K8S从secret文件生成密钥后,如何更新Kubernetes上的密钥呢?
前提
生成密钥配置
kubectl -n cattle-system create secret tls tls-rancher-ingress --cert=./tls.crt --key=./tls.key
方法一
相信大多数的人第一反应,是先删除,再重新创建secret
代码语言:javascript复制kubectl delete secret tls-rancher-ingress -n cattle-system
kubectl -n cattle-system create secret tls tls-rancher-ingress --cert=./tls.crt --key=./tls.key但是此方法存在明显的问题:在删除新建secret的空窗期,是存在风险,平时测试或者不大常用的服务还可以尝试,但是在访问活跃的情况下,会导致大量的异常请求。
方法二
通过--dry-run参数预览,然后apply
代码语言:javascript复制kubectl -n cattle-system create secret tls tls-rancher-ingress --cert=./tls.crt --key=./tls.key --dry-run -o yaml |kubectl apply -f -方法二在创建secret的时候,添加了--dry-run的参数,具体使用方法可参考https://kubernetes.io/docs/reference/generated/kubectl/kubectl-commands,该参数的主要作用是预览要发送到集群的对象,而无需真正提交。该方法较方法一更优雅简单。
方法三
使用jq的=或|=运算符来动态更新密钥
代码语言:javascript复制TLS_KEY=$(base64 < "./tls.key" | tr -d 'n')
TLS_CRT=$(base64 < "./tls.crt" | tr -d 'n')kubectl get secrets tls-rancher-ingress -o json
| jq '.data["tls.key"] |= "$TLS_KEY"'
| jq '.data["tls.crt"] |= "$TLS_CRT"'
| kubectl apply -f -方法三尽管它可能不像kubectl create secret tls --dry-run方法那样优雅或简单,但从技术上讲,此方法实际上是在更新值,而不是删除/重新创建它们。还需要jq和base64(或openssl enc -base64)命令,tr是一种常用的Linux实用程序,用于修剪尾随换行符。
