Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
I den här artikeln beskrivs hur du konfigurerar Workload Identity för att använda en delvolymkonfiguration. Detta gäller för antingen Cloud Ingest-delvolymer eller Cloud Mirror-undervolymer.
Konfigurera Kubernetes-kluster för arbetsbelastningsidentitet
För att kunna använda arbetsbelastningsidentitet med Azure Container Storage aktiverat av Azure Arc måste du först aktivera funktionerna för ditt Azure Arc-anslutna Kubernetes-kluster. Aktivera OpenID Connect-utfärdaren (OIDC) och arbetsbelastningsidentiteten genom att köra följande kommando:
az connectedk8s update --resource-group <RESOURCE_GROUP> --name <CLUSTER_NAME> --enable-oidc-issuer --enable-workload-identity
Därefter måste du konfigurera ditt Kubernetes-kluster för att använda arbetsbelastningsidentitet:
Hämta utfärdarens URL:
az connectedk8s show --resource-group <RESOURCE_GROUP> --name <CLUSTER_NAME> --query oidcIssuerProfile.issuerUrl --output tsvAnvänd den här utfärdaren i /etc/rancher/k3s/config.yaml:
kube-apiserver-arg: - service-account-issuer=<SERVICE_ACCOUNT_ISSUER> - service-account-max-token-expiration=24hNär du har uppdaterat config.yaml måste du starta om K3s.
systemctl restart k3s
Skapa en användartilldelad hanterad identitet (UAMI)
Du måste skapa en UAMI för att federera med ditt Kubernetes-kluster och bevilja rollbaserad åtkomst till ditt lagringskonto eller OneLake Lakehouse för användning med Azure Container Storage aktiverat av Azure Arc.
Du kan skapa en UAMI med hjälp av Azure CLI med följande kommando:
az identity create --resource-group <RESOURCE_GROUP> --name <USER_ASSIGNED_IDENTITY_NAME> --location <LOCATION> --subscription <SUBSCRIPTION>
Det här kommandot returnerar ett klient-ID som du använder senare för att federera autentiseringsuppgifterna och konfigurera Azure Container Storage.
Federera UAMI
Lägg till UAMI i din Crd (EdgeStorageConfiguration Custom Resource Definition) för Azure Container Storage:
kubectl edit edgestorageconfiguration edge-storage-configurationLägg till följande YAML i
specavsnittet efterserviceMesh:workloadIdentity: clientID: <CLIENT_ID_FROM_UAMI> tenantID: <TENANT_ID_FROM_UAMI>Federera sedan din UAMI med de tre nödvändiga tjänstkontona i
azure-arc-containerstoragenamnområdet genom att redigera och köra följande Azure CLI-kommandon:az identity federated-credential create --resource-group <RESOURCE_GROUP> --identity-name <USER_ASSIGNED_IDENTITY_NAME> --name acsa-csi-fed --issuer <OIDC_ISSUER> --subject system:serviceaccount:azure-arc-containerstorage:csi-wyvern-sa --audience api://AzureADTokenExchangeaz identity federated-credential create --resource-group <RESOURCE_GROUP> --identity-name <USER_ASSIGNED_IDENTITY_NAME> --name acsa-pv-fed --issuer <OIDC_ISSUER> --subject system:serviceaccount:azure-arc-containerstorage:wyvern-pv-sa --audience api://AzureADTokenExchangeaz identity federated-credential create --resource-group <RESOURCE_GROUP> --identity-name <USER_ASSIGNED_IDENTITY_NAME> --name acsa-operator-fed --issuer <OIDC_ISSUER> --subject system:serviceaccount:azure-arc-containerstorage:wyvern-operator-sa --audience api://AzureADTokenExchangeDu måste också lägga till en rollbindning till det lagringskonto som du vill använda för den UAMI som du skapade. Lägg till rollen Storage Blob Data Owner till den UAMI som du skapade:
az role assignment create --assignee <USER_ASSIGNED_IDENTITY_ID> --role "Storage Blob Data Owner" --scope "/subscriptions/<SUBSCRIPTION>/resourceGroups/<RESOURCE_GROUP>/providers/Microsoft.Storage/storageAccounts/<STORAGEACCOUNT>"
Skapa ett beständigt volymanspråk (PVC) med arbetsbelastningsidentitet
När du skapar CRD för inmatning eller speglingsundervolumes anger du parametern spec.authentication.authType till WORKLOAD_IDENTITY.
Nästa steg
Fortsätt stegen i antingen Skapa ett Cloud Ingest Persistent Volume Claim (PVC) eller Skapa ett Cloud Mirror Persistent Volume Claim (PVC) för att slutföra konfigurationen.