借助于dc.spec.template.spec.containers中容器元素内的这一新部分,我正在将OpenShift 3.11秘密安装到容器中:
volumeMounts:
- name: my-secret
mountPath: /mnt/my-secret
readOnly: true
并将该新部分添加到dc.spec.template.spec.containers:
volumes:
- name: my-secret
secret:
secretName: my-secret
我的my-secret是通过私钥创建的,如下所示:
oc create secret generic my-secret \
--type=kubernetes.io/ssh-auth \
--from-file=ssh-privatekey=my-private-key
在容器运行时,我在文件/mnt/my-secret/ssh-privatekey中找到了铠装专用密钥。如何确保只有运行容器的UID(OpenShift规则下的随机UID)可以从该文件读取,即强制执行类似于0400的文件模式?
答案 0 :(得分:0)
将dc.spec.template.spec.volumes.secret.defaultMode(如注释中建议的那样)设置为0644似乎对与/mnt/my-secret/ssh-privatekey链接的文件中的私钥具有理想的效果。