如何使用托管标识从 Azure Kubernetes 服务 (AKS) 访问 Azure Key Vault (AKV)

【问题标题】:How to access Azure Key Vault (AKV) from Azure Kubernetes Service (AKS) using Managed Identities如何使用托管标识从 Azure Kubernetes 服务 (AKS) 访问 Azure Key Vault (AKV)
【发布时间】:2019-09-15 01:30:30
【问题描述】:

我们在 Azure 上运行一些 dotnet 核心应用服务,并使用带有托管标识的 Azure 密钥保管库。

计划将这些 dotnet 核心服务部署到 azure kubernetes,但我没有找到任何相关文档/支持将 AKV 与 Kubernetes 服务一起使用。任何指导或参考

【问题讨论】:

    标签: azure azure-keyvault azure-aks azure-managed-identity


    【解决方案1】:

    有几个选项可以从 AKS 访问 KV:

    • Use Azure Key Vault with FlexVoldeprecated. 继续在 kubernetes 1.15 版本中使用)

      使用 Key Vault,您可以存储和定期轮换凭据、存储帐户密钥或证书等机密。可以使用 FlexVolume 将 Azure Key Vault 与 AKS 群集集成。 FlexVolume 驱动程序允许 AKS 群集从 Key Vault 本地检索凭据,并仅将它们安全地提供给发出请求的 pod。与您的集群操作员合作,将 Key Vault FlexVol 驱动程序部署到 AKS 节点上。您可以使用 pod 托管身份请求访问 Key Vault 并通过 FlexVolume 驱动程序检索您需要的凭据。

      带有 FlexVol 的 Azure Key Vault 适用于在 Linux pod 和节点上运行的应用程序和服务。

    • Use Azure Key Vault Provider for Secrets Store CSI Driver(适用于 kubernetes 1.16+)

      用于 Secrets Store CSI 驱动程序的 Azure Key Vault 提供程序允许通过 CSI volume 将 Azure Key Vault 作为机密存储与 Kubernetes 集群集成。

    • Use Azure Active Directory pod-managed identities in Azure Kubernetes Service (Preview)

      Azure Active Directory (Azure AD) pod 托管标识使用 Kubernetes 原语将 Azure 资源的托管标识和 Azure AD 中的标识与 pod 相关联。管理员将身份和绑定创建为 Kubernetes 原语,允许 pod 访问依赖 Azure AD 作为身份提供者的 Azure 资源。

    我发现 pod 标识方法更容易,因为您不需要更改代码。

    【讨论】:

    猜你喜欢
    • 2020-06-02
    • 2021-10-11
    • 1970-01-01
    • 2021-11-07
    • 2020-12-23
    • 1970-01-01
    • 2020-08-29
    • 2022-09-28
    • 2021-11-20
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode