Есть ли способ установить переменные среды в кубернетах до того, как он вытянет образ контейнера?
Для некоторого контекста я ищу альтернативы тому, что я просил в Документ политики ECR IAM для доступа к узлу EKS. Согласно документации kubernetes (https://kubernetes.io/docs/concepts/containers/images/#using-aws-ec2-container-registry), похоже, то, что я хочу сделать, невозможно по умолчанию, поскольку, если я дам роли узла разрешение на чтение из ECR, любой пользователь, который может создавать задания / поды в кластере EKS, сможет получить любое изображение, которое узел роль можно подобрать. Строка из рассматриваемых документов k8s:
Все пользователи кластера, которые могут создавать модули, смогут запускать модули, использующие любые образы из реестра ECR.
В качестве альтернативы я пытаюсь посмотреть, есть ли способ установить переменные среды (AWS_ACCESS_KEY_ID
и AWS_SECRET_ACCESS_KEY
) в модуле, прежде чем он вытянет изображение. Я не совсем уверен в реализации / интеграции кубернетов с ECR, но если я думаю, могу ли я установить эти переменные среды и процесс извлечения изображения aws ecr get-login ...
прежде чем фактически вытащить изображение, я мог бы ограничить, какие изображения можно вытащить, установив эти переменные.
Я нашел документацию по установке переменных в контейнере. после изображение было вытащено, но ничего раньше.