如何解决使用 Pod 标识安全访问 Azure 文件共享
我使用 Azure 文件在 AKS 中的许多 Pod 之间共享存储。
在这个集群中,我们有多个应用程序,我希望对这个存储的访问是安全的,每个存储帐户只能通过分配给这些 Pod 的一个用户管理身份访问:
- 使用 Pod 标识
- 将“存储文件数据 SMB 共享贡献者”角色分配给我们的 管理身份。
option1:使用pod-identity,当我们创建存储类和持久卷时,它会自动创建PV和存储帐户,那么如何动态检索这个存储帐户的名称? (IaC 与 terraform)
option2:在不使用 pod-identities 的情况下,我们如何确保从 pod 访问此存储帐户?
解决方法
选项 1:
-
您可以预先创建存储帐户,分配存储帐户上的角色并使用
StorageClassstorageAccount参数来使用它,而不是创建一个新的。 -
您可以预先创建一个资源组,在资源组范围内分配角色,然后使用
resourceGroupStorageClass参数指定该资源组以确保存储帐户在此资源组中创建。
选项 2:
- 您必须使用服务主体或存储帐户访问密钥。您可以从 Vault(例如:Azure Key Vault,使用 CSI Driver)获取它们,也可以将它们存储在 Kubernetes Secret 中。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
