微軟對外開源一個稱為Azure AD工作負載身分識別(Workload Identity)的專案,這個專案可讓開發人員,使用Kubernetes原語以及Azure AD中的資源和身分識別,與Pod相關聯,也就是說透過這個專案,開發者可以使用服務帳戶和聯合(Federation)原生Kubernetes的概念,在不需要機密的情況下,存取受Azure AD保護的資源,諸如Azure和Microsoft Graph。

目前使用Azure AD Pod身分識別專案也能滿足這一個需求,但是Azure AD工作負載身分識別方法更容易使用和部署,而且克服了Azure AD Pod身分識別中的限制。官方提到,過去的方法存在規模和效能問題,而新的方法效能更好,更能應用在大規模場景中,而且支援託管在任意雲端的Kubernetes叢集,還可用於Linux和Windows工作負載,方法較簡單,能避免叢集角色分配等複雜且容易出錯的安裝步驟。

Azure AD工作負載身分識別的運作方式,是讓Kubernetes叢集成為令牌發行者,向Kubernetes服務帳戶發行令牌,這些令牌可以配置在Azure AD應用程式上,使其能夠被信任,接著使用Azure Identity SDK或是MSAL(Microsoft Authentication Library)交換這些令牌為Azure AD存取令牌。

適用Kubernetes的Azure AD工作負載身分識別聯合功能,目前僅支援Azure AD應用程式,微軟打算要擴展相同的模型至Azure受控身分識別。微軟提到,在接下來幾個月,他們計畫逐漸將Azure AD Pod身分識別替換成Azure AD工作負載身分識別,會提供用戶以最少的變更,進行搬遷的方法。


熱門新聞

Advertisement