我定义了一个秘密:
apiVersion: v1
kind: Secret
metadata:
name: mysecret
type: Opaque
stringData:
config.yaml: |-
apiUrl: "https://my.api.com/api/v1"
username: Administrator
password: NewPasswdTest11
然后在部署中创建卷挂载:
apiVersion: apps/v1
kind: Deployment
metadata:
name: k8s-webapp-test
labels:
name: k8s-webapp-test
version: 1.0.4
spec:
replicas: 2
selector:
matchLabels:
name: k8s-webapp-test
version: 1.0.4
template:
metadata:
labels:
name: k8s-webapp-test
version: 1.0.4
spec:
nodeSelector:
kubernetes.io/os: windows
volumes:
- name: secret-volume
secret:
secretName: string-data-secret
containers:
- name: k8s-webapp-test
image: dockerstore/k8s-webapp-test:1.0.4
ports:
- containerPort: 80
volumeMounts:
- name: secret-volume
mountPath: "/secrets"
readOnly: false
因此,在部署之后,我在 C:\secrets 中有 2 个带有卷挂载的 pod(我确实使用了 Windows 节点)。当我尝试编辑位于 C:\secrets 文件夹中的 config.yaml 时,出现以下错误:
拒绝访问路径“c:\secrets\config.yaml”。
尽管我将文件标记为 readOnly false 我无法写入它。如何修改文件?
Secret、configMap、downdownAPI 和投影卷将作为只读卷安装。尝试写入这些卷的应用程序将收到只读文件系统错误。以前,允许应用程序对这些卷进行更改,但系统会在任意时间间隔恢复这些更改。应重新配置应用程序以将派生文件写入另一个位置
您可以考虑使用一个init 容器来映射机密,然后将其复制到您可以修改它的所需位置。
作为 init 容器的替代方案,您还可以使用容器生命周期钩子,即PostStart在创建容器后立即执行的-hook。
lifecycle:
postStart:
exec:
command:
- "/bin/sh"
- "-c"
- >
cp -r /secrets ~/secrets;
| 归档时间: |
|
| 查看次数: |
1716 次 |
| 最近记录: |