【发布时间】:2020-10-20 16:56:52
【问题描述】:
我正在尝试将 pod 身份与 KEDA 结合使用来访问一些 Azure 资源,准确地说是 Azure 服务总线和 Keyvault。
我注意到在根据these instructions部署算子时应该设置aadpodbinding。我可能误解了这些说明,因为我阅读它的方式是我需要一个 aadpodbinding 即。有某种集群范围的“keda-identity”吗?
我想知道如何在我的场景中使用 pod 身份:我希望我的 AKS 集群中运行的每个解决方案都有一个单独的身份。这些身份将为解决方案提供对 Azure 资源的访问权限,然后我想使用这些身份为 KEDA 提供身份验证。我不希望共享身份访问我订阅的多个资源。
这当然是可能的,但我以某种方式误解了说明(不是以英语为母语的人)?
【问题讨论】:
-
查看 pod 身份文档 (github.com/Azure/aad-pod-identity)。您可以创建多个
AzureIdentity和相关的AzureIdentityBinding。那么aadpodbinding标签需要匹配AzureIdentityBinding的选择器。 -
谢谢托马斯。我了解这部分,但有没有办法传递多个不同的
aadpodbinding供 KEDA 操作员使用,以便更好地隔离解决方案之间的资源? -
如果没有,您知道我如何在语法上将多个
aadpodbinding添加到部署中吗?我理解后一个问题更多的是一个 pod 身份,与 KEDA 没有任何关系。 -
按照 pod 身份文档 (github.com/Azure/aad-pod-identity#3-deploy-azureidentity),您应该能够映射任意数量的托管身份/服务主体。
-
嗯,我在这里可能有点慢,但我想是这样我解释错了:“Azure AD Pod Identity 将允许访问具有已定义标签的容器,用于 aadpodidbinding。您可以在 KEDA 操作员部署上设置此标签。这可以在使用 Helm 部署时为您完成,使用 --set aadPodIdentity={your-label-name}。"我理解它的方式是运算符将绑定到单个标签。我会有多个,每个解决方案都会有一个不同的解决方案。我想避免使用绑定到每个解决方案的 keda-identity。
标签: azure keda aad-pod-identity