如果您需要在EDAS K8s環(huán)境中使用一些敏感的配置,例如密碼、證書等信息時(shí),建議使用保密字典(Secret)。本文介紹如何管理保密字典。

前提條件

背景信息

您可以將一些敏感信息(如密碼、證書等信息)統(tǒng)一保存到保密字典,在創(chuàng)建或者部署應(yīng)用時(shí)可以將配置信息直接注入到容器;如果后續(xù)修改了保密字典內(nèi)容,只需要重新部署應(yīng)用便可生效。

保密字典主要有以下三種使用場(chǎng)景:

創(chuàng)建保密字典

  1. 登錄EDAS控制臺(tái)。
  2. 在左側(cè)導(dǎo)航欄,選擇應(yīng)用管理 > Kubernetes配置 > 保密字典。
  3. 保密字典頁(yè)面頂部菜單欄選擇地域。
  4. 保密字典頁(yè)面,單擊創(chuàng)建保密字典。
  5. 創(chuàng)建保密字典面板中,設(shè)置保密字典參數(shù),然后單擊確定。
    創(chuàng)建保密字典
    參數(shù) 描述
    保密字典名稱 自定義設(shè)置保密字典名稱。支持小寫字母、短劃線(-)和數(shù)字,第一個(gè)字符必須是字母,最后一個(gè)字符不能是短劃線(-)。
    集群名稱 從下拉列表中選擇目標(biāo)Kubernetes集群。
    K8s命名空間 K8s Namespace通過(guò)將系統(tǒng)內(nèi)部的對(duì)象分配到不同的Namespace中,形成邏輯上分組的不同項(xiàng)目、小組或用戶組,便于不同的分組在共享使用整個(gè)集群的資源的同時(shí)還能被分別管理。
    • default:沒(méi)有其他命名空間的對(duì)象的默認(rèn)命名空間。
    • kube-system:系統(tǒng)創(chuàng)建的對(duì)象的命名空間。
    • kube-public:此命名空間是自動(dòng)創(chuàng)建的,并且可供所有用戶(包括未經(jīng)過(guò)身份驗(yàn)證的用戶)讀取。
    類型 選擇創(chuàng)建的保密字典類型,目前支持創(chuàng)建OpaqueTLS證書兩類。
    • Opaque:用戶自定義的任意數(shù)據(jù)。當(dāng)您選擇此項(xiàng)時(shí),會(huì)呈現(xiàn)Base64編碼數(shù)據(jù)復(fù)選框。

      當(dāng)您想上傳二進(jìn)制數(shù)據(jù)轉(zhuǎn)化成Base64編碼的文本時(shí),可選中Base64編碼數(shù)據(jù)復(fù)選框。勾選后,保密字典須配置已經(jīng)過(guò)Base64編碼處理的數(shù)據(jù),EDAS將不再對(duì)數(shù)據(jù)進(jìn)行編碼。

    • TLS證書:用于保存TLS證書及其相關(guān)密鑰。主要用在應(yīng)用路由Ingress場(chǎng)景,支持將外部HTTPS請(qǐng)求路由到內(nèi)部Service的路由規(guī)則集合。
    Opaque 創(chuàng)建Opaque類型的保密字典,需要設(shè)置以下參數(shù):
    • 映射參數(shù):
      • :敏感信息的Key。支持字母、數(shù)字、短劃線(-)、下劃線(_)和半角句號(hào)(.)。
      • :敏感信息的Value。

      您也可以單擊導(dǎo)入配置,直接從本地導(dǎo)入配置文件,數(shù)據(jù)值大小不能超過(guò)1024K,支持json、yaml、properties類型。

    • 當(dāng)您想上傳二進(jìn)制數(shù)據(jù)轉(zhuǎn)化成Base64編碼的文本時(shí),可選中Base64編碼數(shù)據(jù)復(fù)選框。勾選后,保密字典須配置已經(jīng)過(guò)Base64編碼處理的數(shù)據(jù),EDAS將不再對(duì)數(shù)據(jù)進(jìn)行編碼。

    TLS證書 創(chuàng)建TLS證書類型的保密字典,支持創(chuàng)建自簽名證書和手動(dòng)創(chuàng)建。
    • 手動(dòng)創(chuàng)建:需要手動(dòng)輸入Cert(TLS證書的公鑰)和Key(TLS證書的私鑰)。
    • 創(chuàng)建自簽名證書:通過(guò)配置域名、密鑰長(zhǎng)度證書起始時(shí)間、證書失效時(shí)間生成證書。

查看保密字典

  1. 登錄EDAS控制臺(tái)。
  2. 在左側(cè)導(dǎo)航欄,選擇應(yīng)用管理 > Kubernetes配置 > 保密字典
  3. 保密字典頁(yè)面頂部菜單欄選擇地域。
  4. 保密字典頁(yè)面,單擊目標(biāo)保密字典后的詳情。
    您可以通過(guò)保密字典名稱、集群名稱、集群IDK8s命名空間篩選目標(biāo)保密字典。
  5. 在保密字典的詳情頁(yè)面,查看該保密字典的基本信息,以及保密字典包含的數(shù)據(jù)信息。
    對(duì)于TLS類型證書可在詳情頁(yè)查看證書的詳細(xì)信息,包括證書關(guān)聯(lián)域名、證書狀態(tài)、證書服務(wù)提供商等。

修改保密字典

  1. 登錄EDAS控制臺(tái)。
  2. 在左側(cè)導(dǎo)航欄,選擇應(yīng)用管理 > Kubernetes配置 > 保密字典
  3. 保密字典頁(yè)面頂部菜單欄選擇地域。
  4. 保密字典頁(yè)面找到目標(biāo)配置項(xiàng),單擊右側(cè)的編輯
    您可以通過(guò)保密字典名稱、集群名稱、集群IDK8s命名空間篩選目標(biāo)保密字典。
  5. 在編輯面板中,修改保密字典的映射名稱和值,然后單擊確定。
    說(shuō)明 如果已經(jīng)有應(yīng)用使用該保密字典,請(qǐng)?jiān)诰庉嬐瓿珊笾匦虏渴饝?yīng)用,以保證編輯后的保密字典信息在應(yīng)用中生效。

查看關(guān)聯(lián)路由

  1. 登錄EDAS控制臺(tái)
  2. 在左側(cè)導(dǎo)航欄,選擇應(yīng)用管理 > Kubernetes配置 > 保密字典。
  3. 保密字典頁(yè)面頂部菜單欄選擇地域。
  4. 保密字典頁(yè)面找到目標(biāo)配置項(xiàng),單擊右側(cè)的查看關(guān)聯(lián)應(yīng)用
    您可以通過(guò)保密字典名稱、集群名稱、集群IDK8s命名空間篩選目標(biāo)保密字典。
  5. 在彈出的頁(yè)面查看字典關(guān)聯(lián)的應(yīng)用路由,單擊目標(biāo)應(yīng)用路由名稱可查看應(yīng)用路由基本信息。

刪除保密字典

  1. 登錄EDAS控制臺(tái)
  2. 在左側(cè)導(dǎo)航欄,選擇應(yīng)用管理 > Kubernetes配置 > 保密字典。
  3. 保密字典頁(yè)面頂部菜單欄選擇地域。
  4. 保密字典頁(yè)面找到目標(biāo)配置項(xiàng),單擊右側(cè)的刪除
    您可以通過(guò)保密字典名稱集群名稱、集群IDK8s命名空間篩選目標(biāo)保密字典。
  5. 在確認(rèn)刪除對(duì)話框,單擊確定
    說(shuō)明 如果已經(jīng)有應(yīng)用使用該保密字典,建議解除使用關(guān)系后再進(jìn)行刪除。