与通常的卷挂载相比,使用卷机密的优势
Advantage of using volume secrets over usual volume mounting
我想知道在 Kubernetes 中使用秘密是否比标准文件安装有任何优势。我必须提供凭据,保存在主机上 pods 之一,只是无法理解使用它们的优点。
使用秘密的主要思想是减少暴露并使其更安全。它是专门为此设计的。根据 documentation:
- secrets中的数据经过编码(base64)
- 机密只能从同一命名空间引用
- 秘密仅在节点上的 pod 需要时才会发送到该节点。它被存储成
tmpfs
而 而不是 写入磁盘。一旦使用秘密的 pod 消失,kubelet 将删除该节点上秘密的本地副本。
- 您可以设置访问权限(例如
644
)
- 如果同一个节点上有多个 pods 的秘密,一个 pod 将无法访问另一个 pod 的秘密,只能访问它请求的那个
我想知道在 Kubernetes 中使用秘密是否比标准文件安装有任何优势。我必须提供凭据,保存在主机上 pods 之一,只是无法理解使用它们的优点。
使用秘密的主要思想是减少暴露并使其更安全。它是专门为此设计的。根据 documentation:
- secrets中的数据经过编码(base64)
- 机密只能从同一命名空间引用
- 秘密仅在节点上的 pod 需要时才会发送到该节点。它被存储成
tmpfs
而 而不是 写入磁盘。一旦使用秘密的 pod 消失,kubelet 将删除该节点上秘密的本地副本。 - 您可以设置访问权限(例如
644
) - 如果同一个节点上有多个 pods 的秘密,一个 pod 将无法访问另一个 pod 的秘密,只能访问它请求的那个