两个kubernetes卷可以安装到同一个地方

时间:2018-06-09 01:33:46

标签: ssl kubernetes

我对Kubernetes很新,试图搞清楚。我还没有能够谷歌这个答案,所以我很难过。 Kubernetes可以将两个秘密安装到同一条路径上吗?说给出以下部署:

apiVersion: apps/v1 # for versions before 1.9.0 use apps/v1beta2
kind: Deployment
metadata:
  name: nginx-deployment
  labels:
    app: nginx-deployment
    version: v1
spec:
  selector:
    matchLabels:
      app: nginx
  replicas: 1
  template:
    metadata:
      labels:
        app: nginx
        version: v1
    spec:
      volumes:
      - name: nginxlocal
        hostPath:
          path: /srv/docker/nginx
      - name: requestcert
        secret:
          secretName: requests-certificate
      - name: mysitecert
        secret:
          secretName: mysitecert
      containers:
      - name: nginx
        image: nginx:mainline-alpine # Use 1.15.0
        volumeMounts:
        - name: nginxlocal
          subPath: config/nginx.conf
          mountPath: /etc/nginx/nginx.conf
        - name: requestcert
          mountPath: /etc/nginx/ssl
        - name: mysitecert
          mountPath: /etc/nginx/ssl
        - name: nginxlocal
          subPath: logs
          mountPath: /etc/nginx/logs
        ports:
        - containerPort: 443

是否可以将两个SSL证书挂载到同一目录(/ etc / nginx / ssl / *)?

如果没有,可以将TLS证书+密钥存储为"不透明"而不是kubernetes.io/tls类型的工作?我试图将两个证书+密钥组合成一个tls类型的秘密,但kubernetes期望它被称为tls.crt和tls.key,所以我不得不将它分成两个秘密文件。如果他们可以做为不透明,我想我可以删除两个秘密值,只使用一个不透明的条目。

谢谢!

1 个答案:

答案 0 :(得分:2)

  

是否可以将两个SSL证书挂载到同一目录(/ etc / nginx / ssl / *)?

不,因为(至少在使用docker运行时时)它使用的卷安装与mount -t ext4 /dev/something /path/something的行为完全相同,因为/path/something将是最后一次胜利。

但是,您只能使用温和的解决方法:将requestcert挂载为/etc/nginx/.reqcert(或类似),挂载mysitecert/etc/nginx/.sitecert,然后取代图像的entrypoint并将文件复制到位,然后再委派给实际的入口点:

containers:
- name: nginx
  image: etc etc
  command:
  - bash
  - -c
  - |
    mkdir -p /etc/nginx/ssl
    cp /etc/nginx/.*cert/* /etc/nginx/ssl/
    # or whatever initialization you'd like

    # then whatever the entrypoint is for your image
    /usr/local/sbin/nginx -g "daemon off;"

或者,如果这似乎不是一个好主意,您可以结合initContainers:使用一次性Pod特定目录:

spec:
  volumes:
  # all the rest of them, as you had them
  - name: temp-config
    emptyDir: {}
  initContainers:
  - name: setup-config
    image: busybox  # or whatever
    command:
    - sh
    - -c
    - |
       # "stage" all the config files, including certs
       # into /nginx-config which will evaporate on Pod destruction
    volumeMounts:
    - name: temp-config
      mountPath: /nginx-config
    # and the rest

  containers:
  - name: nginx
    # ...
    volumeMounts:
    - name: temp-config
      mountPath: /etc/nginx

它们的复杂程度不同,取决于您是否需要处理跟踪上游图像的入口点命令,而不是保持上游图像不变,而是消耗更多的初始化能量

相关问题
最新问题