在通过 curl 构建 docker 文件期间,有一个 init 容器将 keystore.jks 从 nexus repo 复制到一个卷中。然后,一旦 init 容器处于活动状态,接受该 keystore.jks 并进行必要更新的 python 代码然后 init 容器就会死亡。我们要做的是将此keystore.jks作为秘密存储在openshift中,但是一旦init容器处于活动状态,如何将秘密复制到卷中?以便python代码可以像以前一样使用它?提前感谢任何 cmets/帮助!
【问题讨论】:
标签: docker kubernetes openshift persistent-volumes kubernetes-secrets
正如@larsks 建议的那样,您可以将秘密挂载到卷并将其用于主容器。
在此分享 YAML 配置,可能有助于您理解。
apiVersion: v1
kind: Secret
metadata:
name: ssh-key
namespace: acme
data:
id_rsa: {{ secret_value_base64_encoded }}
现在为挂载路径添加秘密
spec:
template:
spec:
containers:
- image: "my-image:latest"
name: my-app
...
volumeMounts:
- mountPath: "/var/my-app"
name: ssh-key
readOnly: true
initContainers:
- command:
- sh
- -c
- chown -R 1000:1000 /var/my-app #if any changes required
image: busybox:1.29.2
name: set-dir-owner
securityContext:
privileged: true
volumeMounts:
- mountPath: /var/my-app
name: ssh-key
volumes:
- name: ssh-key
secret:
secretName: ssh-key
建议更好的选择是直接将秘密挂载到主容器而不使用 init contianer。
spec:
template:
spec:
containers:
- image: "my-image:latest"
name: my-app
...
volumeMounts:
- mountPath: "/var/my-app"
name: ssh-key
readOnly: true
volumes:
- name: ssh-key
secret:
secretName: ssh-key
【讨论】:
deployment init 容器会将密钥添加到卷挂载路径并被删除。