我们在容器启动期间使用保管库注入来获取环境变量。
我们仅需要在启动期间执行此操作,并且不需要在该点之后检索更新。我们一直在寻找一种禁用 sidecar 注入的方法,但到目前为止还没有成功。
文档指出以下内容(强调我的):
接下来,可以注入两种类型的 Vault Agent 容器:init 和 sidecar。在其他容器启动之前,init 容器将使用请求的机密预先填充共享内存卷。 Sidecar 容器将继续进行身份验证并将机密呈现到 Pod 运行时的同一位置。 使用注释,可以禁用初始化和边车容器。
这是最后提到的。它没有在任何地方说明哪些注释可以实现此目的,并且在 annotations 的文档页面上似乎没有列出任何实现此目的的注释。
有人能够让这个工作吗?
深入研究代理注入器的源代码后,我已经能够追踪到控制此行为的注释被称为:
vault.hashicorp.com/agent-pre-populate-only
注释文档说明如下:
配置 init 容器是否是唯一注入的容器。 如果为 true,则在 pod 运行时不会注入任何 sidecar 容器。 建议对 CronJob 或 CronJob 类型的工作负载启用此选项 确保 pod 干净终止的工作。
注释的名称使得在注释列表中很难找到。 Vault 文档应该更新,以在问题 WHICH 注释控制此行为的粗体行中提及。