Azure 门户中与 Azure AAD pod 身份相关的日志
Azure AAD pod identity related logs in Azure Portal
我尝试使用 Azure AAD pod 标识并将托管标识绑定到它。然后我使用这个 pod 身份执行一些 azure 资源操作,比如创建资源组。从日志分析来看,日志条目似乎只包含此操作是由调用方使用托管身份的对象 ID 执行的信息。假设现在有两个 pod 身份绑定到同一个 MI,有没有办法在日志分析中区分它们?
编辑:我们不知道操作的时间戳,并且这些日志条目中的 callerIpAddress 是相同的,因为它们在同一个 aks 集群中
• 根据 NMI(节点管理身份) 或 pod 身份 的指定限制,如您所说,pod 身份修改 IP 表 以拦截对 Azure Instance Metadata endpoint 的调用。此配置意味着即使 pod 不使用 aad-pod-identity,NMI 也会拦截对元数据端点的任何请求。因此,由于分配给 pod 的 托管身份 拦截了对 Azure 实例元数据端点 的请求,您将必须配置 AzurePodIdentityException CRD 以相应地匹配之前定义的标签,应该在不进行任何处理的情况下进行代理。
• 在 kube-system 命名空间 中带有 kubernetes.azure.com/managedby: aks 标签的系统 pods 应该通过配置 aad-pod-identity 排除在 aad-pod-identity 中=11=]。因此,您应该能够 根据 label configuration in CRD 区分和识别来自任何 pod 的请求。此外,当 pod 从 IMDS endpoint 请求令牌时,它不需要指定身份,这是由 NMI 根据发出请求的 pod 规范中的身份绑定自动确定的。
有关这方面的更多信息,我建议您参考以下链接:-
Azure Kubernetes managed identity vs AAD pod identities
https://docs.microsoft.com/en-us/azure/aks/use-managed-identity#limitations
我尝试使用 Azure AAD pod 标识并将托管标识绑定到它。然后我使用这个 pod 身份执行一些 azure 资源操作,比如创建资源组。从日志分析来看,日志条目似乎只包含此操作是由调用方使用托管身份的对象 ID 执行的信息。假设现在有两个 pod 身份绑定到同一个 MI,有没有办法在日志分析中区分它们?
编辑:我们不知道操作的时间戳,并且这些日志条目中的 callerIpAddress 是相同的,因为它们在同一个 aks 集群中
• 根据 NMI(节点管理身份) 或 pod 身份 的指定限制,如您所说,pod 身份修改 IP 表 以拦截对 Azure Instance Metadata endpoint 的调用。此配置意味着即使 pod 不使用 aad-pod-identity,NMI 也会拦截对元数据端点的任何请求。因此,由于分配给 pod 的 托管身份 拦截了对 Azure 实例元数据端点 的请求,您将必须配置 AzurePodIdentityException CRD 以相应地匹配之前定义的标签,应该在不进行任何处理的情况下进行代理。
• 在 kube-system 命名空间 中带有 kubernetes.azure.com/managedby: aks 标签的系统 pods 应该通过配置 aad-pod-identity 排除在 aad-pod-identity 中=11=]。因此,您应该能够 根据 label configuration in CRD 区分和识别来自任何 pod 的请求。此外,当 pod 从 IMDS endpoint 请求令牌时,它不需要指定身份,这是由 NMI 根据发出请求的 pod 规范中的身份绑定自动确定的。
有关这方面的更多信息,我建议您参考以下链接:-
Azure Kubernetes managed identity vs AAD pod identities
https://docs.microsoft.com/en-us/azure/aks/use-managed-identity#limitations