全部產品
Search
文件中心

Enterprise Distributed Application Service:管理保密字典

更新時間:Jun 30, 2024

如果您需要在EDAS K8s環境中使用一些敏感的配置,例如密碼、認證等資訊時,建議使用保密字典(Secret)。本文介紹如何管理保密字典。

前提條件

  • 在Container ServiceACK控制台建立叢集。
    • 在EDAS中使用Container ServiceK8s叢集,請在Container ServiceKubernetes版控制台建立託管版Kubernetes叢集或專有版Kubernetes叢集,請參見:
    • 在EDAS中使用Serverless K8s叢集,請在Container ServiceKubernetes版控制台建立Serverless Kubernetes叢集,請參見建立叢集
  • 在EDAS中匯入Kubernetes叢集。具體操作,請參見將Kubernetes叢集匯入EDAS

背景資訊

您可以將一些敏感資訊(如密碼、認證等資訊)統一儲存到保密字典,在建立或者部署應用時可以將配置資訊直接注入到容器;如果後續修改了保密字典內容,只需要重新部署應用便可生效。

保密字典主要有以下三種使用情境:
  • 使用保密字典定義容器的環境變數。具體操作,請參見配置環境變數
  • 將保密字典以檔案的形式掛載到容器的指定目錄。具體操作,請參見配置掛載
  • 在保密字典中的HTTPS認證資訊可以直接用於應用路由Ingress。具體操作,請參見建立應用路由(Nginx Ingress)

建立保密字典

  1. 登入EDAS控制台

  2. 在左側導覽列,選擇應用管理 > Kubernetes配置 > 保密字典
  3. 保密字典頁面頂部功能表列選擇地區。
  4. 保密字典頁面,單擊建立保密字典
  5. 建立保密字典面板中,設定保密字典參數,然後單擊確定
    建立保密字典
    參數描述
    保密字典名稱自訂設定保密字典名稱。支援小寫字母、短劃線(-)和數字,第一個字元必須是字母,最後一個字元不能是短劃線(-)。
    叢集名稱從下拉式清單中選擇目標Kubernetes叢集。
    K8s命名空間K8s Namespace通過將系統內部的對象分配到不同的Namespace中,形成邏輯上分組的不同專案、小組或使用者組,便於不同的分組在共用使用整個叢集的資源的同時還能被分別管理。
    • default:沒有其他命名空間的對象的預設命名空間。
    • kube-system:系統建立的對象的命名空間。
    • kube-public:此命名空間是自動建立的,並且可供所有使用者(包括未經過身分識別驗證的使用者)讀取。
    類型選擇建立的保密字典類型,目前支援建立OpaqueTLS認證兩類。
    • Opaque:使用者自訂的任意資料。當您選擇此項時,會呈現Base64編碼資料複選框。

      當您想上傳位元據轉化成Base64編碼的文本時,可選中Base64編碼資料複選框。勾選後,保密字典須配置已經過Base64編碼處理的資料,EDAS將不再對資料進行編碼。

    • TLS認證:用於儲存TLS認證及其相關密鑰。主要用在應用路由Ingress情境,支援將外部HTTPS請求路由到內部Service的路由規則集合。
    Opaque建立Opaque類型的保密字典,需要設定以下參數:
    • 映射參數:
      • :敏感資訊的Key。支援字母、數字、短劃線(-)、底線(_)和半形句號(.)。
      • :敏感資訊的Value。

      您也可以單擊匯入配置,直接從本地匯入設定檔,資料值大小不能超過1024K,支援json、yaml、properties類型。

    • 當您想上傳位元據轉化成Base64編碼的文本時,可選中Base64編碼資料複選框。勾選後,保密字典須配置已經過Base64編碼處理的資料,EDAS將不再對資料進行編碼。

    TLS認證建立TLS認證類型的保密字典,支援建立自我簽署憑證和手動建立。
    • 手動建立:需要手動輸入Cert(TLS認證的公開金鑰)和Key(TLS認證的私密金鑰)。
    • 建立自我簽署憑證:通過配置網域名稱密鑰長度認證起始時間認證失效時間產生認證。

查看保密字典

  1. 登入EDAS控制台

  2. 在左側導覽列,選擇應用管理 > Kubernetes配置 > 保密字典
  3. 保密字典頁面頂部功能表列選擇地區。
  4. 保密字典頁面,單擊目標保密字典後的詳情
    您可以通過保密字典名稱叢集名稱叢集IDK8s命名空間篩選目標保密字典。
  5. 在保密字典的詳情頁面,查看該保密字典的基本資料,以及保密字典包含的資料資訊。
    對於TLS類型認證可在詳情頁查看認證的詳細資料,包括認證關聯網域名稱、認證狀態、認證服務提供者等。

修改保密字典

  1. 登入EDAS控制台

  2. 在左側導覽列,選擇應用管理 > Kubernetes配置 > 保密字典
  3. 保密字典頁面頂部功能表列選擇地區。
  4. 保密字典頁面找到目標配置項,單擊右側的編輯
    您可以通過保密字典名稱叢集名稱叢集IDK8s命名空間篩選目標保密字典。
  5. 在編輯面板中,修改保密字典的映射名稱和值,然後單擊確定
    說明 如果已經有應用使用該保密字典,請在編輯完成後重新部署應用,以保證編輯後的保密字典資訊在應用中生效。

查看關聯路由

  1. 登入EDAS控制台

  2. 在左側導覽列,選擇應用管理 > Kubernetes配置 > 保密字典
  3. 保密字典頁面頂部功能表列選擇地區。
  4. 保密字典頁面找到目標配置項,單擊右側的查看關聯應用
    您可以通過保密字典名稱叢集名稱叢集IDK8s命名空間篩選目標保密字典。
  5. 在彈出的頁面查看字典相關 App路由,單擊目標應用路由名稱可查看應用路由基本資料。

刪除保密字典

  1. 登入EDAS控制台

  2. 在左側導覽列,選擇應用管理 > Kubernetes配置 > 保密字典
  3. 保密字典頁面頂部功能表列選擇地區。
  4. 保密字典頁面找到目標配置項,單擊右側的刪除
    您可以通過保密字典名稱叢集名稱叢集IDK8s命名空間篩選目標保密字典。
  5. 在確認刪除對話方塊,單擊確定
    說明 如果已經有應用使用該保密字典,建議解除使用關係後再進行刪除。