您更加独立。
我一直在构建 Azure Bicep 文件,目的是让我们的基础设施编码化。
除 AKS 外一切顺利。阅读和试验我想我有两个选择。
AKS pods 中包含 Nodejs 或 .net 服务 运行,它们需要数据库连接字符串等环境变量。这些可以在每个节点/.net 的部署阶段传入,也可以在每个 AKS 实例中 'included'。
我走在正确的轨道上吗?一个比另一个有优势吗?
您的 AKS 的 IaC 代码不应与工作负载(您的 Nodejs 或 .Net Pods)的部署代码混合。
我也不建议将 ENV 变量用于机密和连接字符串。 Kubernetes 上游决定采用 CSI(容器存储接口)。
话虽如此,您可以编写部署 AKS 和 Azure Key Vault 的 Bicep 部署。为 AKS 启用 azureKeyvaultSecretsProvider add-on 以将机密从 Azure KeyVault 同步到 Kubernetes secrets or directly as files into pods。
在此之后,您将编写 Nodejs 和 .Net 的工作负载部署 Pods 并参考 AZURE KEY VAULT PROVIDER FOR SECRETS STORE CSI DRIVER。如果您创建更多集群等,这也会使您更加独立。