Ищите секреты из менеджера секретов gcloud напрямую как secretGenerator с настройкой - PullRequest
2 голосов
/ 02 февраля 2020

Я настраиваю свой Kubernetes кластер, используя kubectl -k (kustomize). Как и любая другая подобная договоренность, я использую некоторые секреты при развертывании. Маршрут, который я хочу go, заключается в использовании secretGenerator функции kustomize для извлечения моих секретов из файлов или переменных среды.

Однако управление указанными файлами или переменными среды безопасным и переносимым способом показало Сам по себе вызов. Тем более, что у меня есть 3 отдельных пространства имен для тестирования, стадии и производства, каждое из которых требует различного набора секретов.

Поэтому я, конечно, подумал, что должен быть способ управления секретами в официальном порядке моего поставщика облачных вычислений ( облачная платформа Google - менеджер секретов).

Так как же будет выглядеть secretGenerator, который получает доступ к секретам, хранящимся в диспетчере секретов?

Мое наивное предположение будет примерно таким:

secretGenerator:
 - name: juicy-environment-config
   google-secret-resource-id: projects/133713371337/secrets/juicy-test-secret/versions/1
   type: some-google-specific-type
  • Возможно ли это вообще?
  • Как будет выглядеть пример?
  • Где это задокументировано?
  • Если это не возможно, каковы мои альтернативы?

1 Ответ

3 голосов
/ 02 февраля 2020

Я не знаю, какой плагин для этого. Система плагинов в Kustomize несколько нова (добавлено около 6 месяцев go), поэтому в дикой природе пока нет ни одной тонны, а Secrets Manager всего несколько недель. Вы можете найти документы на https://github.com/kubernetes-sigs/kustomize/tree/master/docs/plugins для написания одного, хотя. Это ссылка на несколько Go плагинов для управления секретами, так что вы, вероятно, можете взять один из них и переработать его в GCP API.

...