我在这样的秘密模板中有一些东西:
apiVersion: v1
kind: Secret
metadata:
# not relevant
type: Opaque
data:
password: {{ randAlphaNum 32 | b64enc | quote }}
现在,在执行 helm upgrade 时,会重新创建机密,但使用它的 Pod 不会(它们也不应该,这没关系)。
这会导致 pod 在重新启动或升级时失败,因为新密码现在与旧密码不匹配。
是否可以在存在密钥时跳过重新创建密钥,例如 {{- if not(exists theSecret) }} 以及如何执行此操作?
答案 0 :(得分:5)
您可以使用 HELM 中的查找 功能来检查秘密是否存在
https://helm.sh/docs/chart_template_guide/functions_and_pipelines/#using-the-lookup-function
{{/*
Example for function
*/}}
{{- define "gen.secret" -}}
{{- $secret := lookup "v1" "Secret" .Release.Namespace "test-secret" -}}
{{- if $secret -}}
{{/*
Reusing value of secret if exist
*/}}
password: {{ $secret.data.password }}
{{- else -}}
{{/*
add new data
*/}}
password: {{ randAlphaNum 32 | b64enc | quote }}
{{- end -}}
{{- end -}}
秘密创建将类似于
示例文件:https://github.com/sankalp-r/helm-charts-examples/blob/main/sample_chart/templates/secret.yaml
apiVersion: v1
kind: Secret
metadata:
name: "test-secret"
type: Opaque
data:
{{- ( include "gen.secret" . ) | indent 2 -}}
图表示例:https://github.com/sankalp-r/helm-charts-examples
{{- $secret := (lookup "v1" "Secret" .Release.Namespace "test-secret" -}}
apiVersion: v1
kind: Secret
metadata:
name: test-secret
type: Opaque
# 2. If the secret exists, write it back
{{ if $secret -}}
data:
password: {{ $secret.data.password }}
# 3. If it doesn't exist ... create new
{{ else -}}
stringData:
password: {{ randAlphaNum 32 | b64enc | quote }}
{{ end }}