如果您需要在EDAS K8s環境中使用一些敏感的配置,例如密碼、證書等信息時,建議使用保密字典(Secret)。本文介紹如何管理保密字典。

前提條件

背景信息

您可以將一些敏感信息(如密碼、證書等信息)統一保存到保密字典,在創建或者部署應用時可以將配置信息直接注入到容器;如果后續修改了保密字典內容,只需要重新部署應用便可生效。

保密字典主要有以下三種使用場景:
  • 使用保密字典定義容器的環境變量。具體操作,請參見配置環境變量。
  • 將保密字典以文件的形式掛載到容器的指定目錄。具體操作,請參見配置掛載
  • 在保密字典中的HTTPS證書信息可以直接用于應用路由Ingress。具體操作,請參見創建應用路由(Nginx Ingress)。

創建保密字典

  1. 登錄EDAS控制臺。
  2. 在左側導航欄,選擇應用管理 > Kubernetes配置 > 保密字典。
  3. 保密字典頁面頂部菜單欄選擇地域。
  4. 保密字典頁面,單擊創建保密字典。
  5. 創建保密字典面板中,設置保密字典參數,然后單擊確定。
    創建保密字典
    參數 描述
    保密字典名稱 自定義設置保密字典名稱。支持小寫字母、短劃線(-)和數字,第一個字符必須是字母,最后一個字符不能是短劃線(-)。
    集群名稱 從下拉列表中選擇目標Kubernetes集群。
    K8s命名空間 K8s Namespace通過將系統內部的對象分配到不同的Namespace中,形成邏輯上分組的不同項目、小組或用戶組,便于不同的分組在共享使用整個集群的資源的同時還能被分別管理。
    • default:沒有其他命名空間的對象的默認命名空間。
    • kube-system:系統創建的對象的命名空間。
    • kube-public:此命名空間是自動創建的,并且可供所有用戶(包括未經過身份驗證的用戶)讀取。
    類型 選擇創建的保密字典類型,目前支持創建OpaqueTLS證書兩類。
    • Opaque:用戶自定義的任意數據。當您選擇此項時,會呈現Base64編碼數據復選框。

      當您想上傳二進制數據轉化成Base64編碼的文本時,可選中Base64編碼數據復選框。勾選后,保密字典須配置已經過Base64編碼處理的數據,EDAS將不再對數據進行編碼。

    • TLS證書:用于保存TLS證書及其相關密鑰。主要用在應用路由Ingress場景,支持將外部HTTPS請求路由到內部Service的路由規則集合。
    Opaque 創建Opaque類型的保密字典,需要設置以下參數:
    • 映射參數:
      • :敏感信息的Key。支持字母、數字、短劃線(-)、下劃線(_)和半角句號(.)。
      • :敏感信息的Value。

      您也可以單擊導入配置,直接從本地導入配置文件,數據值大小不能超過1024K,支持json、yaml、properties類型。

    • 當您想上傳二進制數據轉化成Base64編碼的文本時,可選中Base64編碼數據復選框。勾選后,保密字典須配置已經過Base64編碼處理的數據,EDAS將不再對數據進行編碼。

    TLS證書 創建TLS證書類型的保密字典,支持創建自簽名證書和手動創建。
    • 手動創建:需要手動輸入Cert(TLS證書的公鑰)和Key(TLS證書的私鑰)。
    • 創建自簽名證書:通過配置域名密鑰長度證書起始時間證書失效時間生成證書。

查看保密字典

  1. 登錄EDAS控制臺。
  2. 在左側導航欄,選擇應用管理 > Kubernetes配置 > 保密字典
  3. 保密字典頁面頂部菜單欄選擇地域。
  4. 保密字典頁面,單擊目標保密字典后的詳情。
    您可以通過保密字典名稱、集群名稱、集群IDK8s命名空間篩選目標保密字典。
  5. 在保密字典的詳情頁面,查看該保密字典的基本信息,以及保密字典包含的數據信息。
    對于TLS類型證書可在詳情頁查看證書的詳細信息,包括證書關聯域名、證書狀態、證書服務提供商等。

修改保密字典

  1. 登錄EDAS控制臺。
  2. 在左側導航欄,選擇應用管理 > Kubernetes配置 > 保密字典。
  3. 保密字典頁面頂部菜單欄選擇地域。
  4. 保密字典頁面找到目標配置項,單擊右側的編輯
    您可以通過保密字典名稱、集群名稱、集群IDK8s命名空間篩選目標保密字典。
  5. 在編輯面板中,修改保密字典的映射名稱和值,然后單擊確定。
    說明 如果已經有應用使用該保密字典,請在編輯完成后重新部署應用,以保證編輯后的保密字典信息在應用中生效。

查看關聯路由

  1. 登錄EDAS控制臺
  2. 在左側導航欄,選擇應用管理 > Kubernetes配置 > 保密字典。
  3. 保密字典頁面頂部菜單欄選擇地域。
  4. 保密字典頁面找到目標配置項,單擊右側的查看關聯應用。
    您可以通過保密字典名稱、集群名稱、集群IDK8s命名空間篩選目標保密字典。
  5. 在彈出的頁面查看字典關聯的應用路由,單擊目標應用路由名稱可查看應用路由基本信息。

刪除保密字典

  1. 登錄EDAS控制臺。
  2. 在左側導航欄,選擇應用管理 > Kubernetes配置 > 保密字典。
  3. 保密字典頁面頂部菜單欄選擇地域。
  4. 保密字典頁面找到目標配置項,單擊右側的刪除
    您可以通過保密字典名稱集群名稱、集群IDK8s命名空間篩選目標保密字典。
  5. 在確認刪除對話框,單擊確定
    說明 如果已經有應用使用該保密字典,建議解除使用關系后再進行刪除。