3.11. Les restrictions des secrets
Afin d’utiliser un secret, un pod doit faire référence au secret. Le secret peut être utilisé avec un pod de trois façons:
- De remplir des variables d’environnement pour les conteneurs.
- En tant que fichiers dans un volume monté sur un ou plusieurs de ses conteneurs.
- En kubelet lorsque vous tirez des images pour le pod.
Les secrets de type de volume écrivent des données dans le conteneur en tant que fichier en utilisant le mécanisme de volume. imagePullSecrets utilise les comptes de service pour l’injection automatique du secret dans tous les pods dans un espace de noms.
Lorsqu’un modèle contient une définition secrète, la seule façon pour le modèle d’utiliser le secret fourni est de s’assurer que les sources de volume secrètes sont validées et que la référence d’objet spécifié pointe réellement vers un objet de type Secret. C’est pourquoi un secret doit être créé avant les pods qui en dépendent. Le moyen le plus efficace de s’assurer que cela est de le faire injecter automatiquement grâce à l’utilisation d’un compte de service.
Les objets API secrets résident dans un espace de noms. Ils ne peuvent être référencés que par des pods dans ce même espace de noms.
Les secrets individuels sont limités à 1 Mo de taille. C’est pour décourager la création de grands secrets qui épuiseraient la mémoire apiserver et kubelet. Cependant, la création d’un certain nombre de petits secrets pourrait également épuiser la mémoire.