我在我的项目中使用 GCP Container Engine,现在我遇到了一些我不知道是否可以通过秘密解决的问题。
我的部署之一是 node-js 应用服务器,在那里我使用了一些需要我的 GCP 服务帐户密钥(.json 文件)作为输入的 npm 模块。输入是这个 json 文件所在的路径。目前,我设法通过将此文件作为我的 docker 映像的一部分提供它来使其工作,然后在代码中我放置了该文件的路径,它按预期工作。问题是我认为这不是一个好的解决方案,因为我想将我的 nodejs 映像与服务帐户密钥分离,因为服务帐户密钥可能会更改(例如 dev、test、prod)并且我将无法重用我现有的图像(除非我将构建并将其推送到不同的注册表)所以我想知道是否可以将此服务帐户 json 文件作为机密上传,然后在我的 pod 中使用它。我看到可以从文件中创建秘密,但我没有 不知道能不能指定这个json文件存放的地方的路径。如果秘密不可能(因为也许秘密没有保存在文件中......)那么如何(以及是否)可以做到?
提前致谢!
您可以将 json 文件设为机密并在您的 pod 中使用。有关机密信息,请参见以下链接 ( http://kubernetes.io/docs/user-guide/secrets/ ),但接下来我会总结一下:
首先从您的 json 文件创建一个秘密:
kubectl create secret generic nodejs-key --from-file=./key.json
现在您已经创建了密钥,您可以在您的 pod 中使用(在此示例中作为卷):
{
"apiVersion": "v1",
"kind": "Pod",
"metadata": {
"name": "nodejs"
},
"spec": {
"containers": [{
"name": "nodejs",
"image": "node",
"volumeMounts": [{
"name": "foo",
"mountPath": "/etc/foo",
"readOnly": true
}]
}],
"volumes": [{
"name": "foo",
"secret": {
"secretName": "nodejs-key"
}
}]
}
}
因此,当您的 pod 启动时,文件将被放入 /etc/foo/key.json 的“文件系统”中
我认为您在 GKE/GCE 上部署,您不需要密钥,它会正常工作。
我只用 Google Cloud Logging 进行了测试,但其他服务也可能相同。
例如:在 gke/gce 上部署应用程序时,我只需要以下内容
var loggingClient = logging({
projectId: 'grape-spaceship-123'
});