如何将多个文件/秘密挂载到 kubernetes 的公共目录中？

Question

我从不同的文件创建了多个秘密。我想将它们全部存储在公共目录中/var/secrets/。不幸的是，我无法做到这一点，因为 kubernetes在 pod 验证步骤期间抛出'Invalid value: "/var/secret": must be unique错误。下面是我的 pod 定义示例。

apiVersion: v1
kind: Pod
metadata:
  labels:
    run: alpine-secret
  name: alpine-secret
spec:
  containers:
  - command:
    - sleep
    - "3600"
    image: alpine
    name: alpine-secret
    volumeMounts:
    - name: xfile
      mountPath: "/var/secrets/"
      readOnly: true
    - name: yfile
      mountPath: "/var/secrets/"
      readOnly: true
  volumes:
  - name: xfile
    secret:
      secretName: my-secret-one
  - name: yfile
    secret:
      secretName: my-secret-two

如何将来自多个机密的文件存储在同一目录中？

Answer 1

预计体积

您可以使用投影卷在同一目录中拥有两个秘密

例子

apiVersion: v1
kind: Pod
metadata:
  labels:
    run: alpine-secret
  name: alpine-secret
spec:
  containers:
  - command:
    - sleep
    - "3600"
    image: alpine
    name: alpine-secret
    volumeMounts:
    - name: xyfiles
      mountPath: "/var/secrets/"
      readOnly: true
  volumes:
  - name: xyfiles
    projected:
      sources:
      - secret:
          name: my-secret-one
      - secret:
          name: my-secret-two

Answer 2

（编辑：没关系 - 我只是注意到@Jonas早些时候给出了相同的答案。我的+1）

从 Kubernetes v1.11+ 开始，可以使用projected卷：

投影卷将多个现有卷源映射到同一目录中。

目前，可以投影以下类型的体积源：

• 秘密
• 向下API
• 配置映射
• 服务帐户令牌

这是“...如何使用投影卷将多个现有卷源安装到同一目录中”的示例。

Answer 3

编辑： @Jonas 答案是正确的！

但是，如果您像我在问题中那样使用卷，那么简短的回答是您不能这样做，您必须指定mountPath一个未使用的目录 - 卷必须是唯一的并且不能安装到公共目录。

解决方案： 我最后所做的是将文件保存在单独的机密中，而是用多个文件创建一个机密。