11.4. 使用 Secrets PropertySource
Kubernetes 具有用于存储敏感数据的 机密 的概念,如密码、OAuth 令牌等。Spring cloud Kubernetes 插件提供与 Secret 集成,使 secret 可以被 Spring Boot 访问。
启用时的 Secrets 属性源将从以下源查找 Secret :如果找到 secret,则会将其数据提供给应用程序。
- 从 secret 挂载中递归读取
-
在应用程序后命名(请参阅
spring.application.name) - 匹配一些标签
请注意,默认情况下,不启用 通过 API (点 2 和 3)消耗 Secret。
11.4.1. 设置 Secret 的示例
假设我们有一个名为 demo 的 Spring Boot 应用程序,它使用属性来读取其 ActiveMQ 和 PostreSQL 配置。
amq.username amq.password pg.username pg.password
这些 secret 可以外部化为 YAML 格式的 Secret :
- ActiveMQ Secrets
apiVersion: v1 kind: Secret metadata: name: activemq-secrets labels: broker: activemq type: Opaque data: amq.username: bXl1c2VyCg== amq.password: MWYyZDFlMmU2N2Rm- PostreSQL Secret
apiVersion: v1
kind: Secret
metadata:
name: postgres-secrets
labels:
db: postgres
type: Opaque
data:
pg.username: dXNlcgo=
pg.password: cGdhZG1pbgo=11.4.2. 使用 secret
您可以以多种方式选择要使用的 Secret:
通过列出映射 secret 的目录:
-Dspring.cloud.kubernetes.secrets.paths=/etc/secrets/activemq,etc/secrets/postgres
如果您的所有 secret 都映射到一个通用 root,您可以设置它们,如下所示:
-Dspring.cloud.kubernetes.secrets.paths=/etc/secrets
通过设置命名 secret:
-Dspring.cloud.kubernetes.secrets.name=postgres-secrets
通过定义标签列表:
-Dspring.cloud.kubernetes.secrets.labels.broker=activemq -Dspring.cloud.kubernetes.secrets.labels.db=postgres
11.4.3. Secrets PropertySource 的配置属性
您可以使用以下属性来配置 Secrets 属性源:
- spring.cloud.kubernetes.secrets.enabled
-
启用 Secrets 属性源。type 是
布尔值,默认为true。 - spring.cloud.kubernetes.secrets.name
-
设置要查找的机密的名称。类型为
String,默认为${spring.application.name}。 - spring.cloud.kubernetes.secrets.labels
-
设置用于查找 secret 的标签。此属性的行为 基于映射的绑定。type 是
java.util.Map,默认为null。 - spring.cloud.kubernetes.secrets.paths
-
设置挂载 secret 的路径。此属性的行为 基于集合的绑定。type 是
java.util.List,默认为null。 - spring.cloud.kubernetes.secrets.enableApi
-
通过 API 启用/禁用消耗 secret。type 是
布尔值,默认为false。
注意
出于安全原因,通过 API 访问 secret 可能会受到限制,首选将 secret 挂载到 POD。
