9.4. 使用 Secrets PropertySource
Kubernetes 具有用于存储敏感数据的 机密 的概念,如密码、OAuth 令牌等。Spring cloud Kubernetes 插件提供与 Secret
集成,使 secret 可以被 Spring Boot 访问。
启用时的 Secrets
属性源将从以下源查找 Secret
:如果找到 secret,则会将其数据提供给应用程序。
- 从 secret 挂载中递归读取
-
在应用程序后命名(请参阅
spring.application.name
) - 匹配一些标签
请注意,默认情况下,不启用 通过 API (点 2 和 3)消耗 Secret。
9.4.1. 设置 Secret 的示例
假设我们有一个名为 demo
的 Spring Boot 应用程序,它使用属性来读取其 ActiveMQ 和 PostreSQL 配置。
amq.username amq.password pg.username pg.password
这些 secret 可以外部化为 YAML 格式的 Secret
:
- ActiveMQ Secrets
apiVersion: v1 kind: Secret metadata: name: activemq-secrets labels: broker: activemq type: Opaque data: amq.username: bXl1c2VyCg== amq.password: MWYyZDFlMmU2N2Rm
- PostreSQL Secret
apiVersion: v1 kind: Secret metadata: name: postgres-secrets labels: db: postgres type: Opaque data: pg.username: dXNlcgo= pg.password: cGdhZG1pbgo=
9.4.2. 使用 secret
您可以以多种方式选择要使用的 Secret:
通过列出映射 secret 的目录:
-Dspring.cloud.kubernetes.secrets.paths=/etc/secrets/activemq,etc/secrets/postgres
如果您的所有 secret 都映射到一个通用 root,您可以设置它们,如下所示:
-Dspring.cloud.kubernetes.secrets.paths=/etc/secrets
通过设置命名 secret:
-Dspring.cloud.kubernetes.secrets.name=postgres-secrets
通过定义标签列表:
-Dspring.cloud.kubernetes.secrets.labels.broker=activemq -Dspring.cloud.kubernetes.secrets.labels.db=postgres
9.4.3. Secrets PropertySource 的配置属性
您可以使用以下属性来配置 Secrets 属性源:
- spring.cloud.kubernetes.secrets.enabled
-
启用 Secrets 属性源。type 是
布尔值
,默认为true
。 - spring.cloud.kubernetes.secrets.name
-
设置要查找的机密的名称。类型为
String
,默认为${spring.application.name}
。 - spring.cloud.kubernetes.secrets.labels
-
设置用于查找 secret 的标签。此属性的行为 基于映射的绑定。type 是
java.util.Map
,默认为null
。 - spring.cloud.kubernetes.secrets.paths
-
设置挂载 secret 的路径。此属性的行为 基于集合的绑定。type 是
java.util.List
,默认为null
。 - spring.cloud.kubernetes.secrets.enableApi
-
通过 API 启用/禁用消耗 secret。type 是
布尔值
,默认为false
。
出于安全原因,通过 API 访问 secret 可能会受到限制,首选将 secret 挂载到 POD。