amazon-web-services - 将 AWS IAM 角色授予在 GKE (Google Kubernetes Engine) 中运行的 pod
问题描述
我想将一个 pod 从 AWS 托管的 K8s 集群移动到 GKE (Google)。问题是在 GKE 实例上我没有 AWS 元数据来承担 IAM 角色(显然)。但我想我可以做一些类似于kube2iam的事情,以便让 pod 承担角色,就好像它们在 AWS 中运行一样。意思是,运行一个 daemonset 来模拟对 pod 元数据的访问。我已经在云之间设置了 VPN。
有人已经这样做了吗?
解决方案
我还没有尝试过。但请记住,在 GKE 中,IAM 角色与账户(用户账户/服务账户)相关联,而不是与资源(pod/节点)相关联。
此外,kube2iam 看起来更像是一个安全解决方案,而不是一个兼容性解决方案。从 kube2iam 节点获得凭据后,您仍然会遇到兼容性问题。
我认为更好的解决方案是使用API调用并处理身份验证。
推荐阅读
- ajax - 使用 ASP.NET mvc 在视图中分页数据而不重复 sql 查询
- arrays - 尝试更改使用迭代创建的数组中的单个值会更改多个值。为什么?
- excel - 识别 vba 列表中的文本变量
- unicode - 日文和中文名字/姓氏检测器
- java - 为多个模型 tensorflow java 的作业指定 CPU 或 GPU
- dm-script - 在 DigitalMicrograph GMS3 中添加/应用自定义数据栏到图像
- sql - 可以从同一个表中搜索部分匹配的字符串吗?
- php - 匹配字符串后面没有另一个字符串
- tensorflow - Keras 中的自注意力 GAN
- php - php-mysqli 等待“multi_query”查询完成?