restic version
restic 0.9.6 compilado com go1.13.4 em linux/amd64
O Restic deve oferecer suporte para assumir a função via WebIdentityTokenFile, que foi adicionado ao minio (https://github.com/minio/minio-go/pull/1183). Fazer isso restic seria capaz de usar uma conta de serviço que está usando a anotação eks.amazonaws.com/role-arn da AWS para anexar uma função a ela. Isso seria um grande benefício, pois não haveria a necessidade de credenciais de usuário que precisam ser roladas regularmente.
Gostaria de criar backups de PVs na AWS que são armazenados no bucket do S3, sem ter um usuário adicional do IAM que precise manter.
O backup com restic funciona muito bem, mas ter o usuário adicional cria muita sobrecarga para nós.
Essas mudanças para ROLE em vez de 'segredos' estão aguardando Stash e Velero:
AWS/EKS: use AWS_ROLE_ARN com o token de AWS_WEB_IDENTITY_TOKEN_FILE para acessar o Repositório (S3)
https://github.com/stashed/stash/issues/1101
Para suportar as alterações da API, parece que restic
precisa ser compilado com o minio-go 6.0.45 ou posterior, que inclui https://github.com/minio/minio-go/pull/1183
https://github.com/minio/minio-go/releases/tag/v6.0.45
https://github.com/minio/minio-go/pull/1183
Eu levantei PR # 2733 para isso. Na verdade, ele precisa do minio-go 6.0.53 , pois contém uma correção adicional PR-1263 para corrigir a URL do STS para https
Comentários muito úteis
Eu levantei PR # 2733 para isso. Na verdade, ele precisa do minio-go 6.0.53 , pois contém uma correção adicional PR-1263 para corrigir a URL do STS para https