使用 Kustomize 管理 Secrets
kubectl 支持使用 Kustomize 对象管理工具 来管理 Secret 和 ConfigMap。你可以使用 Kustomize 创建一个 资源生成器,它会生成一个 Secret,你可以使用 kubectl 将其应用到 API Server。
开始之前
你需要一个 Kubernetes 集群,并且 kubectl 命令行工具已经配置好与你的集群通信。建议在本教程中使用至少两个非控制平面主机节点的集群。如果你还没有集群,可以使用 minikube 创建一个,或者使用以下 Kubernetes 练习环境之一
创建一个 Secret
你可以通过在 kustomization.yaml 文件中定义 secretGenerator 来生成一个 Secret,该生成器引用其他现有文件、.env 文件或字面值。例如,以下说明创建了一个针对用户名 admin 和密码 1f2d1e2e67df 的 kustomization 文件。
注意
Secret 的stringData 字段与服务器端应用 (server-side apply) 的配合不佳。创建 kustomization 文件
secretGenerator:
- name: database-creds
literals:
- username=admin
- password=1f2d1e2e67df
将凭据存储在文件中。文件名作为 Secret 的键
echo -n 'admin' > ./username.txt echo -n '1f2d1e2e67df' > ./password.txt-n标志确保你的文件末尾没有换行符。创建
kustomization.yaml文件secretGenerator: - name: database-creds files: - username.txt - password.txt
你也可以通过提供 .env 文件在 kustomization.yaml 文件中定义 secretGenerator。例如,下面的 kustomization.yaml 文件从 .env.secret 文件中拉取数据
secretGenerator:
- name: db-user-pass
envs:
- .env.secret
在所有情况下,你都不需要对值进行 base64 编码。YAML 文件的名称必须是 kustomization.yaml 或 kustomization.yml。
应用 kustomization 文件
要创建 Secret,请应用包含 kustomization 文件的目录
kubectl apply -k <directory-path>
输出类似于
secret/database-creds-5hdh7hhgfk created
生成 Secret 时,其名称是通过对 Secret 数据进行哈希处理并将哈希值附加到名称后来创建的。这确保了每次修改数据时都会生成一个新的 Secret。
要验证 Secret 是否已创建并解码 Secret 数据,
kubectl get -k <directory-path> -o jsonpath='{.data}'
输出类似于
{ "password": "MWYyZDFlMmU2N2Rm", "username": "YWRtaW4=" }
echo 'MWYyZDFlMmU2N2Rm' | base64 --decode
输出类似于
1f2d1e2e67df
更多信息,请参考 使用 kubectl 管理 Secret 和 使用 Kustomize 进行 Kubernetes 对象声明式管理。
编辑 Secret
在你的
kustomization.yaml文件中,修改数据,例如password。应用包含 kustomization 文件的目录
kubectl apply -k <directory-path>输出类似于
secret/db-user-pass-6f24b56cc8 created
编辑后的 Secret 是作为一个新的 Secret 对象创建的,而不是更新现有的 Secret 对象。你可能需要更新 Pod 中对该 Secret 的引用。
清理
要删除 Secret,请使用 kubectl
kubectl delete secret db-user-pass
接下来
- 阅读更多关于 Secret 概念 的信息
- 学习如何 使用 kubectl 管理 Secret
- 学习如何 使用配置文件管理 Secret