查看terraform documentation,我很难确定如何为aks集群分配作为kubelet_identity
的UAMI。
这里描述的设置controlPlane UAMI的identity { ... }
块不是我要找的。
问题是-是否有一种地形方式,我可以分配除identity {..}
块中的UAMI之外的额外UAMI,并使用它来访问ACR?
我想像这里描述的那样设置一个单独的UAMI作为kubelet身份
查看terraform documentation,我很难确定如何为aks集群分配作为kubelet_identity
的UAMI。
这里描述的设置controlPlane UAMI的identity { ... }
块不是我要找的。
问题是-是否有一种地形方式,我可以分配除identity {..}
块中的UAMI之外的额外UAMI,并使用它来访问ACR?
我想像这里描述的那样设置一个单独的UAMI作为kubelet身份
3条答案
按热度按时间jogvjijk1#
是否存在一种地形方式,我可以分配除identity {之外的额外UAMI。.}块并使用它访问ACR?
根据您提供的详细信息,您可以创建一个额外的UAMI,并将其与AKS集群kubelet标识关联,然后将角色分配给UAMI,示例代码如下:resource“azurerm_kubernetes_cluster”“example”{ name =“example-aks1”location = azurerm_resource_group.example.location resource_group_name = azurerm_ www.example.com dns_prefix =“exampleaks1”
更新:
实际上,当你创建AKS并启用系统分配的托管身份时,它会为AKS集群创建两个用户分配的身份,一个是访问其他资源,一个是管理AKS集群本身,这个就是kubelet身份。
分配kubelet身份权限访问ACR没有意义。您需要做的是分配访问ACR的AKS身份权限。或者使用Kubernetes内部的秘密和服务帐户来访问ACR。
f87krz0w2#
你需要这样的东西,
您可以在此处查看整个**script**
yzuktlbb3#
Terraform中似乎有一个选项可以将UAMI分配为kubelet身份。 www.example.com
示例:
如上所述,您需要按照doc将kubelet标识分配给ACR(可以通过Terraform
azurerm_role_assignment
完成:https://learn.microsoft.com/en-us/azure/aks/use-managed-identity#add-role-assignment