как сделать файл доступным для контейнеров, работающих внутри модуля kubernetes в GKE

Question

Допустим, у меня есть секретный файл, который я хочу, чтобы он был доступен через контейнер Docker, который работает внутри модуля в кластере kubernetes.Со временем в кластере будет создано много таких новых модулей, и всем им потребуется доступ к этому файлу.Так как я могу это сделать?

Я думал о том, чтобы создать том kubernetes, сохранить этот секретный файл в томе и сделать том доступным для контейнеров.Но я точно не знаю, как это сделать, и какой из множества типов томов, доступных в kubernetes, какой использовать?

Answer 1

В зависимости от размера вашего секретного файла, вам следует рассмотреть возможность помещения его в Kubernetes Secret . Во многих инсталляциях секреты обрабатываются по-разному на уровне хранилища (например, шифруются в состоянии покоя), тогда как, если вы используете тома, вам нужно будет самостоятельно добавить какие-либо дополнительные средства защиты.

Если ваш файл слишком велик, чтобы уместиться в секрете, и вы работаете в GKE (который может основываться на теге вопроса), тогда GCEPersistentDisk будет хорошим типом тома для использования. Одна из полезных особенностей GCE PD заключается в том, что они «могут быть смонтированы как доступные только для чтения несколькими потребителями одновременно», поэтому вы можете предварительно заполнить свои секретные данные на диске и затем смонтировать их (только для чтения) во все модули, которые нужен доступ к данным.