尋找將 ACR 與 AKS 集成用于生產環境的最佳方法,似乎有多種方法,例如,在安裝期間和安裝后,使用服務主體,以及使用影像拉取機密等。
所以為我們的生產環境尋找最推薦的選項,這里的要求如下。
- 在aks創建本身期間是否必須附加acr
- 如果我們將 ACR 與 AKS 安裝本身集成在一起,會有什么優勢。(似乎,在這種情況下,我們不想將影像拉取機密傳遞給 pod 規范,而對于我們需要的其他選項)
- 在這種情況下,將 ACR 與 AKS(az aks update)命令集成的另一種方法是什么?如果是,那么與我們在 AKS 安裝期間集成的先前方法有何不同。
- 如果我想在另一個區域設定二級 AKS 集群,但需要連接 ACR 主實體的 ACR 地理復制實體,我該如何完成?在這種情況下,是否必須在 AKS 安裝期間或稍后安裝后附加 tge ACR 也很好?
uj5u.com熱心網友回復:
恕我直言,最好的方法是 Azure RBAC。創建 AKS 時不需要附加 ACR。您可以利用 Azure RBAC 并將角色“AcrPull”分配給節點池的 Kubelet 標識。這可以為您擁有的每個 ACR 完成:
export KUBE_ID=$(az aks show -g <resource group> -n <aks cluster name> --query identityProfile.kubeletidentity.objectId -o tsv)
export ACR_ID=$(az acr show -g <resource group> -n <acr name> --query id -o tsv)
az role assignment create --assignee $KUBE_ID --role "AcrPull" --scope $ACR_ID
地形:
resource "azurerm_role_assignment" "example" {
scope = azurerm_container_registry.acr.id
role_definition_name = "AcrPull"
principal_id = azurerm_kubernetes_cluster.aks.kubelet_identity[0].object_id
}
轉載請註明出處,本文鏈接:https://www.uj5u.com/ruanti/323704.html