我正在尝试在 Kubernetes 上部署一种需要在 Pod 之间共享私有数据的技术。在我的环境中,有一个根 CA 创建中间 CA 连接所需的 .pem 文件,因此必须创建和共享该文件。此外,根CA可以定期更改该.pem文件,因此我无法创建RCA,kubectl副本,然后在填充该数据的情况下启动ICA。
我的第一个方法是创建一个密钥并从 RCA pod 保持更新,但是,据我所知,pod 如果没有一些我在生产环境中根本不想要的管理员权限,就无法创建密钥。我也考虑过在它们之间使用一些 NFS 卷来共享它,但是通过 NFS 发布私有数据根本不安全,并且仅仅为了共享一个文件而保持 NFS 卷/服务器的活动有时对我来说似乎有点过分。SSH/SCP也是我考虑过的解决方案,但看起来它也有自己的问题,我还必须打开一些我不想打开的端口。
我已经在这个问题上停留了很多时间,不知道如何解决它。我希望它足够清晰,可以得到一些帮助。谢谢。
我的建议是创建一个 cronJob 对象,该对象使用 kubectl 的图像更新密钥。此外,为了确保您的 Pod 使用最后一个 CA 文件,您可以使用一个操作员来监视机密中的更改,并确保每次更改时重新加载与 CA 文件相关的 Pod。
我过去使用过并工作的运算符是 Reloader,您可以使用它在 pod 上放置一个注释,链接您需要观看的机密。