Использование секретов OpenShift в томах / файлах с ограниченными правами доступа

Question

Я монтирую секрет OpenShift 3.11 в контейнер благодаря этому новому разделу внутри элемента контейнера в `dc.spec.template.spec.containers:

volumeMounts:
- name: my-secret
  mountPath: /mnt/my-secret
  readOnly: true

и этот новый раздел в dc.spec.template.spec.containers:

volumes:
- name: my-secret
  secret:
    secretName: my-secret

Мой my-secret был создан из закрытого ключа, например:

oc create secret generic my-secret \
  --type=kubernetes.io/ssh-auth \
  --from-file=ssh-privatekey=my-private-key

Во время выполнения контейнера я нахожу защищенный закрытый ключ в файле /mnt/my-secret/ssh-privatekey.Как я могу гарантировать, что только UID, который запускает контейнер (случайный UID по правилам OpenShift), может читать из этого файла, то есть применять режим файла, похожий на 0400?

Answer 1

Установка dc.spec.template.spec.volumes.secret.defaultMode (как предложено в комментарии) на 0644, похоже, оказывает желаемый эффект на закрытый ключ в файле с символической ссылкой /mnt/my-secret/ssh-privatekey.