AKSユーザ・アプリからのリソース・アクセスのバックアップ(No.4) - マイクロソフト系技術情報 Wiki

[ トップ ] [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

バックアップ一覧
差分を表示
現在との差分を表示
ソースを表示
AKSユーザ・アプリからのリソース・アクセスへ行く。
- 1 (2020-05-06 (水) 20:32:18)
- 2 (2020-05-06 (水) 20:42:51)
- 3 (2020-05-07 (木) 12:21:02)
- 4 (2020-05-07 (木) 18:41:04)
- 5 (2020-06-30 (火) 10:27:14)
- 6 (2020-07-16 (木) 13:30:50)

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

戻る
- Azure > AKS
- AKSをセキュアに利用するためのテクニカルリファレンス

目次 †

目次
概要
詳細
- Secret管理
  - 環境変数
  - Secret機能
- Managed ID
  - Pod ID機能
  - Key Vault & FlexVol
参考
- Key Vault
- Qiita

概要 †

Secret管理が推奨。
Managed IDの採用は要検討

詳細 †

Secret管理 †

≒ ユーザ/パスワード（Secret）の方式。
AKS側ではなく、K8s側の機能

環境変数 †

Deployment.yamlファイルの環境変数にSecretを直接入れる。
アプリから、環境変数取得APIからSecretを取得する。

※ Deployment.yamlファイルに平文でSecretを書く必要がある。

Secret機能 †

Secret.yamlファイルを使用して制御プレーンに暗号化して保存。
Deployment.yamlファイルの環境変数にSecret機能の参照を入れる。
アプリから、環境変数取得APIからSecretを取得する。

※ 管理者権限がアレば kubectl で取り出せてしまうという問題がある。

kubectl get secret <Secret名> -o json

Managed ID †

Windows認証的な。
K8s側ではなく、AKS側の機能。
- なので、Azure系のリソースのみが対象
- K8s側にプラグインのインストールが必要になる。

Pod ID機能 †

Managed ID ≒ Pod ID機能で、
Pod ID機能を有効にすると利用可能。

ただし、ヤリ過ぎ感が出てくる。

Key Vault & FlexVol? †

Key Vault
- Key Vaultには、Pod ID機能でアクセス可能。
- 他にも、SPNを使用した方式があるらしい。
- ココから取得したSecretを、接続文字列等に組込む。
- ただし、AKSのプラットフォーム依存コードになる。

FlexVol?
- K8sでボリュームのプラグインを書けるようにしたもの
- Key Vault FlexVolume?プラグインと言うものがある。
  - Key Vaultの情報を一時ドライブに復元する。
  - プラットフォーム依存コードを削減できる。
    ・ヤリ過ぎ感が出てくる。
    ・そして、結局環境変数ではない。

参考 †

Azure Kubernetes Serviceでシークレットを管理する6つの方法 | re-imagine
https://torumakabe.github.io/post/aks_how_to_keep_secret/

Key Vault †

Qiita †

FlexVolume?を用いたKeyVault?とAKSの連携
- （１）
  https://qiita.com/TsuyoshiUshio@github/items/d8744e13028fed7d72be

Azure Key Vault で AKS の secret を管理する
https://qiita.com/kyohmizu/items/9cedf39c70445a7da58e

Tags: :クラウド, :コンテナ, :Azure, :AKS, :セキュリティ, :認証基盤