Я настраиваю свой Kubernetes кластер, используя kubectl -k (kustomize). Как и любая другая подобная договоренность, я использую некоторые секреты при развертывании. Маршрут, который я хочу go, заключается в использовании secretGenerator функции kustomize для извлечения моих секретов из файлов или переменных среды.
Однако управление указанными файлами или переменными среды безопасным и переносимым способом показало Сам по себе вызов. Тем более, что у меня есть 3 отдельных пространства имен для тестирования, стадии и производства, каждое из которых требует различного набора секретов.
Поэтому я, конечно, подумал, что должен быть способ управления секретами в официальном порядке моего поставщика облачных вычислений ( облачная платформа Google - менеджер секретов).
Так как же будет выглядеть secretGenerator, который получает доступ к секретам, хранящимся в диспетчере секретов?
Мое наивное предположение будет примерно таким:
secretGenerator:
- name: juicy-environment-config
google-secret-resource-id: projects/133713371337/secrets/juicy-test-secret/versions/1
type: some-google-specific-type
- Возможно ли это вообще?
- Как будет выглядеть пример?
- Где это задокументировано?
- Если это не возможно, каковы мои альтернативы?