如果您需要在EDAS K8s環境中使用一些敏感的配置,例如密碼、認證等資訊時,建議使用保密字典(Secret)。本文介紹如何管理保密字典。
前提條件
- 在Container ServiceACK控制台建立叢集。
- 在EDAS中使用Container ServiceK8s叢集,請在Container ServiceKubernetes版控制台建立託管版Kubernetes叢集或專有版Kubernetes叢集,請參見:
- 在EDAS中使用Serverless K8s叢集,請在Container ServiceKubernetes版控制台建立Serverless Kubernetes叢集,請參見建立叢集。
- 在EDAS中匯入Kubernetes叢集。具體操作,請參見將Kubernetes叢集匯入EDAS。
背景資訊
您可以將一些敏感資訊(如密碼、認證等資訊)統一儲存到保密字典,在建立或者部署應用時可以將配置資訊直接注入到容器;如果後續修改了保密字典內容,只需要重新部署應用便可生效。
保密字典主要有以下三種使用情境:
- 使用保密字典定義容器的環境變數。具體操作,請參見配置環境變數。
- 將保密字典以檔案的形式掛載到容器的指定目錄。具體操作,請參見配置掛載。
- 在保密字典中的HTTPS認證資訊可以直接用於應用路由Ingress。具體操作,請參見建立應用路由(Nginx Ingress)。
建立保密字典
登入EDAS控制台。
- 在左側導覽列,選擇 。
- 在保密字典頁面頂部功能表列選擇地區。
- 在保密字典頁面,單擊建立保密字典。
- 在建立保密字典面板中,設定保密字典參數,然後單擊確定。
參數 描述 保密字典名稱 自訂設定保密字典名稱。支援小寫字母、短劃線(-)和數字,第一個字元必須是字母,最後一個字元不能是短劃線(-)。 叢集名稱 從下拉式清單中選擇目標Kubernetes叢集。 K8s命名空間 K8s Namespace通過將系統內部的對象分配到不同的Namespace中,形成邏輯上分組的不同專案、小組或使用者組,便於不同的分組在共用使用整個叢集的資源的同時還能被分別管理。 - default:沒有其他命名空間的對象的預設命名空間。
- kube-system:系統建立的對象的命名空間。
- kube-public:此命名空間是自動建立的,並且可供所有使用者(包括未經過身分識別驗證的使用者)讀取。
類型 選擇建立的保密字典類型,目前支援建立Opaque和TLS認證兩類。 - Opaque:使用者自訂的任意資料。當您選擇此項時,會呈現Base64編碼資料複選框。
當您想上傳位元據轉化成Base64編碼的文本時,可選中Base64編碼資料複選框。勾選後,保密字典須配置已經過Base64編碼處理的資料,EDAS將不再對資料進行編碼。
- TLS認證:用於儲存TLS認證及其相關密鑰。主要用在應用路由Ingress情境,支援將外部HTTPS請求路由到內部Service的路由規則集合。
Opaque 建立Opaque類型的保密字典,需要設定以下參數: - 映射參數:
- 鍵:敏感資訊的Key。支援字母、數字、短劃線(-)、底線(_)和半形句號(.)。
- 值:敏感資訊的Value。
您也可以單擊匯入配置,直接從本地匯入設定檔,資料值大小不能超過1024K,支援
json、yaml、properties
類型。 當您想上傳位元據轉化成Base64編碼的文本時,可選中Base64編碼資料複選框。勾選後,保密字典須配置已經過Base64編碼處理的資料,EDAS將不再對資料進行編碼。
TLS認證 建立TLS認證類型的保密字典,支援建立自我簽署憑證和手動建立。 - 手動建立:需要手動輸入Cert(TLS認證的公開金鑰)和Key(TLS認證的私密金鑰)。
- 建立自我簽署憑證:通過配置網域名稱、密鑰長度、認證起始時間、認證失效時間產生認證。
查看保密字典
登入EDAS控制台。
- 在左側導覽列,選擇 。
- 在保密字典頁面頂部功能表列選擇地區。
- 在保密字典頁面,單擊目標保密字典後的詳情。您可以通過保密字典名稱、叢集名稱、叢集ID和K8s命名空間篩選目標保密字典。
- 在保密字典的詳情頁面,查看該保密字典的基本資料,以及保密字典包含的資料資訊。對於TLS類型認證可在詳情頁查看認證的詳細資料,包括認證關聯網域名稱、認證狀態、認證服務提供者等。
修改保密字典
登入EDAS控制台。
- 在左側導覽列,選擇 。
- 在保密字典頁面頂部功能表列選擇地區。
- 在保密字典頁面找到目標配置項,單擊右側的編輯。您可以通過保密字典名稱、叢集名稱、叢集ID和K8s命名空間篩選目標保密字典。
- 在編輯面板中,修改保密字典的映射名稱和值,然後單擊確定。說明 如果已經有應用使用該保密字典,請在編輯完成後重新部署應用,以保證編輯後的保密字典資訊在應用中生效。
查看關聯路由
登入EDAS控制台。
- 在左側導覽列,選擇 。
- 在保密字典頁面頂部功能表列選擇地區。
- 在保密字典頁面找到目標配置項,單擊右側的查看關聯應用。您可以通過保密字典名稱、叢集名稱、叢集ID和K8s命名空間篩選目標保密字典。
- 在彈出的頁面查看字典相關 App路由,單擊目標應用路由名稱可查看應用路由基本資料。
刪除保密字典
登入EDAS控制台。
- 在左側導覽列,選擇 。
- 在保密字典頁面頂部功能表列選擇地區。
- 在保密字典頁面找到目標配置項,單擊右側的刪除。您可以通過保密字典名稱、叢集名稱、叢集ID和K8s命名空間篩選目標保密字典。
- 在確認刪除對話方塊,單擊確定。說明 如果已經有應用使用該保密字典,建議解除使用關係後再進行刪除。