Azure Kubernetes现在似乎提供了两种方式来访问其他Azure资源.1. AKS管理身份 - https:/docs.microsoft.comen-usazureaksuse-managed-identity。2. AAD舱身份---- https:/github.comAzureaad-pod-identity。
作为一个在AKS内运行的应用程序,我如何为AKS集群管理身份或AAD pod身份申请token?当我调用IMDS端点请求token时,它如何知道要为哪个身份生成token?
同样,主机可以直接从NMI主机端点发出授权请求,获取资源的服务主令牌(http:/127.0.0.1:2579hosttoken。). 该请求必须在请求头中包含 pod 命名空间 podns 和 pod 名称 podname,以及请求令牌的资源端点。NMI服务器根据请求头中的podns和podname识别pod,然后查询k8s(通过MIC)以获取匹配的azure标识。然后NMI发出ADAL请求,获取请求中资源的token,返回token和clientid作为响应。
https:/github.comAzureaad-pod-identity#node-managed-identity。