嗨,我正在玩Kubernetes的秘密。我的部署文件是:
---
apiVersion: v1
kind: Secret
metadata:
name: my-secrets
labels:
app: my-app
data:
username: dXNlcm5hbWU=
password: cGFzc3dvcmQ=
我能够创建秘密,我将它们安装在我的部署中,如下所示:
---
apiVersion: v1
kind: Service
metadata:
name: my-service
spec:
selector:
app: my-service
ports:
- protocol: TCP
port: 80
targetPort: 8080
type: NodePort
---
apiVersion: apps/v1
kind: Deployment
metadata:
name: spring-service
labels:
app: spring-service
spec:
replicas: 1
selector:
matchLabels:
app: spring-service
template:
metadata:
labels:
app: spring-service
spec:
containers:
- name: spring-service
image: my-image:tag
imagePullPolicy: Always
ports:
- containerPort: 8080
volumeMounts:
- name: my-secret-vol
mountPath: "/app/secrets/my-secret"
readOnly: true
volumes:
- name: my-secret-vol
secret:
secretName: my-secrets
我的问题是如何访问我在spring-boot应用程序中秘密创建的username
和password
?
我已经尝试加载${my-secrets.username}
和${username}
,但它找不到值。
我还尝试在deployment.yaml中添加秘密作为环境变量:
env:
- name: username
valueFrom:
secretKeyRef:
name: my-secrets
key: username
- name: password
valueFrom:
secretKeyRef:
name: my-secrets
key: password
在这种情况下,值将从机密中加载,当我在minikube仪表板中更改机密值时,它不会反映更改。
请帮我理解这是如何工作的。
我使用minikube
和docker
作为容器
你没有把秘密注入properties.yml
。相反,您将秘密的内容用作properties.yml
。该过程如下所示:
properties.yml
base64 properties.yml
)。properties.yaml
下的秘密中。您最终应该采用以下格式的秘密:
apiVersion: v1
kind: Secret
metadata:
name: my-secrets
labels:
app: my-app
data:
properties.yml: dXNlcm5hbWU=
现在当你在你的pod上安装这个秘密时,Kubernetes将解密这个秘密,并将值放在相关的路径下,你就可以安装它了。
该模式具有2个配置文件 - 一个具有与代码一起存储的非敏感配置,另一个(包括敏感配置)存储为机密。我不知道是否可以使用Spring Boot加载多个配置文件。
最后一条评论 - 这个过程既麻烦又容易出错。对配置文件的每次更改都需要解码原始密码并重复此手动过程。此外,很难理解改变了什么 - 你看到的是整个内容已经改变。出于这个原因,我们建立了Kamus。它允许您仅加密敏感值而不是整个文件。如果这可能与您相关,请告诉我:)
对于第一种方法,您将找到以下值:
- /app/secrets/my-secret/username
- /app/secrets/my-secret/password
对于第二种方法,您无法在运行时更改env变量的值,您需要重新启动或重新部署pod