0

我使用 Azure 文件在 AKS 中的许多 pod 之间共享存储。

在这个集群中,我们有多个应用程序,我希望访问这个存储是安全的,每个存储帐户只能通过分配给这些 pod 的一个用户管理身份访问:

  • 使用 pod 身份
  • 将“存储文件数据 SMB 共享参与者”角色分配给我们的托管身份。

option1 : 使用 pod-identity,当我们创建存储类和持久化卷声明时,它会自动创建 PV 和存储帐户,那么如何动态检索这个存储帐户的名称?(带有 Terraform 的 IaC)

选项 2:不使用 pod-identities,我们如何才能安全地从 pod 访问此存储帐户?

4

1 回答 1

1

选项1

  1. 您可以预先创建存储帐户,在存储帐户上分配角色并使用StorageClass storageAccount参数来使用它,而不是创建一个新帐户。

  2. 您可以预先创建资源组,在资源组范围内分配角色,然后使用参数指定该资源组,resourceGroup StorageClass以确保在该资源组中创建存储帐户。

选项2

  1. 您必须使用服务主体或存储帐户访问密钥。您可以从 Vault(例如:Azure Key Vault,使用CSI Driver)获取它们,也可以将它们存储在 Kubernetes Secret 中。
于 2021-04-29T19:31:12.503 回答