Secret 配置文件

本文档介绍 Secret 配置文件中的字段。创建准备好的 Secret 时，您可以使用 Secret 配置文件。

Secret 配置文件包含一组 Secret 组。每个组都有以下一项或多项的 Kubernetes 命名空间和凭据的名称：

您可以提供 Secret 配置文件作为 gkectl create secrets 命令的输入。对于每个 Secret 组，该命令都会创建 Kubernetes Secret：组中的每个凭据都有一个 Secret。该命令会在管理员集群中的指定 Kubernetes 命名空间中创建 Secret。

首先，为 Secret 配置文件创建模板：

gkectl create-config secrets

模板

点击查看生成的模板。

apiVersion: v1
kind: ClusterSecrets
# List of secret groups; for admin clusters it allows only one group
secretGroups:
# (Required for user clusters only) A unique name for secret namespace; it needs to
# have prefix 'gke-onprem-secrets-' (example: gke-onprem-secrets-test)
‐ namespace: ""
  # Secrets in this namespace
  secrets:
    # The credentials for vCenter
    vCenter:
      username: ""
      password: ""
    # The credentials for f5BigIP
    f5BigIP:
      username: ""
      password: ""
    # The GCP service account key used to pull GKE images
    componentAccessServiceAccount:
      serviceAccountKeyPath: ""
    # The GCP service account key used to register the cluster
    registerServiceAccount:
      serviceAccountKeyPath: ""
    # The GCP service account key used to send logs and metrics from the cluster
    stackdriverServiceAccount:
      serviceAccountKeyPath: ""
    # The GCP service account key used to send audit logs from the cluster
    cloudAuditLoggingServiceAccount:
      serviceAccountKeyPath: ""
    # # (Optional) The GCP service account key used by gke-usage-metering to report to BigQuery;
    # # Used by user clusters only
    # usageMeteringServiceAccount:
    #   serviceAccountKeyPath: ""
    # The credentials for private registry
    privateRegistry:
      username: ""
      password: ""

填写 Secret 配置文件中的字段

`secretGroups`

对象数组。每个对象都有一个 Kubernetes 命名空间的名称和一组凭据。

对于管理员集群，仅允许一个 Secret 组。

`secretGroups[i].namespace`

仅限用户集群。

您为包含一组 Secret 的 Kubernetes 命名空间选择的名称。名称必须以 gke-onprem-secrets- 开头。

示例：

secretGroups:
- namespace: "gke-onprem-secrets-bob"
  secrets:
    ...
- namespace: "gke-onprem-secrets-alice"
  secrets:
    ...

`secretGroups[i].secrets.vCenter`

vCenter 账号的用户名和密码。

示例：

secretGroups:
- namespace: "gke-onprem-secrets-bob"
  secrets:
    vCenter:
      username: "vc-bob"
      password: "U$icUKEW#INE"

`secretGroups[i].secrets.f5BigIP`

F5 BIG-IP 账号的用户名和密码。

示例：

secretGroups:
- namespace: "gke-onprem-secrets-bob"
  secrets:
    f5BigIP:
      username: "f5-bob"
      password: "exvQVx^@L%F1"

`secretGroups[i].secrets.componentAccessServiceAccount.serviceAccountKeyPath`

组件访问服务账号的 JSON 密钥文件的路径。

secretGroups:
- namespace: "gke-onprem-secrets-bob"
  secrets:
    componentAccessServiceAccount:
      serviceAccountKeyPath: "my-folder/component-access-key.json"

`secretGroups[i].secrets.registerServiceAccount.serviceAccountKeyPath`

连接和注册服务账号的 JSON 密钥文件的路径。

secretGroups:
- namespace: "gke-onprem-secrets-bob"
  secrets:
    registerServiceAccount:
      serviceAccountKeyPath: "my-folder/connect-register-key.json"

`secretGroups[i].secrets.stackdriverServiceAccount.serviceAccountKeyPath`

日志记录和监控服务账号的 JSON 密钥文件的路径。

示例：

secretGroups:
- namespace: "gke-onprem-secrets-bob"
  secrets:
    stackdriverServiceAccount:
      serviceAccountKeyPath: "my-folder/log-mon-key.json"

`secretGroups[i].secrets.cloudAuditLoggingServiceAccount.serviceAccountKeyPath`

审核日志记录服务账号的 JSON 密钥文件的路径。

secretGroups:
- namespace: "gke-onprem-secrets-bob"
  secrets:
    cloudAuditLoggingServiceAccount:
      serviceAccountKeyPath: "my-folder/audit-log-key.json"

`secretGroups[i].secrets.usageMeteringServiceAccount.serviceAccountKeyPath`

仅限用户集群。

用量计量服务账号的 JSON 密钥文件的路径。

secretGroups:
- namespace: "gke-onprem-secrets-bob"
  secrets:
    usageMeteringServiceAccount:
      serviceAccountKeyPath: "my-folder/usage-metering-key.json"

`secretGroups[i].secrets.privateRegistry`

私有注册表的用户名和密码（如果使用私有注册表）。

示例：

secretGroups:
- namespace: "gke-onprem-secrets-bob"
  secrets:
    privateRegistry:
      username: "registry-user-bob"
      password: "f[vuV3^@L*4g"