Utilizzo dei secret

Scopri come creare un secret e configurare i servizi e le revisioni di Knative serving per utilizzarlo.

Un caso d'uso comune per un servizio è accedere ad applicazioni di terze parti tramite nomi utente e password. Per Google Kubernetes Engine, è buona prassi memorizzare questo tipo di informazioni sensibili in un oggetto Kubernetes Secret.

Per fornire ai container l'accesso ai secret, puoi montare ogni secret come volume, rendendo le voci del secret disponibili per il container come file. Devi montare il secret per assicurarti di ottenere la versione più recente di ogni secret quando viene letto.

Puoi anche passare un secret utilizzando variabili di ambiente.

Creazione di un secret

I passaggi riportati di seguito mostrano semplicemente come creare un secret, ma esistono diversi modi per farlo, come spiegato nell'argomento Secret.

Quando crei un secret, assicurati di farlo nello stesso spazio dei nomi del cluster in cui è in esecuzione il servizio di pubblicazione Knative. In questi esempi viene utilizzato lo spazio dei nomi default.

Per creare un secret nello spazio dei nomi default del cluster:

  • Crea un secret utilizzando un file:

    echo -n 'devuser' > ./username.txt
echo -n 'S!B\*d$zDsb' > ./password.txt
kubectl create secret generic user-creds --from-file=./username.txt --from-file=./password.txt

  • Crea un secret utilizzando solo un comando kubectl:

    kubectl create secret generic user-creds --from-literal=username=devuser --from-literal=password='S!B\*d$zDsb'

Rendere un secret disponibile per un servizio

Puoi associare i secret a un servizio utilizzando la Google Cloud console o gli strumenti a riga di comando quando esegui il deployment di un nuovo servizio o aggiorni un servizio esistente e esegui il deployment di una revisione:

Console

  1. Vai alla pubblicazione Knative nella Google Cloud console:

    Vai a Knative serving

  2. Fai clic su Crea servizio se stai configurando un nuovo servizio di destinazione del deployment. Se stai configurando un servizio esistente, fai clic sul servizio, poi su Modifica ed esegui il deployment di una nuova revisione.

  3. In Impostazioni avanzate, fai clic su Variabili e secret.

  4. In Fai riferimento a un secret, seleziona il secret preferito dal menu a discesa.

    • Nel menu a discesa Metodo di riferimento, seleziona il modo in cui vuoi utilizzare il secret, montato come volume o esposto come variabili di ambiente.
    • Se utilizzi il montaggio come volume, specifica il percorso e poi fai clic su Fine.
    • Se le esponi come variabili di ambiente:
      1. Fornisci il nome della variabile e seleziona il valore secret corrispondente dal menu a discesa Chiave.
      2. Fai clic su Aggiungi per aggiungere un altro valore segreto.
      3. Fornisci il nome della variabile e seleziona il valore secret corrispondente dal menu a discesa Chiave.
      4. Fai clic su Fine.

  5. Fai clic su Avanti per passare alla sezione successiva.

  6. Nella sezione Configura il funzionamento del trigger per questo servizio, seleziona la connettività che vuoi utilizzare per richiamare il servizio.

  7. Fai clic su Crea per eseguire il deployment dell'immagine in Knative Serving e attendi il completamento del deployment.

gcloud

Puoi utilizzare Google Cloud CLI per associare i segreti ai nuovi servizi o per aggiornare i servizi esistenti:

  • Per i servizi esistenti, aggiorna un segreto eseguendo il comando gcloud run services update con uno dei seguenti parametri:

    Esempio:

    gcloud run services update SERVICE --update-secrets KEY1=VALUE1,KEY2=VALUE2

    Sostituisci:

    • SERVICE con il nome del servizio.
    • KEY1=VALUE1,KEY2=VALUE2 con un elenco di coppie di nome e valore per ogni segreto separato da virgole. Per ogni KEY specificato, inizia il percorso con una barra / per montare un segreto come file. Facoltativamente, puoi escludere la barra verticale per montare il secret come variabile di ambiente. Per ogni VALUE, specifica il nome del secret. Come specificare più parametri.

      • Opzioni del parametro del comando

      Per specificare più insiemi di coppie chiave-valore, puoi indicare più parametri per la leggibilità. Esempio: 
      [...]
--update-secrets "KEY=VALUE1" \
--update-secrets "KEY=VALUE2" \
--update-secrets "KEY=VALUE3"

  • Per i nuovi servizi, associa un segreto eseguendo il comando gcloud run deploy con il parametro --set-secrets:

    gcloud run deploy SERVICE --image=IMAGE_URL --set-secrets KEY1=VALUE1,KEY2=VALUE2

    Sostituisci:

    • IMAGE_URL con un riferimento all'immagine del container, ad esempio gcr.io/cloudrun/hello.
    • SERVICE con il nome del servizio.
    • KEY1=VALUE1,KEY2=VALUE2 con un elenco di coppie di nome e valore per ogni segreto separato da virgole. Per ogni KEY specificato, inizia il percorso con una barra / per montare un segreto come file. Facoltativamente, puoi escludere la barra verticale per montare il secret come variabile di ambiente. Per ogni VALUE, specifica il nome del secret. Come specificare più parametri.

      • Opzioni del parametro del comando

      Per specificare più insiemi di coppie chiave-valore, puoi indicare più parametri per la leggibilità. Esempio: 
      [...]
--update-secrets "KEY=VALUE1" \
--update-secrets "KEY=VALUE2" \
--update-secrets "KEY=VALUE3"