那些遇到过的问题

Kubernetes - 在预安装作业中使用机密

Nin*_*ita 8 kubernetes kubernetes-helm kubernetes-secrets

在我的掌舵图上,我有一份工作pre-install,我需要使用我的秘密中的属性。但是,当我尝试安装 Helm Chart 时,我的pre-install工作出现以下错误:

错误:未找到机密“SecretsFileName”

在 pods 执行之前没有创建秘密?这里有什么问题?我该如何解决这个问题?

笔记:

  • 我想使用机密来加密属性。我不想直接在我的 pod 上使用解密的值;
  • 我已经按照一定的顺序阅读了Helm install,但我仍然不明白这个错误的原因;
  • 我已经尝试在秘密和我的 pod 上使用"helm.sh/hook": pre-install,post-delete"helm.sh/hook-weight": "1""helm.sh/hook-weight": "2"但问题仍然存在。

我的预安装工作:

apiVersion: batch/v1
kind: Job
metadata:
  name: "MyPodName"
  annotations:
    "helm.sh/hook": pre-install
    "helm.sh/hook-delete-policy": before-hook-creation,hook-succeeded
  #some more code
spec:
  template:
    #some more code
    spec:
      dnsPolicy: {{ .Values.specPolicy.dnsPolicy }}
      restartPolicy: {{ .Values.specPolicy.restartPolicy }}
      volumes:
        - name: {{ .Values.volume.name }}
          persistentVolumeClaim:
            claimName: {{ .Values.volume.claimName }}
      securityContext:
        {{- toYaml .Values.securityContext | nindent 8 }}
      containers:
        - name: "MyContainerName"
          #some more code
          env:
            - name: SECRET_TO_USE
              valueFrom:
                secretKeyRef:
                  name: SecretsFileName
                  key: PROP_FROM_SCRETS
          #some more code
Run Code Online (Sandbox Code Playgroud)

我的秘密文件:

apiVersion: v1
kind: Secret
metadata:
  name: "SecretsFileName"
  labels:
    app: "MyAppName"
    #some more code
type: Opaque
data:
    PROP_FROM_SCRETS: eHB0bw==
Run Code Online (Sandbox Code Playgroud)

Dav*_*aze 9

虽然Helm 钩子通常是 Jobs,但没有要求它们是,并且 Helm 不会对钩子对象的内容进行任何分析以查看它可能依赖的其他内容。如果你通读了那里描述的安装顺序,它是 (7) 安装标记为钩子的东西,(8) 等待那些准备好,然后 (9) 安装其他所有东西;它会等待 Job 完成,然后才会安装它所依赖的 Secret。

那么,第一个答案是,您还需要将您的 Secret 标记为一个钩子,以便在预安装阶段安装它,并修改权重,以便在主作业之前安装(较小的权重数字会更快发生) :

apiVersion: v1
kind: Secret
annotations:
  "helm.sh/hook": pre-install
  "helm.sh/hook-weight": "-5"
Run Code Online (Sandbox Code Playgroud)

下一个问题是这个 Secret 何时被删除。文档注释helm uninstall不会删除挂钩的资源; 您需要添加一个单独的helm.sh/hook-delete-policy注释,否则它会一直存在,直到下次计划运行钩子。这对我来说是说,如果您修改 Secret(或构成它的值)并升级(而不是删除和重新安装)图表,则该 Secret 将不会更新。

我可能只创建 Secret 的两份副本,一份在预安装时有用,一份对主要图表生命周期有用。您可以创建一个模板来呈现 Secret 正文,然后调用两次:

{{- define "secret.content" -}}
type: Opaque
data:
    PROP_FROM_SCRETS: eHB0bw==
{{- end -}}
---
apiVersion: v1
kind: Secret
metadata:
  name: "SecretsFileName"
  labels:
    app: "MyAppName"
{{ include "secret.content" . }}
---
apiVersion: v1
kind: Secret
metadata:
  name: "SecretsFileName-preinst"
  labels:
    app: "MyAppName"
  annotations:
    "helm.sh/hook": pre-install
    "helm.sh/hook-weight": "-5"
    "helm.sh/hook-delete-policy": hook-succeeded
{{ include "secret.content" . }}
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

2192 次

最近记录:

4 年,5 月 前
Helm按特定顺序安装 15
更多相关链接
相关归档
Sidecar 与 Ambassador 和 Adapter 模式的区别 23
如何轻松切换 gcloud / kubectl 凭据 11
Spark 2.3提交Kubernetes错误 10
通过 Ingress 的 Kubernetes 仪表板 7
我可以将 NGINX Ingress 身份验证与 oidc 一起使用吗? 5
使用 Dlog4j2.formatMsgNoLookups 在 elasticsearch helm 图表中进行 log4j 临时修复 5
kubeadm 加入失败,仅在一个节点上拒绝连接 4
如何监控在Kubernetes上运行的Nodejs应用程序 2
子字符串匹配条件时的 Argo 工作流程 2
如何将 .env 文件传递​​到 Go 项目中的 docker 镜像? 0
难疑归档
如何从JavaScript中删除数组中的特定元素? 7655
如何从异步调用返回响应? 5208
使用Java创建内存泄漏 3076
在函数中使用全局变量 2939
如何制作一系列功能装饰器? 2647
自制安装特定版本的公式? 2072
使用JavaScript在下拉列表中获取选定的值? 1660
什么是未定义的引用/未解析的外部符号错误,我该如何解决? 1418
JavaScript是一种传递引用还是按值传递的语言? 1311
如何从"Bobby Tables"XKCD漫画中注入SQL? 1070