Comment puis-je mettre à jour un secret sur Kubernetes lorsqu'il est généré à partir d'un fichier?

J'ai créé un secret à l'aide de kubectl create secret generic production-tls --from-file=./tls.key --from-file=./tls.crt.

Si j'aimerais mettre à jour les valeurs - comment puis-je faire cela?

InformationsquelleAutor Chris Stryczynski | 2017-08-25
  1. 123

    Cela devrait fonctionner:

    kubectl create secret generic production-tls \
    --from-file=./tls.key --from-file=./tls.crt --dry-run -o yaml | 
  kubectl apply -f -
    • J'aime l'utilisation habile de la sortie de yaml et appliquer la commande. +1
    • Ce aussi travailler avec --from-literal
    • Très belle réponse! Fonctionne comme un charme.
    • C'est très malin, je l'aime!
    • Dans la dernière version de k8s, vous aurez besoin de fournir --save-config à la kubectl create secret afin d'éviter un CLI d'avertissement.
    InformationsquelleAutor Janos Lenart
  2. 35

    Vous pouvez supprimer et recréer immédiatement le secret:

    kubectl delete secret production-tls
kubectl create secret generic production-tls --from-file=./tls.key --from-file=./tls.crt

    - Je mettre ces commandes dans un script, le premier appel, vous recevrez un avertissement à ce sujet (pas encore) existant secret, mais cela fonctionne.

    • ce qui se passe avec les gousses tandis que le secret est supprimé?
    • l'exécution des gousses ne sont pas touchés, peu importe si elles obtiennent les secrets via des variables d'environnement ou montés comme des volumes. Si un pod j'ai commencé dans le temps alors qu'il n'y a pas de secret, ils ont une erreur; par conséquent Janos réponse est la meilleure façon d'aller.
    • Oui, je vois, à l'aide de apply fait beaucoup plus de sens, merci!
    • Ce n'était pas de travail pour moi parce que j'ai oublié le --namespace=kube-system
    • dépend de ce que l'espace de noms que vous voulez ajouter le secret, si ce n'est par défaut que bien sûr, vous devez ajouter l'espace de noms d'argument.
    InformationsquelleAutor P.J.Meisch
  3. 5

    Alternativement, vous pouvez également utiliser jq's = ou |= opérateur de mettre à jour les secrets à la volée. 

    TLS_KEY=$(base64 < "./tls.key" | tr -d '\n')
TLS_CRT=$(base64 < "./tls.crt" | tr -d '\n')
kubectl get secrets production-tls -o json \
        | jq '.data["tls.key"] |= "$TLS_KEY"' \
        | jq '.data["tls.crt"] |= "$TLS_CRT"' \
        | kubectl apply -f -

    Bien qu'il pourrait ne pas être élégant, ou la simple kubectl create secret generic --dry-run approche, techniquement, cette approche est véritablement mise à jour des valeurs plutôt que de les supprimer/recréer. Vous aurez également besoin de jq et base64 (ou openssl enc -base64) les commandes disponibles, tr est un courant de Linux utilitaire pour la coupe de fuite des retours à la ligne.

    Voir ici pour plus de détails sur jq mise à jour opérateur |=.

    • Belle utilisation de jq etc. Point mineur - tr est un courant de commande de Linux, pas un shell construit-dans - voir type tr sortie en bash.
    • je vous remercie pour ça! J'ai fixé ma réponse en conséquence.
    InformationsquelleAutor Devy