Azure Kubernetes - identité gérée multiple?

Question

Nous prévoyons de déployer plusieurs applications sur notre cluster unique Azure Kubernetes, chaque application aura son propre ensemble de ressources Azure - par exemple : Key vault, Stockage.

Je prévois de provisionner des identités gérées individuelles par application et de fournir un accès aux ressources pertinentes.

Je sais que l'identifiant du POD AZURE AAD est la manière de configurer le pod pour utiliser l'identité gérée pour accéder aux ressources Azure.

Cependant, comment puis-je ajouter plusieurs identités gérées dans le cluster Azure Kubernetes ? et est-ce la bonne manière de procéder ?

Answer 1

Comme je l'ai mentionné précédemment, je ne pense pas que vous puissiez ajouter plusieurs MSI au cluster, vous pouvez simplement utiliser un MSI attribué par le système ou un MSI attribué par l'utilisateur pour cela.

Référence - Utiliser des identités gérées dans Azure Kubernetes Service

Dans votre cas, si vous souhaitez utiliser plusieurs principaux de service pour l'authentification (essentiellement MSI est également un principal de service géré par Azure), vous pouvez créer plusieurs applications AD avec les principaux de service.

Référence - Comment faire : Utiliser le portail pour créer une application Azure AD et un principal de service pouvant accéder aux ressources

Ensuite, dans le code de chaque application, utilisez ClientSecretCredential pour l'authentification.

ClientSecretCredential credential1 = new ClientSecretCredentialBuilder()
     .tenantId(tenantId)
     .clientId(clientId)
     .clientSecret(clientSecret)
     .build();

Ensuite, utilisez le jeton pour créer un client, par exemple SecretClient .

SecretClient secretClient = new SecretClientBuilder()
    .vaultUrl("")
    .credential(credential1)
    .buildClient();