通过测试AKS群集的一些新功能,我想为我的azure k8s群集启用托管身份功能,任何人都可以简单地告诉我使用此功能的主要好处是什么?我是否需要这种外部DNS区域?
当前,是一个Azure Kubernetes服务(AKS)群集(具体来说,(Kubernetes云提供商)需要服务主体来创建其他资源,例如Azure中的负载平衡器和托管磁盘。您必须提供服务负责人,或者AKS在您的服务上创建一个服务负责人代表。服务主体通常具有到期日期。集群最终达到服务主体必须处于更新以保持群集正常运行。管理服务主体添加复杂性。
托管身份本质上是服务的包装校长,并使他们的管理更简单。要了解更多信息,请阅读关于Azure资源的托管身份。
AKS创建两个托管身份:
系统分配的受管身份:Kubernetes的身份云提供程序用于代表用户创建Azure资源。系统分配的身份的生命周期与身份分配的生命周期息息相关。簇。删除群集后,身份也会删除。用户分配的受管理身份:用于集群中的授权。例如,用户分配的身份用于授权AKS使用Azure容器注册表(ACR),或授权kubelet从Azure获取元数据。附加组件使用托管身份进行身份验证。对于每个附加组件,身份是由AKS创建的,并且在附加组件的有效期内一直有效。对于创建和使用自己的VNet,静态IP地址或附加的Azure资源在MC_ *资源组之外的磁盘,请使用群集的PrincipalID以执行角色分配。欲了解更多有关角色分配的信息,请参阅将访问权委派给其他Azure资源。
简而言之,是为了简化管理