如何配置Azure Kubernetes用户上下文以访问本地资源

62次阅读
没有评论

问题描述

在同时拥有本地资源和Azure资源的情况下,想知道在Azure Kubernetes集群中运行的作业是否可以配置为使用AD用户上下文,以便可以访问网络文件夹或使用受信任的连接进行SQL Server连接。如果不行,最安全的操作方式是什么,因为我不喜欢使用UID/PWD连接字符串,因为这些细节往往会被分享到不应该分享的地方。

解决方案

请注意以下操作注意版本差异及修改前做好备份。

方案1

在Azure Kubernetes集群中,无法将基于Azure AD的托管标识授予对本地资源的访问权限。一种选择是通过Azure Arc服务将AKS集群迁移到本地。
然而,由于需要更多的基础设施,这可能不是理想的选择。最好的选择是将您需要在本地访问的资源迁移到云端,因为这样可以减少在Azure和本地网络之间检索未知数据大小所产生的延迟。
以下是一些迁移资源的示例:
– 如果需要访问网络文件,请将应用程序重新编码以与存储帐户服务(文件共享、Blob等)进行通信。
– 如果需要访问数据库,请迁移到支持托管标识身份验证的Azure VM或Azure SQL DB/MI。

方案2

使用脚本或工具来管理容器的启动顺序可能会增加复杂性,并且需要确保容器A和容器B之间的依赖关系正确设置。
另一种方法是编写脚本或使用工具来控制容器的运行顺序。你可以使用docker run命令来手动控制容器的启动顺序,或者使用一些第三方工具来管理容器的依赖关系。

示例:

以下是一个简单的bash脚本示例,可以在容器A启动后启动容器B:

#!/bin/bash
# 启动容器A
docker run -d --name container_a your_image_a
# 等待容器A完全启动
while ! docker exec container_a echo "Container A is ready"; do
  sleep 1
done
# 启动容器B
docker run -d --name container_b your_image_b

在这个示例中,我们首先使用docker run命令启动容器A,并将其命名为container_a。然后,使用一个循环来等待容器A完全启动(这里是通过在容器内运行echo命令来测试)。一旦容器A就绪,我们再使用docker run命令启动容器B,并将其命名为container_b

正文完