kubernetes - 使用 kustomize 直接作为 secretGenerator 从 gcloud secrets manager 中查找秘密
问题描述
我正在使用(kustomize)设置我的Kubernetes
集群。kubectl -k
像任何其他这样的安排一样,我在部署过程中依赖一些秘密。我想要走的路线是使用从文件或环境变量中获取我的秘密的secretGenerator
功能。kustomize
然而,以安全和可移植的方式管理所述文件或环境变量已证明是一项挑战。特别是因为我有 3 个单独的名称空间用于测试、阶段和生产,每个名称空间都需要一组不同的秘密。
所以我认为肯定有一种方法可以让我以我的云提供商的官方方式(谷歌云平台 - 秘密管理器)管理秘密。
那么secretGenerator
访问存储在秘密管理器中的秘密会是什么样子呢?
我天真的猜测是这样的:
secretGenerator:
- name: juicy-environment-config
google-secret-resource-id: projects/133713371337/secrets/juicy-test-secret/versions/1
type: some-google-specific-type
- 这是可能吗?
- 这个例子会是什么样子?
- 这是在哪里记录的?
- 如果这是不可能的,我有什么选择?
解决方案
我不知道有一个插件。Kustomize 中的插件系统有些新(大约 6 个月前添加),所以到目前为止还没有大量的插件系统,而 Secrets Manager 也只有几周的历史。你可以在https://github.com/kubernetes-sigs/kustomize/tree/master/docs/plugins找到文档来编写一个。它链接到一些用于秘密管理的 Go 插件,因此您可能可以使用其中一个并将其重新设计为 GCP API。
推荐阅读
- python - Pandas - 如何每 24 小时从一天中的特定时间分组?
- sql - SQL Server,获取指定日期范围内的最新记录
- jwt - 为什么从本地存储中删除后 JWT 令牌仍然可用
- asp.net-mvc - 在 Open Id Connect 中处理失败的静默身份验证
- node.js - 如何对nodejs进行故障排除?
- visual-studio - 访问被拒绝:如何创建一个 powershell 脚本,从 Visual Studio 生成事件后命令行部署 IIS 网站
- json - HTTP 调用 - req.url 未定义
- r - 从列表中的数据框中按值选择行以分配新值 r
- google-cloud-platform - Cloud Composer (Airflow) 作业卡住
- c# - MVC 提前异步刷新