我定义了一个秘密:
apiVersion: v1
kind: Secret
metadata:
name: mysecret
type: Opaque
stringData:
config.yaml: |-
apiUrl: "https://my.api.com/api/v1"
username: Administrator
password: NewPasswdTest11
然后在部署中创建卷安装:
apiVersion: apps/v1
kind: Deployment
metadata:
name: k8s-webapp-test
labels:
name: k8s-webapp-test
version: 1.0.4
spec:
replicas: 2
selector:
matchLabels:
name: k8s-webapp-test
version: 1.0.4
template:
metadata:
labels:
name: k8s-webapp-test
version: 1.0.4
spec:
nodeSelector:
kubernetes.io/os: windows
volumes:
- name: secret-volume
secret:
secretName: string-data-secret
containers:
- name: k8s-webapp-test
image: dockerstore/k8s-webapp-test:1.0.4
ports:
- containerPort: 80
volumeMounts:
- name: secret-volume
mountPath: "/secrets"
readOnly: false
因此,在部署之后,我在C:\ secrets中有两个带有卷挂载的Pod(我确实使用Windows节点)。当我尝试编辑C:\ secrets文件夹中的config.yaml时,出现以下错误:
拒绝访问路径'c:\ secrets \ config.yaml'。
尽管我将文件标记为readOnly false,但我无法对其进行写入。如何修改文件?
答案 0 :(得分:3)
如您所见here,这是故意造成的:
秘密,configMap,downlineAPI和计划的卷将作为只读卷安装。尝试写入这些卷的应用程序将收到只读文件系统错误。以前,允许应用程序对这些卷进行更改,但是系统会以任意间隔还原这些更改。应将应用程序重新配置为将派生文件写入另一个位置
您可以使用init container进行调查,该映射会映射秘密,然后将其复制到所需的位置,您可以在其中进行修改。
答案 1 :(得分:0)
您可以在Pod内创建机密,但是似乎您需要利用Kubernetes REST API来执行此操作: https://kubernetes.io/docs/concepts/overview/kubernetes-api/