我计划将pod标识分配给我的一个应用程序。然而,我无法理解当pod自行重启/死亡时,分配的pod标识会发生什么?
吊舱是否被分配了一个新的身份?
不确定是否配置端到端设置,但是,如果您将其与服务帐户一起使用并注释其工作负载标识,则即使POD将重新启动,它也会保持不变。
如果POD重新启动,AZURE_AUTHORITY_HOST, azure-identity-token将自动注入。除了使用POD,您还可以使用部署并将服务帐户附加到它。
正如官方文档中提到的,它是服务帐户到AAD的映射,所以如果您的服务帐户在POD或部署的配置中,它将获得机密和其他值。
Azure AD Workload Identity supports the following mappings:
one-to-one (a service account referencing an AAD object)
many-to-one (multiple service accounts referencing the same AAD object).
one-to-many (a service account referencing multiple AAD objects by changing the client ID annotation).