Экземпляр контейнера Azure развернут в виртуальной сети, и я хочу хранить свои ключи и другие конфиденциальные переменные в Key Vault и каким-то образом получить к нему доступ. В документации я обнаружил, что в настоящее время использование управляемых удостоверений ограничено, если ACI находится в VNET. Есть ли другой способ обойти эту личность и использовать Key Vault?

Я стараюсь избегать переменных среды и секретных томов, потому что этот контейнер будет запускаться каждый день, а это значит, что будет какой-то скрипт с доступом ко всем секретам, и я не хочу раскрывать их в скрипте.

0
alterego 19 Июн 2020 в 16:34

1 ответ

Лучший ответ

Для доступа к хранилищу ключей Azure вам потребуется доступ к токену. Можно ли сохранить этот токен в секрете k8s?

Если да, то любую команду SKD или CURL можно использовать для использования Rest API хранилища ключей для извлечения секрета во время выполнения: https://docs.microsoft.com/en-us/rest/api/keyvault/

Если вы не хотите использовать секрет / тома для хранения токена для AKV, лучше всего запечь свой токен в образе контейнера и, возможно, перестраивать свой образ каждый день с новым токеном, которым вы могли бы управлять его доступом I AKS в в то же время в вашем процессе CI

1
djsly 19 Июн 2020 в 17:49