1

我在容器中有一个应用程序,它从 configMap 读取某些数据,如下所示

apiVersion: v1
kind: ConfigMap
metadata:
  name: app-config
data:
  application.yaml: |
        server:
          port: 8080
          host: 0.0.0.0

        ##
        ## UCP configuration.
        ## If skipped, it will default to looking inside of the connections.xml file.
        database:
            ApplicationDB:
                username: username
                password: hello123

现在我为密码创建了一个秘密,并在启动容器时作为环境变量安装。

apiVersion: v1
kind: Secret
metadata:
  name: appdbpassword
type: Opaque
stringData:
  password: hello123

我的吊舱看起来像:

apiVersion: v1
kind: Pod
metadata:
  name: {{ .Values.pod.name }}
spec:
  containers:
    - name: {{ .Values.container.name }}
      image: {{ .Values.image }}
      command: [ "/bin/sh", "-c", "--" ]
      args: [ "while true; do sleep 30; done;"]
      env:
      - name: password
        valueFrom:
          secretKeyRef:
            name: appdbpassword
            key: password
      volumeMounts:
      - name: config-volume
        mountPath: /app/app-config/application.yaml
        subPath: application.yaml
  volumes:
    - name: config-volume
      configMap:
        name: app-config

我尝试在 configMap 中使用这个环境变量:

apiVersion: v1
kind: ConfigMap
metadata:
  name: app-config
data:
  application.yaml: |
        server:
          port: 8080
          host: 0.0.0.0

        ##
        ## UCP configuration.
        ## If skipped, it will default to looking inside of the connections.xml file.
        database:
            ApplicationDB:
                username: username
                **password: ${password}**

但我的应用程序无法读取此密码。我在这里错过了什么吗?

编辑:

我无法将 application.yaml 更改为任何其他形式,因为我的服务器在源路径中查找 application.yaml。我们有什么方法可以在 values.yaml(helm) 文件中使用该环境变量并在 configmap 中使用它吗?

4

2 回答 2

1

您不能在其中使用机密,ConfigMap因为它们旨在用于非敏感数据(请参阅此处)。

此外,您不应通过Secrets使用,因为它会产生潜在风险(在此处env's阅读更多为什么不应该使用)。应用程序通常会在错误报告中转储变量,甚至在启动时将变量写入应用程序日志,这可能会导致.envenvSecrets

最好的方法是挂载Secretas 文件。这是一个简单的示例,如何将其挂载为文件:

spec:
  template:
    spec:
      containers:
      - image: "my-image:latest"
        name: my-app
        ...
        volumeMounts:
          - mountPath: "/var/my-app"
            name: ssh-key
            readOnly: true
      volumes:
        - name: ssh-key
          secret:
            secretName: ssh-key

Kubernetes文档很好地解释了如何使用和挂载 Secret。

于 2019-11-28T11:55:46.260 回答
1

您的 ${password} 变量不会被其值替换,因为 application.yaml 是一个静态文件。如果您在某些配置中使用此 yaml 文件,则它可能会被其值替换。

考虑一个场景,而不是 application.yaml 传递这个文件

application.sh: |
       echo "${password}"

现在进入 /app/app-config 你会看到 application.sh 文件。现在sh application.sh你会看到环境变量的值。

我希望这可以澄清你的观点。

于 2019-11-28T08:13:10.343 回答