Score:0

Server

จะใช้ความลับ acr ที่บันทึกใน Azure vault สำหรับการดึงรูปภาพได้อย่างไร

uday

27/11/22 19:24

ด้วย Azure vault และไดรเวอร์ csi สามารถสร้างความลับและเข้าถึงได้ในรูปแบบไฟล์เดียวในคอนเทนเนอร์

ฉันตาม นี้ วิธีการสร้างความลับพื้นฐาน

สามารถเข้าถึงความลับจากคอนเทนเนอร์เป็นไฟล์ลับที่อยู่ภายใน

แต่เมื่อฉันพยายามสร้างความลับจากมันและใช้สิ่งเดียวกันสำหรับ imagePull มันก็ไม่ทำงาน..

apiVersion: secrets-store.csi.x-k8s.io/v1alpha1
ประเภท: SecretProviderClass
ข้อมูลเมตา:
  ชื่อ: azure-kvname
  เนมสเปซ: ค่าเริ่มต้น
ข้อมูลจำเพาะ:
  ผู้ให้บริการ: azure
  วัตถุลับ:
  - ชื่อลับ: การทดสอบ acr
    ประเภท: kubernetes.io/dockerconfigjson
    ข้อมูล:
     - ชื่อวัตถุ: martrepo
       คีย์: .dockerconfigjson
  พารามิเตอร์:
    usePodIdentity: "เท็จ"
    useVMManagedIdentity: "เท็จ"
    userAssignedIdentityID: ""
    keyvaultName: "ร้านค้าลับหลอก"
    วัตถุ: |
      อาร์เรย์:
        - |
          ชื่อวัตถุ: ความลับ1              
          objectType: ความลับ
          เวอร์ชันวัตถุ: ""
        - |
          ชื่อวัตถุ: martrepo              
          objectType: ความลับ
          เวอร์ชันวัตถุ: ""    
    รหัสผู้เช่า: "f33abe27-86cd-46d6-ae2b-b918362ab160"

---
ชนิด: ฝัก
api เวอร์ชัน: v1
ข้อมูลเมตา:
  ชื่อ: busybox-secrets-store-inline
ข้อมูลจำเพาะ:
  ตู้คอนเทนเนอร์:
  - ชื่อ: busybox
    รูปภาพ: k8s.gcr.io/e2e-test-images/busybox:1.29
    สั่งการ:
      - "/ถัง/สลีป"
      - "10,000"
    ปริมาณการติดตั้ง:
    - ชื่อ: secret-store-inline
      mountPath: "/mnt/secrets-store"
      อ่านอย่างเดียว: จริง
  ปริมาณ:
    - ชื่อ: secret-store-inline
      ซีเอสไอ:
        ไดรเวอร์: secrets-store.csi.k8s.io
        อ่านอย่างเดียว: จริง
        ปริมาณแอตทริบิวต์:
          secretProviderClass: "azure-kvname"
        nodePublishSecretRef: # จำเป็นเมื่อใช้โหมดบริการหลักเท่านั้น
          ชื่อ: ความลับที่เก็บเครดิต

ความลับการทดสอบ acr-test ข้างต้น ฉันพยายามใช้ในการปรับใช้แอพที่ imagePullSecrets แต่มันไม่ได้ผลเนื่องจากเหตุการณ์แสดงปัญหาเกี่ยวกับการดึงรูปภาพ

โปรดแนะนำฉันหากแนวทางไม่ถูกต้อง

และจะใช้ความลับเหล่านี้เป็นส่วนหนึ่งของ configmap ที่มีอยู่ได้อย่างไร

160

1 + 4

คูเบอร์เนเตส

ห้องนิรภัย

Sam Cogan

28/11/22 14:23

คุณใช้ AKS สำหรับคลัสเตอร์ kubernetes หรือไม่ ถ้าเป็นเช่นนั้น ฉันขอแนะนำว่าอย่าใช้ความลับในการดึง ACR เพียงแค่ให้สิทธิ์หลักของบริการ AKS หรือการเข้าถึงข้อมูลประจำตัวที่มีการจัดการ

ตอบกลับ

uday

28/11/22 14:29

acr อยู่ในบัญชีที่แตกต่างกันและในการสมัครสมาชิกที่แตกต่างกันโดยสิ้นเชิง ดังนั้นจึงใช้เป็นความลับ

ตอบกลับ

Sam Cogan

28/11/22 14:30

ผู้เช่ารายอื่น?

ตอบกลับ

uday

28/11/22 14:31

ใช่ ทั้งหมดแตกต่างกัน ไม่เชื่อมโยงเลย

ตอบกลับ

Score:1

Server

Sam Cogan

28/11/22 14:33

ฉันไม่เชื่อว่าสิ่งนี้จะทำได้ ไดรเวอร์ CSI ติดตั้งข้อมูลลับภายในคอนเทนเนอร์เป็นไดรฟ์ข้อมูล แต่จำเป็นต้องมีข้อมูลลับการดึงอิมเมจก่อนที่จะสร้างคอนเทนเนอร์และติดตั้งไดรฟ์ข้อมูล ดังนั้นข้อมูลลับจะไม่สามารถใช้ได้

คุณจะต้องตั้งค่านี้เป็นความลับ Kubernetes แบบคงที่มาตรฐาน

0 + 2

uday

28/11/22 15:21

เป็นไปได้ไหมที่จะสร้าง init container และเชื่อมโยงจากที่นั่น?

ตอบกลับ

Sam Cogan

28/11/22 15:51

เฉพาะในกรณีที่คุณมีคอนเทนเนอร์ init ให้สร้างความลับของ kubernetes ตามข้อมูลลับ KV ที่คอนเทนเนอร์หลักสามารถเข้าถึงได้

ตอบกลับ

Kulap

คำถามนี้เป็นภาษาอื่นๆ:

EN: How to use acr secret saved in azure vault for image pull?

TH: จะใช้ความลับ acr ที่บันทึกใน Azure vault สำหรับการดึงรูปภาพได้อย่างไร

RO: Cum să utilizați secretul acr salvat în seiful azure pentru extragerea imaginii?

RU: Как использовать секрет acr, сохраненный в лазурном хранилище, для извлечения изображения?

VI: Làm cách nào để sử dụng bí mật acr được lưu trong vault azure để kéo hình ảnh?

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา