2016-04-28 19 views
25

Đã sử dụng bí mật Kubernetes được cập nhật. Bây giờ chúng tôi cũng có ConfigMaps.Kubernetes Secrets vs ConfigMaps

Cách ưa thích phía trước - bí mật hoặc cấu hình bản đồ là gì?

P.S. Sau một vài lần lặp, chúng tôi đã ổn định ở mức nguyên tắc sau đây:

  • configMaps là mỗi miền giải pháp (có thể được chia sẻ trên microservices trong miền, nhưng cuối cùng là single entries mục đích config)

  • bí mật được chia sẻ trên các miền giải pháp, thường đại diện cho hệ thống hoặc cơ sở dữ liệu của bên thứ ba

Trả lời

44

Tôi là tác giả của cả hai tính năng này. Ý tưởng là bạn nên:

  1. Sử dụng bí mật cho những điều thực sự bí mật như khóa API, thông tin, vv
  2. Sử dụng bản đồ cấu hình cho dữ liệu cấu hình không bí mật

Trong tương lai có có thể sẽ có một số điểm khác biệt cho các bí mật như xoay vòng hoặc hỗ trợ sao lưu API bí mật w/HSM, v.v. Nói chung chúng tôi thích các API dựa trên ý định và mục đích chắc chắn khác với dữ liệu bí mật so với cấu hình cũ thuần túy.

Hy vọng điều đó sẽ hữu ích.

+0

HSMs +++++++++++++. Siêu mát. –

+0

Câu hỏi làm rõ hy vọng. Đối với nó có vẻ như bí mật vẫn được lưu trữ như văn bản gốc (base64), do đó, việc đặt tên có thể là một chút gây hiểu nhầm vào lúc này nếu bạn hỏi tôi kể từ đó. Hay bạn có thể giải thích xung quanh điều đó? Tôi đồng ý, rằng ý định dựa trên API là con đường để đi. –

+4

Có thể sử dụng bí mật bên trong bản đồ cấu hình không? Nó khá phổ biến là một tập tin cấu hình ứng dụng chứa cả dữ liệu bí mật và không bí mật. Ví dụ, máy chủ tomcat.xml chứa cả số cổng (không bí mật) và mật khẩu tắt máy (bí mật) ... Sẽ thật tuyệt nếu đại diện cho nó như là một tài nguyên duy nhất ... – Lucas

Các vấn đề liên quan