2.5. 配置 GitOps 受管资源以使用挂载的 secret

您必须通过将卷挂载配置添加到部署并配置容器 pod 来使用挂载的 secret 来配置 GitOps 受管资源。

先决条件

您有存储在 GitOps 存储库中的 AWS Secrets Manager 资源。
您已将 Secret Store Container Storage Interface (SSCSI)驱动程序配置为从 AWS Secret Manager 挂载 secret。

流程

配置 GitOps 受管资源。例如，假设您想将卷挂载配置添加到 app-taxi 应用程序的部署中，而 100-deployment.yaml 文件位于 /environments/dev/apps/app-taxi/services/taxi/base/config/ 目录中。

将卷挂载添加到部署 YAML 文件中，并将容器 pod 配置为使用 secret 供应商类资源和挂载的 secret：

YAML 文件示例

apiVersion: apps/v1
kind: Deployment
metadata:
  name: taxi
  namespace: dev 
spec:
  replicas: 1
  template:
    metadata:
# ...
    spec:
      containers:
        - image: nginxinc/nginx-unprivileged:latest
          imagePullPolicy: Always
          name: taxi
          ports:
            - containerPort: 8080
          volumeMounts:
            - name: secrets-store-inline
              mountPath: "/mnt/secrets-store" 
              readOnly: true
          resources: {}
    serviceAccountName: default
    volumes:
      - name: secrets-store-inline
        csi:
          driver: secrets-store.csi.k8s.io
          readOnly: true
          volumeAttributes:
            secretProviderClass: "my-aws-provider" 
    status: {}
# ...

apiVersion: apps/v1
kind: Deployment
metadata:
  name: taxi
  namespace: dev


spec:
  replicas: 1
  template:
    metadata:
# ...
    spec:
      containers:
        - image: nginxinc/nginx-unprivileged:latest
          imagePullPolicy: Always
          name: taxi
          ports:
            - containerPort: 8080
          volumeMounts:
            - name: secrets-store-inline
              mountPath: "/mnt/secrets-store"


              readOnly: true
          resources: {}
    serviceAccountName: default
    volumes:
      - name: secrets-store-inline
        csi:
          driver: secrets-store.csi.k8s.io
          readOnly: true
          volumeAttributes:
            secretProviderClass: "my-aws-provider"


    status: {}
# ...

Copy to Clipboard

Toggle word wrap

1: 部署的命名空间。这必须与 secret 供应商类相同。
2: 在卷挂载中挂载 secret 的路径。
3: secret 供应商类的名称。

将更新的资源 YAML 文件推送到 GitOps 存储库。

在 Argo CD UI 中，点目标应用程序页面中的 REFRESH 应用更新的部署清单。
验证所有资源是否在目标应用程序页面中成功同步。

验证您可以从 pod 卷挂载中的 AWS Secrets manager 访问 secret：

列出 pod 挂载中的 secret：

oc exec <deployment_name>-<hash> -n <namespace> -- ls /mnt/secrets-store/

$ oc exec <deployment_name>-<hash> -n <namespace> -- ls /mnt/secrets-store/

Copy to Clipboard

Toggle word wrap

示例命令

oc exec taxi-5959644f9-t847m -n dev -- ls /mnt/secrets-store/

$ oc exec taxi-5959644f9-t847m -n dev -- ls /mnt/secrets-store/

Copy to Clipboard

Toggle word wrap

输出示例

<secret_name>

<secret_name>

Copy to Clipboard

Toggle word wrap

查看 pod 挂载中的 secret：

oc exec <deployment_name>-<hash> -n <namespace> -- cat /mnt/secrets-store/<secret_name>

$ oc exec <deployment_name>-<hash> -n <namespace> -- cat /mnt/secrets-store/<secret_name>

Copy to Clipboard

Toggle word wrap

示例命令

oc exec taxi-5959644f9-t847m -n dev -- cat /mnt/secrets-store/testSecret

$ oc exec taxi-5959644f9-t847m -n dev -- cat /mnt/secrets-store/testSecret

Copy to Clipboard

Toggle word wrap

输出示例

<secret_value>

<secret_value>

Copy to Clipboard

Toggle word wrap

2.5. 配置 GitOps 受管资源以使用挂载的 secret

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links