如果您需要在EDAS K8s环境中使用一些敏感的配置,例如密码、证书等信息时,建议使用保密字典(Secret)。本文介绍如何管理保密字典。
前提条件
- 在容器服务ACK控制台创建集群。
- 在EDAS中使用容器服务K8s集群,请在容器服务Kubernetes版控制台创建托管版Kubernetes集群或专有版Kubernetes集群,请参见:
- 在EDAS中使用Serverless K8s集群,请在容器服务Kubernetes版控制台创建Serverless Kubernetes集群,请参见创建ASK集群。
- 在EDAS中导入Kubernetes集群。具体操作,请参见在EDAS控制台导入Kubernetes集群。
背景信息
您可以将一些敏感信息(如密码、证书等信息)统一保存到保密字典,在创建或者部署应用时可以将配置信息直接注入到容器;如果后续修改了保密字典内容,只需要重新部署应用便可生效。
保密字典主要有以下三种使用场景:
- 使用保密字典定义容器的环境变量。具体操作,请参见配置环境变量。
- 将保密字典以文件的形式挂载到容器的指定目录。具体操作,请参见配置挂载。
- 在保密字典中的HTTPS证书信息可以直接用于应用路由Ingress。具体操作,请参见创建应用路由(Nginx Ingress)。
创建保密字典
- 在创建保密字典面板中,设置保密字典参数,然后单击确定。
参数 描述 保密字典名称 自定义设置保密字典名称。支持小写字母、短划线(-)和数字,第一个字符必须是字母,最后一个字符不能是短划线(-)。 集群名称 从下拉列表中选择目标Kubernetes集群。 K8s命名空间 K8s Namespace通过将系统内部的对象分配到不同的Namespace中,形成逻辑上分组的不同项目、小组或用户组,便于不同的分组在共享使用整个集群的资源的同时还能被分别管理。 - default:没有其他命名空间的对象的默认命名空间。
- kube-system:系统创建的对象的命名空间。
- kube-public:此命名空间是自动创建的,并且可供所有用户(包括未经过身份验证的用户)读取。
类型 选择创建的保密字典类型,目前支持创建Opaque和TLS证书两类。 - Opaque:用户自定义的任意数据。当您选择此项时,会呈现Base64编码数据复选框。
当您想上传二进制数据转化成Base64编码的文本时,可选中Base64编码数据复选框。勾选后,保密字典须配置已经过Base64编码处理的数据,EDAS将不再对数据进行编码。
- TLS证书:用于保存TLS证书及其相关密钥。主要用在应用路由Ingress场景,支持将外部HTTPS请求路由到内部Service的路由规则集合。
Opaque 创建Opaque类型的保密字典,需要设置以下参数: - 映射参数:
- 键:敏感信息的Key。支持字母、数字、短划线(-)、下划线(_)和半角句号(.)。
- 值:敏感信息的Value。
您也可以单击导入配置,直接从本地导入配置文件,数据值大小不能超过1024K,支持
json、yaml、properties类型。 -
当您想上传二进制数据转化成Base64编码的文本时,可选中Base64编码数据复选框。勾选后,保密字典须配置已经过Base64编码处理的数据,EDAS将不再对数据进行编码。
TLS证书 创建TLS证书类型的保密字典,支持创建自签名证书和手动创建。 - 手动创建:需要手动输入Cert(TLS证书的公钥)和Key(TLS证书的私钥)。
- 创建自签名证书:通过配置域名、密钥长度、证书起始时间、证书失效时间生成证书。