Я развертываю контейнер в кластере AKS.
Я хочу смонтировать папку конфигурации (размер 200+ МБ) в этот контейнер. Папка конфигурации присутствует в git-репо. У каждого клиента есть
его собственные данные конфигурации и хранятся в отдельной ветке в том же репо.
Я думаю о следующих параметрах загрузки папки конфигурации в контейнер:
- Постоянные претензии по объему - ПВХ
Я создам общий файловый ресурс и скопирую в него папку config. Смонтируйте общий файловый ресурс в контейнер, используя PVC.
При таком подходе мне нужно добавить ключ доступа к хранилищу / токен sas к секретам kubernetes.
- Заархивируйте папку конфигурации и скопируйте ее в хранилище BLOB-объектов. В скрипте запуска контейнера загрузите zio из хранилища BLOB-объектов и установите его в нужное место.
При таком подходе я должен использовать токен SAS для доступа к учетной записи хранения. (Этот токен будет сохранен как секретный в kubernetes)
- В скрипте запуска контейнера git клонирует репозиторий, содержащий папку config, загружает его и копирует в нужное место.
В этом подходе мне нужно использовать токен PAT для клонирования git.
- Скопируйте папку конфигурации в сам образ докера.
При таком подходе мне не нужно беспокоиться о том, как загрузить папку config в контейнер.
Однако, поскольку папка конфигурации является индивидуальной для каждого клиента и более 100 клиентов, в результате получается более 100+
теги изображений. (Мы добавили теги для клиента)
Можете ли вы указать мне, какой вариант лучше? Есть ли другой лучший подход.
Я прочитал, что существуют проблемы безопасности при использовании общих томов PVC, которые могут предоставить злоумышленнику корневые разрешения на узле.
А также есть проблемы безопасности при использовании git внутри контейнера.
Можете ли вы предоставить больше информации о том, почему / как эти проблемы безопасности?