与通常的卷挂载相比,使用卷机密的优势

Advantage of using volume secrets over usual volume mounting

我想知道在 Kubernetes 中使用秘密是否比标准文件安装有任何优势。我必须提供凭据,保存在主机上 pods 之一,只是无法理解使用它们的优点。

使用秘密的主要思想是减少暴露并使其更安全。它是专门为此设计的。根据 documentation:

  • secrets中的数据经过编码(base64)
  • 机密只能从同一命名空间引用
  • 秘密仅在节点上的 pod 需要时才会发送到该节点。它被存储成 tmpfs 而不是 写入磁盘。一旦使用秘密的 pod 消失,kubelet 将删除该节点上秘密的本地副本。
  • 您可以设置访问权限(例如644
  • 如果同一个节点上有多个 pods 的秘密,一个 pod 将无法访问另一个 pod 的秘密,只能访问它请求的那个