5 commentaires
La méthode standard est d'utiliser un Secret Kubernetes. Tu crées ton secret via kubectl create secret generic, puis tu l'injectes comme une variable d'environnement dans ton manifeste.
env:
- name: API_TOKEN
valueFrom:
secretKeyRef:
name: mon-secret
key: tokenEt si je veux éviter que le token soit stocké en clair dans etcd, comment je fais ?
Dans ce cas, il faut activer le Encryption at Rest sur ton cluster etcd. Sinon, tu peux utiliser un outil comme HashiCorp Vault avec le sidecar injector qui monte le secret directement en mémoire (tmpfs).
Je vais regarder du côté de l'encryption at rest, c'est plus simple à mettre en place que Vault pour l'instant.
Problème résolu en utilisant les Secrets natifs avec chiffrement au repos. Merci pour les conseils.
Laisser une réponse
Vous devez être connecté pour poster un message !
J'ai besoin de passer un token API à mon application dans un pod Kubernetes. Je sais qu'il ne faut pas le mettre en dur dans le
deployment.yaml. Quelle est la meilleure pratique pour injecter ça de manière sécurisée ?