比方说,我有一个秘密文件,我想由运行在kubernetes集群中的pod内的docker容器访问。随着时间的流逝,将在集群上创建许多这样的新容器,它们都将需要访问该文件。那我该怎么做呢?
我当时正在考虑创建一个kubernetes卷,将该秘密文件存储到该卷中,并使容器可以访问该卷。但是我不完全知道该怎么做,在kubernetes中可用的这么多卷类型中,该使用哪一种?
答案 0 :(得分:0)
根据机密文件的大小,您应考虑将其放入Kubernetes Secret中。在许多安装中,存储层对机密的处理方式有所不同(例如,静态加密),而如果您使用卷,则需要自己添加任何其他保护措施。
如果文件太大而无法放入秘密文件,并且您正在GKE上运行(可能基于问题标签),那么GCEPersistentDisk将是一个很好的卷类型。关于GCE PD的一件整洁的事情是,它们“可以同时被多个使用者安装为只读”-因此,您可以将机密数据预先填充到磁盘上,然后将其(只读)安装到所有可以使用的Pod中。需要访问数据。