我们将微服务部署在两个不同的 GKE 集群中,一个用于测试,另一个用于生产。
我们的工作负载利用工作负载身份。在“测试环境”中一切正常,所有工作负载共享已绑定到 GCP 服务帐户的同一个 Kubernetes 服务帐户。
在“生产环境”中,集群由三个节点池支持(我包含此信息是为了完整性,但我不确定它是否重要),并且我们在工作负载身份方面存在问题。
在生产环境中,在某些容器中,如果我们使用 shell 获取元数据或者使用 gcloud,我们会意外地发现当前用户是与节点关联的用户,而不是来自工作负载身份的用户。对于其他 pod,工作负载身份会按预期工作。
另一个可能有趣的事情是,只有最近通过新部署添加的 Pod 似乎受到薄“错误配置”的影响。
我不知道如何调查这个问题。你有什么主意吗?
提前谢谢。