将 Azure AD 凭据集成到 Kubeflow 笔记本 pod

【问题标题】:Integrating Azure AD credentials to Kubeflow notebook pods将 Azure AD 凭据集成到 Kubeflow 笔记本 pod
【发布时间】:2021-05-23 19:25:01
【问题描述】:

我目前正在使用 AKS 在 Azure 中设置 Kubeflow 环境。一切都已设置并正常工作(用户可以使用 Azure AZ 凭据登录 kubeflow 平台,并在自己的命名空间中启动 notebook pod)。我假设这些 AD 凭据嵌入在容器创建过程中的某个位置,我想知道是否可以将这些凭据用于集成 AD 的其他服务?

用例:

用户正在使用从 Kubeflow 平台启动的 Jupyter 笔记本。用户希望访问 Azure 存储 blob 中的数据。容器已经存储了他们的凭据,而不必从他们的笔记本会话登录到 Azure。

这听起来很合理,但我不确定它是否真的可以以安全的方式完成。

【问题讨论】:

    标签: azure kubernetes openid-connect azure-aks kubeflow


    【解决方案1】:

    假设您按照Authentication using OIDC in Azure 中的说明进行操作:不,使用默认配置是不可能的。

    OIDC 的工作方式是通过给定的受众(它应该与谁一起使用)和授予(它说你应该能够做的事情)返还一个令牌。颁发给 Kubeflow 的令牌仅对 Kubeflow 服务主体受众有效;换句话说,您不能再获取相同的令牌并将其与 Azure API 一起使用。这是设计使然,并且是 OIDC 安全性的关键因素之一。允许 Kubeflow 有权颁发更多令牌(通常通过 user_impersonation 授权)会带来相当大的安全问题 - 现在任何设法破坏该应用程序机密的人都可以获得强大的令牌,而不是通常设计的受限范围令牌。

    如果他们需要访问的资源不是特定于相关用户,aad-pod-identity 可用于向用户正在运行的 Pod 授予访问令牌,而不是要求他们再次登录。

    【讨论】:

      猜你喜欢
      • 2020-01-01
      • 2011-09-28
      • 2020-02-29
      • 2019-06-28
      • 2021-08-17
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2022-01-03
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode