我知道,通过Azure Kubernetes服务,我们可以使用托管身份来访问诸如密钥库之类的Azure资源。但是我正在尝试学习是否可以将相同的过程应用于在azure上托管的kubernetes集群。我的目标是让kubernetes集群在Azure中具有2个worker和2个控制器节点,但是驻留在这些节点上的Pod应该使用类似于AKS的托管身份方法访问Azure Keyvault。无论如何,我们无需编写应用程序就可以做到吗?
我知道这个问题的范围很大,但是如果有人提供任何高级步骤真的有帮助吗?
谢谢, 桑托什
答案 0 :(得分:0)
那是完全可能的。 AAD Pod identities依赖AAD(Azure Active Directory)及其权限。
最后,AKS将在幕后建立基础设施。因此,如果您不打算使用AKS而是自己安装群集(例如,使用AKS引擎),则可以使用AAD Pod身份/托管实例。
所有您需要的是这些机器位于“ Azure”中,并依赖于所谓的Azure Instance Metadata Service (IMDS)。甚至您都可以使用项目ARC注册来自Azure以外的新计算机实例。既然我没有使用过托管实例,无论如何我都无法谈论它,无论如何,它都应该遵循类似的模式。
这里有一篇很好的文章,解释了AAD Pod的身份: