有没有办法在 kubernetes 拉取容器镜像之前设置环境变量?
出于某种原因,我正在寻找我在EKS 节点访问的 ECR IAM 策略文档。根据 kubernetes 文档(https://kubernetes.io/docs/concepts/containers/images/#using-aws-ec2-container-registry),听起来我想要做的事情在默认情况下是不可能的,因为如果我授予节点角色从 ECR 读取的权限,那么任何可以在 EKS 集群上创建作业/pod 的用户都将能够提取节点角色可以获取的任何图像。相关 k8s 文档中的一行是:
集群中所有能够创建 pod 的用户都能够运行使用 ECR 注册表中任何镜像的 pod。
作为替代方案,我尝试查看是否有办法在 pod 拉取图像之前设置其中的环境变量(AWS_ACCESS_KEY_ID和)。我不太确定 Kubernetes 与 ECR 的实现/集成,但如果我认为我能够设置这些环境变量,并且图像拉取过程在实际拉取图像之前执行操作,那么我可能能够通过设置这些变量来限制可以拉取哪些图像。AWS_SECRET_ACCESS_KEYaws ecr get-login ...
我找到了一些关于如何在容器中设置变量的文档后图像已被拉出,但之前没有任何事。