zoukankan      html  css  js  c++  java
  • K8S从secret文件生成密钥后,如何更新Kubernetes上的密钥呢?

    K8S从secret文件生成密钥后,如何更新Kubernetes上的密钥呢?

     

     

    前提

    生成密钥配置

    kubectl -n cattle-system create secret tls tls-rancher-ingress --cert=./tls.crt --key=./tls.key

    方法一

    相信大多数的人第一反应,是先删除,再重新创建secret

    kubectl delete secret tls-rancher-ingress -n cattle-systemkubectl -n cattle-system create secret tls tls-rancher-ingress --cert=./tls.crt --key=./tls.key

    但是此方法存在明显的问题:在删除新建secret的空窗期,是存在风险,平时测试或者不大常用的服务还可以尝试,但是在访问活跃的情况下,会导致大量的异常请求。

    方法二

    通过--dry-run参数预览,然后apply

    kubectl -n cattle-system create secret tls tls-rancher-ingress --cert=./tls.crt --key=./tls.key --dry-run -o yaml |kubectl apply  -f -

    方法二在创建secret的时候,添加了--dry-run的参数,具体使用方法可参考https://kubernetes.io/docs/reference/generated/kubectl/kubectl-commands,该参数的主要作用是预览要发送到集群的对象,而无需真正提交。该方法较方法一更优雅简单

    方法三

    使用jq的=或|=运算符来动态更新密钥

    TLS_KEY=$(base64 < "./tls.key" | tr -d '
    ')TLS_CRT=$(base64 < "./tls.crt" | tr -d '
    ')
    kubectl get secrets tls-rancher-ingress -o json         | jq '.data["tls.key"] |= "$TLS_KEY"'         | jq '.data["tls.crt"] |= "$TLS_CRT"'         | kubectl apply -f -

    方法三尽管它可能不像kubectl create secret tls --dry-run方法那样优雅或简单,但从技术上讲,此方法实际上是在更新值,而不是删除/重新创建它们。还需要jqbase64(或openssl enc -base64)命令,tr是一种常用的Linux实用程序,用于修剪尾随换行符。

    K8S从secret文件生成密钥后,如何更新Kubernetes上的密钥呢?

  • 相关阅读:
    php tp6 踩坑(1)使用cookie助手函数 接口报500错误,但却没用错误信息问题
    php 杂项(2)--md5加密
    php tp6学习笔记(100) 正则表达式
    php 杂项(1)--单引号和双引号的区别
    pins和ports区别
    analyze&elaborate
    编译前后保存database
    DC层次化设计
    synthesis建立和保存
    DC综合过程和目标
  • 原文地址:https://www.cnblogs.com/cheyunhua/p/13358735.html
Copyright © 2011-2022 走看看