问题描述
使用Azure Key Vault连接Azure Kubernetes服务和Postgresql的Azure数据库。
我想知道使用密钥保险库在现有AKS集群上连接到Postgresql DB的步骤。
我们正在传递数据库用户名和密码,等等,详细信息正在传递configmap yaml文件级别。
现在,我们希望将凭证与azure密钥库集成在一起,并将其用作与Postgresql连接进行的AKS部署的一部分。
请让我知道是否有人使用同一用例。
谢谢!
解决方法
您不需要 Keyvault 即可从 AKS(或大多数其他 Azure 服务)安全地连接到 PostgreSQL。您可以使用集群的托管标识。这比使用 Keyvault 设置要简单得多。
您需要执行以下步骤:
- 为集群启用 aad-pod-identity (https://docs.microsoft.com/en-us/azure/aks/use-managed-identity)
- 将托管身份作为用户添加到 PostgreSQL
- 使用来自集群管理身份的访问令牌作为 PostgreSQL 连接的密码。 Microsoft Azure SDK 支持获取此令牌,但也可以通过 REST 调用轻松提取。此处的详细信息:https://docs.microsoft.com/en-us/azure/postgresql/howto-connect-with-managed-identity(请注意,此文档适用于 VM,对于 AKS,可以省略大部分设置步骤)。