是否有关于如何通过头盔安装传递配置,证书和一些机密的建议?
[当前,我有一个configuration.yaml文件,在该文件中,我通过microk8s.helm install -f configuration.yaml --name=prod repo.k8s/product进行所有配置。用户可以在那里配置所有内容,包括一些凭据。我将凭据存储在秘密存储区中。我也可以在configuration.yaml中通过证书,然后将其内容复制到那里。它看起来不太好,但可以使用。
第二种方法是使用kubectl部署秘密和证书,然后仅在掌舵图中引用秘密。这似乎是一种常用的方法:https://github.com/helm/charts/search?q=existingSecret&unscoped_q=existingSecret
第三种方法是使用保管库作为凭据。您有什么经验?你用吗?这里有一个针对他们的教程:https://github.com/aws-samples/aws-workshop-for-kubernetes/tree/master/04-path-security-and-networking/401-configmaps-and-secrets
这里是Helm自己定义的official Best Practices,它回答了您自己所做的许多问题。
通常,最好将应用程序代码,配置和机密分离。这就是Kubernetes对每个概念都有专用的资源类型的原因。从那里继续,您应该确保已启用encrypted ecd at rest并配置为Role Based Access Control以正确地确保没有任何东西可以读取您的Secret资源数据,除非它具有适当的权限。某些人更进一步,提供去中心化秘密存储,使他们按需进行API调用,而不是从API Server中读取。例如H ashicorp Vault或AWS Secrets Manager。