Fatal编程技术网
  • kubernetes/
  • Kubernetes 如何设置机密的默认模式?

Kubernetes 如何设置机密的默认模式?

kubernetes

Kubernetes 如何设置机密的默认模式?,kubernetes,Kubernetes,创建机密时,它们归root所有: / # ls -al /var/run/secrets/ total 0 drwxr-xr-x 4 root root 52 Apr 16 21:56 . drwxr-xr-x 1 root root 21 Apr 16 21:56 .. drwxr-xr-x 3 root root 28 Apr 16 21:56 eks.amazonaws.com dr

创建机密时,它们归root所有:

/ # ls -al /var/run/secrets/
total 0
drwxr-xr-x    4 root     root            52 Apr 16 21:56 .
drwxr-xr-x    1 root     root            21 Apr 16 21:56 ..
drwxr-xr-x    3 root     root            28 Apr 16 21:56 eks.amazonaws.com
drwxr-xr-x    3 root     root            28 Apr 16 21:56 kubernetes.io
我希望它们是0700。我知道,对于常规的秘密卷,我可以使用

            - name: vol-sec-smtp
              secret:
                defaultMode: 0600
                secretName: smtp
它将挂载(至少是秘密文件本身)为0600。我可以直接从yaml文件中使用位于
/var/run/secrets
的机密实现同样的功能吗?

您可以禁用默认服务帐户令牌挂载,然后按照显示的方式自行挂载。

您可以禁用默认服务帐户令牌挂载,然后按照显示的方式自行挂载。

我该怎么办那个?automountServiceAccountToken:像其他秘密一样吗?每个服务帐户的令牌位于名为
$name token-$random
的秘密中。找到密码,然后像正常一样在
secretName
中设置它。
每个服务帐户的令牌都位于名为…的密码中。
这是缺少的第一部分,谢谢!)如果您
kubectl获得pod-o yaml
任何“正常”pod(即没有automount false),您将看到它为您注入了额外的卷和卷数,但它们在其他方面并不特殊。唯一的神奇之处在于它可以为你查找秘密的名称,因为如果我们实现某种定时旋转,理论上这可能会随着时间的推移而改变,尽管目前没有。我该怎么做呢?automountServiceAccountToken:False和其他任何秘密一样?每个服务帐户的令牌位于名为
$name token-$random
的秘密中。找到密码,然后像正常一样在
secretName
中设置它。
每个服务帐户的令牌都位于名为…的密码中。
这是缺少的第一部分,谢谢!)如果您
kubectl获得pod-o yaml
任何“正常”pod(即没有automount false),您将看到它为您注入了额外的卷和卷数,但它们在其他方面并不特殊。唯一的神奇之处在于它能帮你找到秘密的名字,因为理论上,如果我们实现某种定时旋转,它会随着时间的推移而改变,尽管目前还没有。