我正在做一些研究,但在 K8s 文档中找不到真正的答案。是否可以编排 Kubernetes 集群中的某些 pod 可以访问集群外部的其他某些资源,而无需授予整个集群的权限?
例如:一个 pod 访问 Google 存储中的数据。为了不对某些凭据进行硬编码,我希望它能够通过 RBAC/IAM 访问它,但另一方面,我不希望集群中的另一个 pod 能够访问相同的存储。
这是必要的,因为用户与这些 pod 交互并且存储中的数据有隐私限制。
到目前为止,我看到的唯一方法是为该资源创建一个服务帐户并将服务帐户的凭据传递给 pod。到目前为止,我对这个解决方案并不满意,因为传递凭据对我来说似乎不安全。