K8S从secret文件生成密钥后,如何更新Kubernetes上的密钥呢?

K8S从secret文件生成密钥后,如何更新Kubernetes上的密钥呢?

 

 

前提

生成密钥配置

kubectl -n cattle-system create secret tls tls-rancher-ingress --cert=./tls.crt --key=./tls.key

方法一

相信大多数的人第一反应,是先删除,再重新创建secret

kubectl delete secret tls-rancher-ingress -n cattle-systemkubectl -n cattle-system create secret tls tls-rancher-ingress --cert=./tls.crt --key=./tls.key

但是此方法存在明显的问题:在删除新建secret的空窗期,是存在风险,平时测试或者不大常用的服务还可以尝试,但是在访问活跃的情况下,会导致大量的异常请求。

方法二

通过--dry-run参数预览,然后apply

kubectl -n cattle-system create secret tls tls-rancher-ingress --cert=./tls.crt --key=./tls.key --dry-run -o yaml |kubectl apply  -f -

方法二在创建secret的时候,添加了--dry-run的参数,具体使用方法可参考https://kubernetes.io/docs/reference/generated/kubectl/kubectl-commands,该参数的主要作用是预览要发送到集群的对象,而无需真正提交。该方法较方法一更优雅简单

方法三

使用jq的=或|=运算符来动态更新密钥

TLS_KEY=$(base64 < "./tls.key" | tr -d '\n')TLS_CRT=$(base64 < "./tls.crt" | tr -d '\n')
kubectl get secrets tls-rancher-ingress -o json \        | jq '.data["tls.key"] |= "$TLS_KEY"' \        | jq '.data["tls.crt"] |= "$TLS_CRT"' \        | kubectl apply -f -

方法三尽管它可能不像kubectl create secret tls --dry-run方法那样优雅或简单,但从技术上讲,此方法实际上是在更新值,而不是删除/重新创建它们。还需要jqbase64(或openssl enc -base64)命令,tr是一种常用的Linux实用程序,用于修剪尾随换行符。

K8S从secret文件生成密钥后,如何更新Kubernetes上的密钥呢?

posted @ 2020-07-22 09:22  技术颜良  阅读(3184)  评论(0编辑  收藏  举报