[решено] См. Мой ответ ниже.
Поэтому я пытаюсь интегрировать KeyVault с существующим кластером AKS, используя идентификатор AAD Pod.
Я внимательно следил за документацией для его интеграции в кластер , но по какой-то причине я получаю 403 при попытке получить доступ к хранилищу ключей из модуля, который имеет aadboundidentity .
Мой кластер имеет RBA C, поэтому я использовал yaml из AAD Pod Github для RBA C.
Вот как выглядит мой aadpodidentity.yml:
apiVersion: "aadpodidentity.k8s.io/v1"
kind: AzureIdentity
metadata:
name: aks-kv-identity
spec:
type: 0
ResourceID: <full-resource-id-of-managed-id>
ClientID: <client-id-of-aks-cluster-sp>
Мой aadpodidentitybinding.yaml выглядит так:
apiVersion: "aadpodidentity.k8s.io/v1"
kind: AzureIdentityBinding
metadata:
name: azure-identity-binding
spec:
AzureIdentity: aks-kv-identity
Selector: kv_selector
Ямл, который я хотел бы выпить привязать к:
apiVersion: apps/v1
kind: Deployment
metadata:
name: data-access
labels:
app: data-access
spec:
replicas: 1
selector:
matchLabels:
app: data-access
template:
metadata:
labels:
app: data-access
aadpodidbinding: kv_selector
spec:
containers:
- name: data-access
image: data-access:2020.02.22.0121
ports:
- containerPort: 80
Мой AKS SP также имеет роль «Читатель», назначенную хранилищу ключей