使用 Kustomize 管理密钥
kubectl 支持使用 Kustomize 对象管理工具 来管理 Secret 和 ConfigMap。您可以使用 Kustomize 创建一个资源生成器,该生成器会生成一个 Secret,您可以使用 kubectl 将其应用于 API 服务器。
开始之前
您需要拥有一个 Kubernetes 集群,并且 kubectl 命令行工具必须配置为与您的集群通信。建议在至少有两个节点(不充当控制平面主机)的集群上运行本教程。如果您还没有集群,可以使用 minikube 创建一个,或者可以使用以下 Kubernetes 游乐场之一
创建 Secret
您可以通过在 kustomization.yaml 文件中定义一个 secretGenerator 来生成 Secret,该文件引用其他现有文件、.env 文件或字面值。例如,以下说明创建了一个用于用户名 admin 和密码 1f2d1e2e67df 的 Kustomization 文件。
注意
Secret 的stringData 字段不适用于服务器端应用。创建 Kustomization 文件
secretGenerator:
- name: database-creds
literals:
- username=admin
- password=1f2d1e2e67df
将凭据存储在文件中。文件名是密钥的键
echo -n 'admin' > ./username.txt echo -n '1f2d1e2e67df' > ./password.txt-n标志确保文件末尾没有换行符。创建
kustomization.yaml文件secretGenerator: - name: database-creds files: - username.txt - password.txt
您还可以通过提供 .env 文件在 kustomization.yaml 文件中定义 secretGenerator。例如,以下 kustomization.yaml 文件从 .env.secret 文件中提取数据
secretGenerator:
- name: db-user-pass
envs:
- .env.secret
在所有情况下,您都不需要对值进行 base64 编码。YAML 文件的名称**必须**为 kustomization.yaml 或 kustomization.yml。
应用 kustomization 文件
要创建 Secret,请应用包含 kustomization 文件的目录
kubectl apply -k <directory-path>
输出类似于
secret/database-creds-5hdh7hhgfk created
生成 Secret 时,Secret 名称是通过对 Secret 数据进行哈希处理并将哈希值追加到名称来创建的。这确保每次修改数据时都会生成一个新的 Secret。
要验证 Secret 是否已创建并解码 Secret 数据,请执行以下操作:
kubectl get -k <directory-path> -o jsonpath='{.data}'
输出类似于
{ "password": "UyFCXCpkJHpEc2I9", "username": "YWRtaW4=" }
echo 'UyFCXCpkJHpEc2I9' | base64 --decode
输出类似于
S!B\*d$zDsb=
有关更多信息,请参阅 使用 kubectl 管理 Secret 和 使用 Kustomize 对 Kubernetes 对象进行声明式管理。
编辑 Secret
在您的
kustomization.yaml文件中,修改数据,例如password。应用包含 kustomization 文件的目录
kubectl apply -k <directory-path>输出类似于
secret/db-user-pass-6f24b56cc8 created
编辑后的 Secret 将作为新的 Secret 对象创建,而不是更新现有的 Secret 对象。您可能需要更新 Pod 中对 Secret 的引用。
清理
要删除 Secret,请使用 kubectl
kubectl delete secret db-user-pass
下一步
- 详细了解 Secret 概念
- 了解如何 使用 kubectl 管理 Secret
- 了解如何 使用配置文件管理 Secret