kubernetes - 与通常的卷安装相比,使用卷机密的优势
问题描述
我想知道与 Kubernetes 中的标准文件挂载相比,使用秘密是否有任何优势。我必须提供凭据,保存在主机上的一个 pod 中,但我无法理解使用它们的优点是什么。
解决方案
使用机密的主要思想是减少暴露并使其更安全。它是专门为此设计的。根据文档:
- 秘密中的数据经过编码(base64)
- Secret 只能从同一个命名空间中引用
- 仅当节点上的 pod 需要时,才会将秘密发送到该节点。它存储在 a 中
tmpfs
,而不是写入磁盘。一旦使用秘密的 pod 消失,kubelet 将删除该节点上秘密的本地副本。 - 您可以设置访问权限(例如
644
) - 如果同一节点上的多个 Pod 有多个 Secret,则一个 Pod 将无法访问另一个 Pod 的 Secret,只能访问它所请求的 Secret
推荐阅读
- python - tensorflow gpu - 内存增长和内存限制可以结合使用吗?
- c# - 在winform中隐藏和取消隐藏一个表格
- node.js - DocuSign API:作为具有多个收件人的不同用户发送问题
- javascript - 在 Express.js 中发送错误消息并重定向
- validation - 如何在 parsley.js 中更新默认的“该值是必需的”
- excel - dealing with excel "Save Changes" pop up opening in another instance and halting my code
- android - 数据未保存在 Sqlite 数据库中
- ios - Swift UI:在 ObservableObject ViewModel 中对 @Published var 进行单元测试
- amazon-web-services - 是否可以使用胶水在 AWS Glue 数据库中更新和插入数据
- ruby-on-rails - 动作文本不会安装在 Rails 6.1.3.2 应用程序上