azure - 终于将 Key Vault 与 AKS 集成...但不清楚我需要做什么，如果之后有任何事情要读入环境变量

Question

文档有点令人困惑，有两组:

• https://learn.microsoft.com/en-us/azure/key-vault/general/key-vault-integrate-kubernetes
• https://azure.github.io/secrets-store-csi-driver-provider-azure/configurations/identity-access-modes/pod-identity-mode/

无论如何，我可以执行以下操作来查看 Pod 中的 secret :

kubectl exec -it nginx-secrets-store-inline -- ls /mnt/secrets-store/
kubectl exec -it nginx-secrets-store-inline -- cat /mnt/secrets-store/secret1

这基本上是我见过的文档和教程的结束。

很酷...但是需要做什么才能将它们放入 Pod 中运行的应用程序的环境变量中？

例如，这就是我在执行 kubectl create Secret generic app-secrets --from-literal=PGUSER=$pguser... 时设置 API 部署的方式::

apiVersion: apps/v1
kind: Deployment
metadata:
  name: api-deployment-dev
  namespace: production
spec:
  replicas: 3
  revisionHistoryLimit: 5
  selector:
    matchLabels:
      component: api
  template:
    metadata:
      labels:
        component: api
    spec:
      containers:
        - name: api
          image: api
          ports:
            - containerPort: 5000
          env:
            - name: PGDATABASE
              valueFrom:
                secretKeyRef:
                  name: k8stut-dev-secrets
                  key: PGDATABASE
            - name: PGHOST
              value: postgres-cluster-ip-service-dev
            - name: PGPORT
              valueFrom:
                secretKeyRef:
                  name: k8stut-dev-secrets
                  key: PGPORT
            - name: PGUSER
              valueFrom:
                secretKeyRef:
                  name: k8stut-dev-secrets
                  key: PGUSER
            - name: PGPASSWORD
              valueFrom:
                secretKeyRef:
                  name: k8stut-dev-secrets
                  key: PGPASSWORD
          volumeMounts:
            - mountPath: /mnt/file-storage
              name: file-storage-dev
              subPath: file-storage
      volumes:
        - name: file-storage-dev
          persistentVolumeClaim:
            claimName: file-storage-dev
---
apiVersion: v1
kind: Service
metadata:
  name: api-cluster-ip-service-dev
  namespace: development
spec:
  type: ClusterIP
  selector:
    component: api
  ports:
    - port: 5000
      targetPort: 5000

现在需要对所有这些做什么？

env:
  - name: PGDATABASE
    valueFrom:
      secretKeyRef:
        name: k8stut-dev-secrets
        key: PGDATABASE

Answer 1

CSI secret 存储驱动程序是一个容器存储接口(interface)驱动程序 - 它只能挂载到文件。

对于 postgres，您可以使用 docker secrets environment variables指向您正在安装 secret 的路径，它将从文件中读取它。这是通过将 _FILE 附加到变量名称来实现的。

根据该文档:目前，仅 POSTGRES_INITDB_ARGS、POSTGRES_PASSWORD、POSTGRES_USER 和 POSTGRES_DB 支持此功能。

- name: POSTGRES_DB_FILE
  value: /mnt/secrets-store/db-secret

在一般情况下，如果您需要环境变量中的 secret ，我通常会在容器中使用启动脚本来读取 CSI 安装的 secret 并导出它们。如果它是一个自定义容器，通常很容易添加；如果它是标准容器，您可以 override the command使用一小组 shell 命令，可以在调用容器的正常 ENTRYPOINT 之前通过读取文件来导出适当的变量。