我正在尝试在Kubernetes上部署一项技术,该技术要求在Pod之间共享私有数据。在我的环境中,有一个根CA创建一个.pem文件,该文件是中间CA进行连接所必需的,因此必须创建并共享它。此外,根CA可以定期更改该.pem文件,因此我只是无法创建RCA,kubectl副本,然后使用填充的数据启动ICA。
我的第一种方法是创建一个秘密,并从RCA pod保持更新,但是,据我所知,如果没有生产中我根本不需要的某些管理员权限,则pod不能创建秘密。环境。我也曾考虑过在它们之间使用一些NFS卷来共享它们,但是在NFS上发布私有数据根本不安全,而仅共享一个文件而使NFS卷/服务器保持活动有时对我来说似乎是过大了。 SSH / SCP也是我考虑过的一种解决方案,但看起来它也有其自身的问题,并且我还必须打开一些我不想使用的端口。
我在这个问题上停留了很多时间,不知道如何解决。我希望它变得足够清晰,可以得到一些帮助。谢谢。
答案 0 :(得分:1)
我的建议是创建一个cronJob对象,该对象使用带有kubectl的图像来更新机密。另外,为确保Pod使用最后一个CA文件,您可以使用操作员来监视机密的更改,并确保每次更改时都重新加载与CA文件相关的Pod。
我过去使用过的有效的运算符是Reloader,您可以在pod上添加注释,以链接需要观看的秘密。