Кластер k8s, работающий локально на Minkube, должен иметь учетные данные AWS для доступа к ресурсам на AWS

В процессе разработки я запускаю кластер k8s на своей машине разработки внутри Minikube, запуская несколько сервисов.

Сервисы должны получать доступ к ресурсам AWS, таким как корзина S3. Для этого модули должны каким-то образом получить учетные данные AWS.

Какие есть варианты аутентификации модулей с помощью пользователя AWS? я должен передать aws_access_key_id и aws_secret_access_key в оболочке докера?

Как это будет работать на производстве (внутри k8s на EKS)? передается ли роль узла в стручки?

kubernetes amazon-iam minikube amazon-eks
10.04.2019 14:27
Развертывание модели машинного обучения с помощью Flask - Angular в Kubernetes
Развертывание модели машинного обучения с помощью Flask - Angular в Kubernetes
Kubernetes - это портативная, расширяемая платформа с открытым исходным кодом для управления контейнерными рабочими нагрузками и сервисами, которая...
1
0
1 742
1
Перейти к ответу Данный вопрос помечен как решенный

Ответы 1

Ответ принят как подходящий

Хороший способ пройти локальную аутентификацию — создать Kubernetes Secret, содержащий учетные данные AWS. Затем вы можете ссылаться на секрет в переменных среды развертывания вашей службы, например:

name: AWS_ACCESS_KEY
valueFrom:
  secretKeyRef:
    name: my-aws-secret
    key: access-key

В EKS все модули могут получить доступ к роли из узла. Это, конечно, не идеально для производственной ситуации, поскольку, скорее всего, вам нужен более ограниченный набор разрешений для определенного модуля. Вы можете проверить kube2iam как проект, который можно использовать для ограничения возможностей AWS одного модуля.

10.04.2019 14:37

Другие вопросы по теме

Как сделать API AWS AppSync GraphQL общедоступным при использовании Amazon Cognito для аутентификации?
AWS CLI: описание политики без префикса «p-»
Есть ли способ CloudFormation для загрузки SSH_PublicKey после создания пользователя?
Как решить (AccessDeniedException) при вызове операции сканирования: Пользователь: arn:aws:sts... не авторизован для выполнения: dynamodb:Сканирование ресурса.."?
Что эквивалентно разрешению AWS PassRole в Azure?
Изменение ранее существовавших ролей IAM с помощью terraform
Как ограничить пользователей, прошедших проверку подлинности cognito, чтобы прикрепить политику IoT к удостоверению cognito?
Программная проверка доверительных отношений
Выполните ssm.send_command в EC2 из Lambda. IAM-проблемы
Предоставление доступа к ресурсам AWS Lambda с заданным тегом

Похожие вопросы

Разрешение пользовательских DNS в кластере kubernetes (AKS)
Поды ядра Kubernetes зависли в состоянии ожидания. Не могу запустить приборную панель
Записи DNS не создаются для входящих ресурсов
DNS главного узла Kubernetes не может обнаружить имя службы
Как получить уведомление или предупреждение об ошибке перезагрузки конфигурации в операторе prometheus?
Возможно ли иметь «локальное» пространство ключей в кластере cassandra с несколькими центрами обработки данных
В чем разница между командами oc и kubectl?
Возможность развертывания Kubernetes helm с использованием клиента Helm из задания конвейера Jenkins
Pod монтирует неправильный каталог на узле, когда настроен flexvolume с cifs
Достаточно ли быстро «гуглите стандартные диски Kubernetes» для Cassandra?