机密 PropertySource
Kubernetes 具有用于存储
敏感数据,例如密码、OAuth 令牌等。此项目提供与 to make secrets 的集成
可由 Spring Boot 应用程序访问。您可以通过设置属性来显式启用或禁用此功能。Secretsspring.cloud.kubernetes.secrets.enabled
启用后,将从以下来源查找 Kubernetes:Fabric8SecretsPropertySourceSecrets
-
从 secrets 挂载中递归读取
-
以应用程序命名(由
spring.application.name) -
匹配一些标签
注意:
默认情况下,出于安全原因,通过 API 使用密钥(上述第 2 点和第 3 点)未启用。对 Secret 的权限 'list' 允许客户端检查指定命名空间中的 Secret 值。 此外,我们建议容器通过挂载的卷共享密钥。
如果您允许通过 API 使用 Secrets,我们建议您使用授权策略(如 RBAC)来限制对 Secrets 的访问。 有关通过 API 使用 Secrets 时的风险和最佳实践的更多信息,请参阅此文档。
如果找到密钥,则其数据将可供应用程序使用。
假设我们有一个名为 Spring Boot 的应用程序,它使用 properties 来读取其数据库
配置。我们可以使用以下命令创建 Kubernetes 密钥:demo
kubectl create secret generic db-secret --from-literal=username=user --from-literal=password=p455w0rd前面的命令将创建以下密钥(您可以使用 ):kubectl get secrets db-secret -o yaml
apiVersion: v1
data:
password: cDQ1NXcwcmQ=
username: dXNlcg==
kind: Secret
metadata:
creationTimestamp: 2017-07-04T09:15:57Z
name: db-secret
namespace: default
resourceVersion: "357496"
selfLink: /api/v1/namespaces/default/secrets/db-secret
uid: 63c89263-6099-11e7-b3da-76d6186905a8
type: Opaque请注意,数据包含命令提供的 Literals 的 Base64 编码版本。create
然后,您的应用程序可以使用此密钥 — 例如,通过将密钥的值导出为环境变量:
apiVersion: v1
kind: Deployment
metadata:
name: ${project.artifactId}
spec:
template:
spec:
containers:
- env:
- name: DB_USERNAME
valueFrom:
secretKeyRef:
name: db-secret
key: username
- name: DB_PASSWORD
valueFrom:
secretKeyRef:
name: db-secret
key: password您可以通过多种方式选择要使用的密钥:
-
通过列出映射 secret 的目录:
-Dspring.cloud.kubernetes.secrets.paths=/etc/secrets/db-secret,etc/secrets/postgresql如果您已将所有密钥映射到一个公共根,则可以像这样设置它们:
-Dspring.cloud.kubernetes.secrets.paths=/etc/secrets -
通过设置命名密钥:
-Dspring.cloud.kubernetes.secrets.name=db-secret -
通过定义标签列表:
-Dspring.cloud.kubernetes.secrets.labels.broker=activemq -Dspring.cloud.kubernetes.secrets.labels.db=postgresql
与 的情况一样,在可以使用多个实例的情况下,也可以使用更高级的配置。该列表使这成为可能。
例如,您可以定义以下实例:ConfigMapSecretspring.cloud.kubernetes.secrets.sourcesSecret
spring:
application:
name: cloud-k8s-app
cloud:
kubernetes:
secrets:
name: default-name
namespace: default-namespace
sources:
# Spring Cloud Kubernetes looks up a Secret named s1 in namespace default-namespace
- name: s1
# Spring Cloud Kubernetes looks up a Secret named default-name in namespace n2
- namespace: n2
# Spring Cloud Kubernetes looks up a Secret named s3 in namespace n3
- namespace: n3
name: s3在前面的示例中,如果未设置,
将在应用程序运行的命名空间中查找 name。
请参阅 namespace-resolution 以更好地了解命名空间
的申请已解决。spring.cloud.kubernetes.secrets.namespaceSecrets1
类似于 ConfigMap;如果您希望应用程序无法启动
当无法加载属性源时,可以设置 。Secretsspring.cloud.kubernetes.secrets.fail-fast=true
还可以为 ConfigMaps 等属性源启用重试。
与属性源一样,首先需要设置 .
然后你需要将 and 添加到你的 classpath 中。
可以通过设置属性来配置属性源的重试行为。SecretConfigMapspring.cloud.kubernetes.secrets.fail-fast=truespring-retryspring-boot-starter-aopSecretspring.cloud.kubernetes.secrets.retry.*
如果出于某种原因您已经有 和 在 Classpath 上
并希望启用快速失败,但不希望启用重试;您可以通过设置 来禁用重试。spring-retryspring-boot-starter-aopSecretsPropertySourcesspring.cloud.kubernetes.secrets.retry.enabled=false |
由于来自 Secrets 的数据通常被视为敏感数据,因此 actuator 的 endpoints 可以对其进行清理,使其不会以纯文本形式显示。为此,您需要设置:/env/configprops
spring.cloud.kubernetes.sanitize.secrets=true自 since 和 upwards 开始支持此设置。3.0.6
| 名字 | 类型 | 违约 | 描述 |
|---|---|---|---|
|
|
|
启用 Secret |
|
|
|
设置要查找的 secret 的名称 |
|
|
客户端命名空间 |
设置要查找的 Kubernetes 命名空间 |
|
|
|
设置用于查找密钥的标签 |
|
|
|
设置 secret 的挂载路径(示例 1) |
|
|
|
启用或禁用通过 API 使用密钥(示例 2 和 3) |
|
|
|
启用或禁用在加载 |
|
|
|
启用或禁用密钥重试。 |
|
|
|
初始重试间隔(以毫秒为单位)。 |
|
|
|
最大尝试次数。 |
|
|
|
回退的最大间隔。 |
|
|
|
下一个间隔的乘数。 |
笔记:
-
该属性的行为与基于 Map 的绑定定义的行为相同。
spring.cloud.kubernetes.secrets.labels -
该属性的行为与基于 Collection 的绑定定义的行为相同。
spring.cloud.kubernetes.secrets.paths -
出于安全原因,通过 API 访问密钥可能会受到限制。首选方法是将 secret 挂载到 Pod。
您可以在 spring-boot-camel-config 中找到使用 Secret 的应用程序示例(尽管它尚未更新以使用新项目)spring-cloud-kubernetes