代码之家  ›  专栏  ›  技术社区  ›  masked_m0nkey

授予pod in Kubernetes集群访问Google存储(RBAC/IAM)的权限

google-iam rbac kubernetes
  •  0
  • masked_m0nkey  · 技术社区  · 6 年前

    例如:一个pod从Google存储访问数据。为了不硬编码某些凭据,我希望它能够通过RBAC/IAM访问它,但另一方面,我不希望群集中的另一个pod能够访问相同的存储。

    这是必要的,因为用户与这些pod交互,存储中的数据有隐私限制。

    到目前为止,我看到的唯一方法是为该资源创建一个服务帐户,并将该服务帐户的凭据传递给pod。到目前为止,我对这个解决方案并不满意,因为传递凭证对我来说似乎不安全。

    1 回复  |  直到 6 年前
        1
  •  0
  •   Kingsley    6 年前

    不幸的是,只有一种方法可以做到这一点,而你写的对你来说似乎不安全。我发现一个 example in documentation 他们使用的方法是,你秘密地存储服务帐户的凭证,然后在pod中秘密地使用它。

    推荐文章
    ralonr  ·  当上下文已经设置好时,如何在K9中的上下文之间切换?
    2 年前
    Dr. Andrew  ·  kubectl运行时未创建部署
    2 年前
    Meghana B Srinath  ·  ServiceNow作为基于容器的应用程序
    2 年前
    CodeMonkey  ·  键“meta.helm.sh/release name”必须等于“x”:当前值为“y”
    2 年前
    user17377017  ·  Kubernetes nginx控制器错误日志:连接到上游时connect()失败(111:连接被拒绝),客户端:X.X.X.X,服务器:X.X.X.X
    2 年前
    Suhasini Subramaniam  ·  如何列出库伯内特斯吊舱中有CharDevice?
    2 年前
    briadeus  ·  Kubernetes活性/就绪性探测在同一集群上的不同命名空间中失败(权限被拒绝)
    2 年前
    Abhishek Rai  ·  库伯内特斯吊舱卡在集装箱内
    2 年前
    Rajan Subramanian  ·  无法让kubectl在minikube中运行flask应用程序
    2 年前
    TiDu  ·  使用EKS设置出口网关的最简单方法,无需Istio
    2 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号