从Kustomize中的文本文件目录创建每个文件的Kubernetes机密

时间:2019-07-02 17:31:48

标签: kubernetes kubectl kustomize

我想进入kubernetes集群,有许多秘密的“环境变量”。当前,我在这些秘密的目录中,每个var都有一个对应的文件,该文件的名称与应该分配给该变量的方式相同。使用docker-compose,这给了我一个类似于for secret in .secrets/*; do export "$(basename $secret)"="$(cat $secret)" ; done

的脚本

我希望避免在kustomize文件中明确指定这些秘密中的每一个。是否有一种仅通过指定目录来为每个文件创建一个秘密的简单方法?

1 个答案:

答案 0 :(得分:4)

这是您可以在Kustomize之外完成此操作的一种方法。

在Pod规范中,可以使用valueFrom关键字将秘密作为环境变量使用。有关此文档,请访问https://kubernetes.io/docs/concepts/configuration/secret/#using-secrets-as-environment-variables

知道这一点后,您可以修改脚本以创建一个主要秘密和每个文件的密钥。一个示例(未经测试)可能类似于:

for secret in .secrets/*; do
    literals="$literals --from-literal=$(basename $secret)=$(cat $secret)"
done

kubectl create secret generic prod-secrets "$literals"

然后,在您的规范中,请参考该机密中的特定密钥以获取相应的环境变量。假设其中一个是SECRET_USERNAME

apiVersion: v1
kind: Pod
metadata:
  name: secret-env-pod
spec:
  containers:
  - name: mycontainer
    image: redis
    env:
      - name: SECRET_USERNAME
        valueFrom:
          secretKeyRef:
            name: prod-secrets
            key: SECRET_USERNAME
  restartPolicy: Never