3.9. シークレットをファイルまたは環境変数としてワークスペースコンテナーにマウント

手順

1. CodeReady Workspaces ワークスペースが作成される OpenShift プロジェクトで、新しい OpenShift シークレットを作成します。

   • 作成するシークレットのラベルは、CodeReady Workspaces の che.workspace.provision.secret.labels プロパティーで設定されたラベルのセットと一致する必要があります。デフォルトのラベルは以下のとおりです。
   • app.kubernetes.io/part-of: che.eclipse.org

   • app.kubernetes.io/component: workspace-secret:

     注記

     以下の例は、Red Hat CodeReady Workspaces バージョン 2.1 および 2.2 での target-container アノテーションの使用における違いを説明します。

     たとえば、以下のようになります。

     apiVersion: v1
     kind: Secret
     metadata:
       name: mvn-settings-secret
       labels:
         app.kubernetes.io/part-of: che.eclipse.org
         app.kubernetes.io/component: workspace-secret
     ...

     アノテーションは、指定のシークレットがファイルとしてマウントされ、マウントパスを提供することを示し、必要に応じてシークレットがマウントされるコンテナーの名前を指定する必要があります。target-container アノテーションがない場合、シークレットは CodeReady Workspaces ワークスペースのすべてのユーザーコンテナーにマウントされますが、これは CodeReady Workspaces バージョン 2.1 にのみ適用さ れます。

     apiVersion: v1
     kind: Secret
     metadata:
       name: mvn-settings-secret
       annotations:
         che.eclipse.org/target-container: maven
         che.eclipse.org/mount-path: /home/user/.m2/
         che.eclipse.org/mount-as: file
       labels:
     ...

     CodeReady Workspaces バージョン 2.2 以降、target-container アノテーションは非推奨となり、ブール値で automount-workspace-secret アノテーションが導入されました。この目的は、devfile でオーバーライドする機能を使用して、デフォルトのシークレットマウント動作を定義することです。true を指定すると、すべてのワークスペースコンテナーへの自動マウントが有効になります。一方、false の値は、automountWorkspaceSecrets :true プロパティーを使用して devfile コンポーネントで明示的に要求されるまでマウントプロセスを無効にします。

     apiVersion: v1
     kind: Secret
     metadata:
       name: mvn-settings-secret
       annotations:
         che.eclipse.org/automount-workspace-secret: true
         che.eclipse.org/mount-path: /home/user/.m2/
         che.eclipse.org/mount-as: file
       labels:
     ...

     Kubernetes シークレットのデータには、コンテナーにマウントされる必要なファイル名に一致する複数の項目が含まれる場合があります。

     apiVersion: v1
     kind: Secret
     metadata:
       name: mvn-settings-secret
       labels:
         app.kubernetes.io/part-of: che.eclipse.org
         app.kubernetes.io/component: workspace-secret
       annotations:
         che.eclipse.org/automount-workspace-secret: true
         che.eclipse.org/mount-path: /home/user/.m2/
         che.eclipse.org/mount-as: file
     data:
       settings.xml: <base64 encoded data content here>

     これにより、settings.xml という名前のファイルが、すべてのワークスペースコンテナーの /home/user/.m2/ パスにマウントされます。

     secret-s マウントパスは、devfile を使用してワークスペースの特定コンポーネントで上書きできます。マウントパスを変更するには、追加のボリュームを devfile のコンポーネントで宣言し、名前がオーバーライドされたシークレット名と必要なマウントパスで宣言する必要があります。

     apiVersion: 1.0.0
     metadata:
       ...
     components:
      - type: dockerimage
        alias: maven
        image: maven:3.11
        volumes:
          - name: <secret-name>
            containerPath: /my/new/path
        ...

     このようなオーバーライドでは、コンポーネントはエイリアスを宣言して、それらのコンテナーに属するコンテナーを区別し、それらのコンテナー専用にオーバーライドパスを適用することができることに注意してください。