通过测试AKS群集的一些新功能,我想为我的azure k8s群集启用托管身份功能,有人可以简单地告诉我使用此功能的主要好处是什么?我是否需要这种外部DNS区域?
答案 0 :(得分:3)
当前,Azure Kubernetes服务(AKS)群集(具体而言, (Kubernetes云提供商)需要服务主体来创建 其他资源,例如Azure中的负载平衡器和托管磁盘。 您必须提供服务负责人,或者AKS在您的服务上创建一个服务负责人 代表。服务主体通常具有到期日期。集群 最终达到服务主体必须处于 更新以保持群集正常运行。管理服务主体添加 复杂性。
托管身份本质上是围绕服务的包装 校长,并使他们的管理更简单。要了解更多信息,请阅读 关于Azure资源的托管身份。
AKS创建两个托管身份:
系统分配的托管身份:Kubernetes的身份 云提供商用于代表用户创建Azure资源。 系统分配的身份的生命周期与身份分配的生命周期息息相关。 簇。删除群集后,身份也会删除。 用户分配的受管理身份:用于 集群中的授权。例如,用户分配的身份 用于授权AKS使用Azure容器注册表(ACR),或 授权kubelet从Azure获取元数据。附加组件 使用托管身份进行身份验证。对于每个附加组件, 身份是由AKS创建的,并且在附加组件的有效期内一直有效。对于 创建和使用自己的VNet,静态IP地址或附加的Azure 资源在MC_ *资源组之外的磁盘,请使用 群集的PrincipalID以执行角色分配。欲了解更多 有关角色分配的信息,请参阅将访问权委派给其他Azure 资源。
简而言之-简化管理