Благодаря лазурному хранилищу и драйверу csi можно создавать секреты и получать к ним доступ как к отдельным файлам в контейнере.
Я последовал за это подход к созданию основных секретов.
Может получить доступ к секретам из контейнера в виде секретных файлов внутри него.
Но когда я попытался создать из него секрет и использовать его для imagePull, он не работает.
apiVersion: секреты-store.csi.x-k8s.io/v1alpha1
вид: Секретпровидеркласс
метаданные:
имя: azure-kvname
пространство имен: по умолчанию
спецификация:
провайдер: лазурь
секретОбъекты:
- secretName: acr-тест
тип: kubernetes.io/dockerconfigjson
данные:
- имя_объекта: мартрепо
ключ: .dockerconfigjson
параметры:
usePodIdentity: "ложь"
useVMManagedIdentity: "ложь"
userAssignedIdentityID: ""
keyvaultName: "секретное хранилище-пустышка"
объекты: |
множество:
- |
имя_объекта: секрет1
тип объекта: секрет
объектная версия: ""
- |
имя_объекта: мартрепо
тип объекта: секрет
объектная версия: ""
идентификатор арендатора: "f33abe27-86cd-46d6-ae2b-b918362ab160"
---
вид: стручок
апиВерсия: v1
метаданные:
имя: Busybox-secrets-store-inline
спецификация:
контейнеры:
- имя: занятбокс
изображение: k8s.gcr.io/e2e-test-images/busybox:1.29
команда:
- "/бин/сон"
- "10000"
томМаунты:
- имя: встроенный магазин секретов
mountPath: "/mnt/секреты-магазин"
Только для чтения: правда
тома:
- имя: встроенный магазин секретов
Си Си:
драйвер: secrets-store.csi.k8s.io
Только для чтения: правда
атрибуты тома:
secretProviderClass: "azure-kvname"
nodePublishSecretRef: # Требуется только при использовании режима субъекта-службы
имя: секреты-магазин-креды
Приведенный выше секрет acr-test я пытался использовать при развертывании приложения в imagePullSecrets, но он не работал, так как события показывали проблемы с извлечением изображения.
Пожалуйста, направьте меня, если подход неправильный.
А также, как использовать эти секреты в составе существующего configmap?
