11.4. 使用 Secrets PropertySource

Kubernetes 具有用于存储敏感数据的 机密 的概念,如密码、OAuth 令牌等。Spring cloud Kubernetes 插件提供与 Secret 集成,使 secret 可以被 Spring Boot 访问。

启用时的 Secrets 属性源将从以下源查找 Secret :如果找到 secret,则会将其数据提供给应用程序。

  1. 从 secret 挂载中递归读取
  2. 在应用程序后命名(请参阅 spring.application.name
  3. 匹配一些标签

请注意,默认情况下,不启用 通过 API (点 2 和 3)消耗 Secret。

11.4.1. 设置 Secret 的示例

假设我们有一个名为 demo 的 Spring Boot 应用程序,它使用属性来读取其 ActiveMQ 和 PostreSQL 配置。

amq.username
amq.password
pg.username
pg.password

这些 secret 可以外部化为 YAML 格式的 Secret

ActiveMQ Secrets
apiVersion: v1
kind: Secret
metadata:
  name: activemq-secrets
  labels:
    broker: activemq
type: Opaque
data:
  amq.username: bXl1c2VyCg==
  amq.password: MWYyZDFlMmU2N2Rm
PostreSQL Secret
apiVersion: v1
kind: Secret
metadata:
  name: postgres-secrets
  labels:
    db: postgres
type: Opaque
data:
  pg.username: dXNlcgo=
  pg.password: cGdhZG1pbgo=

11.4.2. 使用 secret

您可以以多种方式选择要使用的 Secret:

  • 通过列出映射 secret 的目录:

    -Dspring.cloud.kubernetes.secrets.paths=/etc/secrets/activemq,etc/secrets/postgres

    如果您的所有 secret 都映射到一个通用 root,您可以设置它们,如下所示:

    -Dspring.cloud.kubernetes.secrets.paths=/etc/secrets
  • 通过设置命名 secret:

    -Dspring.cloud.kubernetes.secrets.name=postgres-secrets
  • 通过定义标签列表:

    -Dspring.cloud.kubernetes.secrets.labels.broker=activemq
    -Dspring.cloud.kubernetes.secrets.labels.db=postgres

11.4.3. Secrets PropertySource 的配置属性

您可以使用以下属性来配置 Secrets 属性源:

spring.cloud.kubernetes.secrets.enabled
启用 Secrets 属性源。type 是 布尔值,默认为 true
spring.cloud.kubernetes.secrets.name
设置要查找的机密的名称。类型为 String,默认为 ${spring.application.name}
spring.cloud.kubernetes.secrets.labels
设置用于查找 secret 的标签。此属性的行为 基于映射的绑定。type 是 java.util.Map,默认为 null
spring.cloud.kubernetes.secrets.paths
设置挂载 secret 的路径。此属性的行为 基于集合的绑定。type 是 java.util.List,默认为 null
spring.cloud.kubernetes.secrets.enableApi
通过 API 启用/禁用消耗 secret。type 是 布尔值,默认为 false
注意

出于安全原因,通过 API 访问 secret 可能会受到限制,首选将 secret 挂载到 POD。