问题标签 [kubernetes-secrets]

我创建了一个私有集群，使用谷歌提供者启用了私有端点。但在使用 Kubernetes 提供程序创建机密时出现以下错误。

kubernetes_secret.create-secret：机密被禁止：用户“system：anonymous”无法在命名空间“default”中创建机密

此外，状态文件不包含主身份验证详细信息，如用户名、密码、私钥等。

假设我有一个带有 configMap（或秘密）卷的 pod。ConfigMap（或机密）对象在 Pod 创建期间存在，但我在 pod 运行时删除了主服务器上的 configMap（或机密）对象。预期的行为是什么？它在任何地方都有记录吗？

正在运行的 pod 是否已终止？configMap（或秘密）文件是否已删除并且 pod 是否继续运行？

这是我能找到的关于更新的文档，没有提到任何关于删除的内容。

当卷中已经使用的 ConfigMap 被更新时，预计的键最终也会被更新。Kubelet 会在每次定期同步时检查挂载的 ConfigMap 是否新鲜。但是，它使用本地基于 ttl 的缓存来获取 ConfigMap 的当前值。这样一来，从 ConfigMap 更新到新的 key 投射到 pod 的总延迟可以达到 kubelet 同步周期 + kubelet 中 ConfigMaps 缓存的 ttl 时间。

我正在寻找一种可能的方式来引用我的 deployment.yaml 中的秘密（1 班轮）

目前我正在使用

通过尽可能少的修改，我想实现这样的目标：

如果我可以在部署期间的 1 步中执行此操作，而不是传递 2 个 env var 并在我的应用程序中解析它们，那就太担心了。

我正在尝试将多行 json 字符串插入到 helm 模板中，以进行 Kubernetes 机密所需的 base64 编码。

目标：

• helm 值被注入到 json 字符串中
• 多行 json 字符串必须使用 base64 编码b64enc

myfile1.json不工作，但myfile2.json工作。我不想把整个 json 文件放在values.yaml.

如何将秘密附加到正在运行的 pod？

我有一个 pod 正在运行，我想附上一个秘密。

我不想终止正在运行的 pod 实例。

我知道 pod 旨在以无状态方式运行。

所以我试图理解两个部分：

1. 可以将哪些不同类型的值放入“imagePullSecrets”？每个人是做什么的？

2. “imagePullSecrets”的“regsecret”值有什么特别的作用？

谢谢！

有了 Kubernetes 集群，将配置/密码发送到容器中的替代方法是什么？我知道秘密方式，但我正在寻找的是一个集中式环境，它对密码进行了加密，而不是 base64 编码。

我配置了我的 Angular 6 应用程序的自动构建，并且每次在 Kubernetes 中部署是推送到我的代码存储库（谷歌云存储库）。

开发环境变量通常存储在 environment.ts 文件中，如下所示：

但我不想将我的 Prod 机密放在我的存储库中，所以我想我可以使用 Kubernetes 机密。

所以，我在 Kubernetes 中创建了一个秘密：

但是如何在我的 Angular 应用程序中使用它？

我有一个私有注册表（gitlab），用于存储我的 docker 图像。对于部署，会创建一个允许 GKE 访问注册表的密钥。秘密被称为deploy-secret。密码的登录信息在注册表中的短时间内过期。

我还创建了第二个永久机密，允许访问 docker 注册表，名为permanent-secret.

是否可以用两个秘密指定 Pod？例如：

Kubernetes 在稍后尝试重新拉取镜像时，是否会识别出第一个密钥不起作用（不允许对私有注册表进行身份验证），然后成功回退到第二个密钥？

我很难将 mountPath 配置为相对路径。假设我正在从/user/app文件夹运行部署，并且我想在下面创建秘密文件/user/app/secret/secret-volume：

由于某种原因，该文件secret-volume是在根目录中创建的/secret/secret-volume。