Kubernetes Secrets vs ConfigMaps

Sono stati utilizzati i segreti di Kubernetes aggiornati. Ora abbiamo anche ConfigMaps.Kubernetes Secrets vs ConfigMaps

Qual è la modalità preferita in avanti: i segreti o le mappe di configurazione?

P.S. Dopo poche iterazioni abbiamo stabilizzato al seguente regola:

configMaps sono per dominio soluzione (possono essere condivisi attraverso microservices all'interno del dominio, ma alla fine sono le voci unico scopo di configurazione)
segreti sono condivisi tra domini di soluzioni, di solito rappresentano sistemi o database di terze parti

2016-04-28 Evgeny Minkevich

Sono l'autore di entrambe queste funzionalità. L'idea è che si dovrebbe:

Usare i segreti per le cose che sono in realtà segreta come chiavi API, credenziali, ecc
Utilizza mappa di configurazione per i dati di configurazione non-segrete

In futuro ci saranno probabilmente alcuni elementi di differenziazione per i segreti come la rotazione o il supporto per il supporto dell'API segreta w/HSM, ecc. In generale ci piacciono le API basate sull'intento e l'intento è decisamente diverso per i dati segreti rispetto alle normali vecchie configurazioni.

Spero che questo aiuti.

fonte

2016-04-28 21:12:26

HSMs +++++++++++++. Super cool –

Una domanda che si spera chiarendo. Perché sembra che i segreti siano ancora archiviati come testo semplice (base64), quindi la denominazione potrebbe essere un po 'fuorviante al momento, se me lo chiedi da allora. O potresti approfondire ciò? Sono d'accordo, quell'API basata sull'intenzione è la strada da percorrere. –

È possibile utilizzare un segreto all'interno di una mappa di configurazione? È abbastanza comune che un file di configurazione dell'applicazione contenga sia dati segreti che non segreti. Ad esempio, tomcat server.xml contiene sia numeri di porta (non segreti) che password di arresto (segreti) ... Sarebbe bello rappresentarlo come una singola risorsa ... – Lucas

Kubernetes Secrets vs ConfigMaps

risposta

Problemi correlati