我正在做一些研究,但是在K8s文档中找不到真正的答案。是否可以安排Kubernetes集群中的某些Pod可以访问集群外的其他某些资源,而无需授予整个集群的权限?
例如:窗格访问Google存储空间中的数据。为了不对某些凭据进行硬编码,我希望它能够通过RBAC / IAM访问它,但是另一方面,我不希望集群中的另一个Pod能够访问相同的存储。
这是必需的,因为用户与这些Pod交互并且存储中的数据具有隐私限制。
到目前为止,我唯一看到的方法是为该资源创建一个服务帐户,并将该服务帐户的凭据传递到Pod。到目前为止,我对这种解决方案并不十分满意,因为传递证书对我来说似乎是不安全的。
答案 0 :(得分:0)
不幸的是,只有一种方法可以做到这一点,而您写的对您来说似乎并不安全。我发现了一个example in documentation,他们使用的方式是您秘密存储服务帐户的凭据,然后秘密地在pod中使用它。