Небольшой контекст: мне нужно перенести проект из AWS, где я сейчас использую ECS, в Azure, где я буду использовать AKS, поскольку их ACS (эквивалент ECS) устарел.
Это обычное приложение Django, переменные конфигурации которого извлекаются из server-config.json, размещенного в приватной корзине S3, экземпляр EC2 имеет правильную роль с S3FullAccess,
, который я искалв воспроизведении того же поведения, но с использованием Azure Blob Storage, но безуспешно: - (.
Я пытался использовать концепцию Service Principal и добавить ее к AKS Cluster с Storage Blob Data Owner ролями, нопохоже, это не работает. В целом это был довольно неприятный опыт - может быть, мне просто трудно понять, как правильно использовать разрешения / области действия. Тот факт, что AKS Cluster создает свою собственную группу ресурсов, является чем-тонепостижимо - но я тоже попытался прикрепить к нему политики, но безрезультатно. Затем я перешел к решению, указанному Microsoft.
Мне удалось связатьу AKS pods с правильным User Managed Identity через указанное решение aad-pod-identity, но я чувствую, что что-то упустил.Я назначил Storage Blob Data Owner/Contributor идентификатору, но, тем не менее, когда я захожу в модули и пытаюсь получить доступ к BLOB-объекту (используя python sdk), я получаю сообщение resource not found.
Возможно ли то, чего я пытаюсь достичь вообще?Или мне придется перейти на решение, использующее Azure Keyvault / что-то в этом роде?