restic version
restic 0.9.6 скомпилирован с go1.13.4 на linux/amd64
Restic должен поддерживать получение роли через WebIdentityTokenFile, который был добавлен в minio (https://github.com/minio/minio-go/pull/1183). При этом restic сможет использовать учетную запись службы, которая использует аннотацию AWS eks.amazonaws.com/role-arn, чтобы прикрепить к ней роль. Это было бы большим преимуществом, поскольку не нужно было бы регулярно обновлять учетные данные пользователя.
Я хотел бы создавать резервные копии PV в AWS, которые хранятся в корзине S3, без дополнительного пользователя IAM, которого мне нужно поддерживать.
Резервное копирование с помощью restic само по себе отлично работает, но наличие дополнительного пользователя создает для нас большие накладные расходы.
Эти изменения для РОЛИ вместо «секретов» ждут Сташа и Велеро:
AWS/EKS: используйте AWS_ROLE_ARN с токеном из AWS_WEB_IDENTITY_TOKEN_FILE для доступа к репозиторию (S3)
https://github.com/stashed/stash/issues/1101
Похоже, что для поддержки изменений API restic
необходимо собрать с помощью minio-go 6.0.45 или более поздней версии, включая https://github.com/minio/minio-go/pull/1183 .
https://github.com/minio/minio-go/releases/tag/v6.0.45
https://github.com/минио/минио-го/тянуть/1183
Для этого я поднял PR #2733. На самом деле ему требуется minio-go 6.0.53 , поскольку он содержит дополнительное исправление PR-1263 для исправления URL-адреса STS на https.
Самый полезный комментарий
Для этого я поднял PR #2733. На самом деле ему требуется minio-go 6.0.53 , поскольку он содержит дополнительное исправление PR-1263 для исправления URL-адреса STS на https.