हेल्म में रहस्यों की स्वचालित पीढ़ी

टीम Mail.ru से Kubernetes aaS एक संक्षिप्त नोट का अनुवाद किया अपडेट करते समय हेल्म सीक्रेट्स को स्वचालित रूप से कैसे जनरेट करें, इस पर जानकारी। निम्नलिखित पाठ लेख के लेखक, इनटूवेयर के तकनीकी निदेशक, एक SaaS समाधान डेवलपर से है।

कंटेनर बहुत बढ़िया हैं। मैं शुरू में कंटेनरों का विरोधी था (यह स्वीकार करना शर्मनाक है), लेकिन अब मैं इस तकनीक का पूर्ण समर्थक हूँ। यदि आप इसे पढ़ रहे हैं, तो मुझे उम्मीद है कि आपने Docker के समुद्र में सफलतापूर्वक नेविगेट किया है, Kubernetes के लाभों को महसूस किया है, और Helm के साथ अपने जीवन को बहुत आसान बना लिया है।

हालाँकि, कुछ चीजें स्पष्ट रूप से अपेक्षा से अधिक जटिल हैं।

अपडेट करते समय स्वचालित रूप से रहस्य कैसे उत्पन्न करें?

Kubernetes secret एक ऐसा संसाधन है जिसमें कुंजी/मूल्य जोड़े होते हैं जिन्हें आप अपने कोड में उपयोग करना चाहते हैं। ये डेटाबेस कनेक्शन स्ट्रिंग, ईमेल पासवर्ड आदि हो सकते हैं। सीक्रेट का उपयोग करके, आप कोड और कॉन्फ़िगरेशन के बीच एक स्पष्ट अलगाव बनाते हैं, जिससे आपके कोडबेस को बदले बिना विभिन्न परिनियोजन को कॉन्फ़िगर करना आसान हो जाता है।

एक सामान्य स्थिति तब होती है जब दो मॉड्यूल को एक सामान्य कुंजी का उपयोग करके संचार करने की आवश्यकता होती है। क्लस्टर के बाहर किसी को भी यह कुंजी नहीं जाननी चाहिए, क्योंकि यह क्लस्टर के भीतर "एक-से-एक" संचार के लिए अभिप्रेत है।

रहस्य बनाना

आमतौर पर, हेल्म में सीक्रेट बनाने के लिए, आपको यह करना होगा:

• मान फ़ाइल में रहस्य का वर्णन करें;
• तैनाती के दौरान इसे ओवरराइड करें;
• इसे डिप्लॉय/पॉड के अंदर संदर्भित करें;
• … लाभ!

आमतौर पर यह कुछ इस तरह दिखता है:

apiVersion: v1
kind: Secret
metadata:
  name: my-super-awesome-api-key
type: Opaque
stringData:
  apiKey: {{ .Values.MyApiKeySecret | quote }}

values.yml से मानों का उपयोग करके सरल Kubernetes रहस्य

लेकिन मान लीजिए कि आप अपने रहस्य को मान फ़ाइल में निर्दिष्ट नहीं करना चाहते हैं।

ऐसे कई परिदृश्य हैं जहां परिनियोजन के लिए साझा कुंजी की आवश्यकता होती है जिसे स्थापना के दौरान उत्पन्न किया जाना चाहिए।

इंटर-पॉड संचार के उपरोक्त उदाहरण में, तैनाती के बाहर रहस्य को साझा करना वांछनीय नहीं है। इसलिए, हेल्म के लिए यह अत्यधिक वांछनीय है कि इसमें सीधे निर्दिष्ट किए बिना रहस्य को स्वचालित रूप से बनाने के लिए तंत्र हो।

हुक्स

हुक्स आपको इंस्टॉलेशन प्रक्रिया के दौरान विशिष्ट स्थानों पर कोड चलाने की अनुमति देते हैं। शायद कोई सेटअप कार्य है जिसे पहली इंस्टॉलेशन के बाद चलाने की आवश्यकता है, या शायद किसी भी अपडेट को निष्पादित करने से पहले क्लीनअप करने की आवश्यकता है।

प्री-इंस्टॉल हुक्स इंस्टॉलेशन के दौरान जनरेट की गई कुंजी को जोड़ने की हमारी समस्या को हल करने के लिए आदर्श हैं। लेकिन इसमें एक समस्या है: आप अपडेट के दौरान एक बार सीक्रेट को अपने आप जनरेट नहीं कर सकते। हुक्स हर अपडेट पर चलेंगे।

यदि आपने अपना सीक्रेट जनरेट कर लिया है और आपकी पहली इंस्टॉल अभी तक नहीं हुई है, तो पढ़ना बंद कर दें, प्री-इंस्टॉल हुक आपके लिए एकदम सही है।

लेकिन यदि सीक्रेट अपडेट का हिस्सा है (शायद एक नई सुविधा जो इंस्टॉलेशन के समय नहीं थी), तो यह शर्म की बात है कि प्री-इंस्टॉल हुक बनाना संभव नहीं है जो केवल एक बार फायर हो।

कार्य

हेल्म फ़ंक्शन आपको अपनी परिनियोजन स्क्रिप्ट में विभिन्न स्क्रिप्ट तत्व जोड़ने की अनुमति देता है।

apiVersion: v1
kind: Secret
metadata:
  name: my-super-awesome-api-key
type: Opaque
stringData:
  apiKey: {{ uuidv4 | quote }} #Generate a new UUID and quote it

यह उदाहरण दर्शाता है कि apiKey secret का मान स्थापना के दौरान उत्पन्न नया UUID होगा।

हेल्म में एक बहुत ही व्यापक फ़ंक्शन लाइब्रेरी शामिल है जो कस्टम परिनियोजन बनाने के लिए अद्भुत GO टेम्पलेट फ़ंक्शन और स्प्रिग फ़ंक्शन लाइब्रेरी का उपयोग करती है।

लुकअप फ़ंक्शन

हेल्म 3.1 जोड़ा गया लुकअप फ़ंक्शन, जो आपको किसी मौजूदा परिनियोजन की जानकारी प्राप्त करने की अनुमति देता है और:

• संसाधन अस्तित्व की जाँच करें;
• बाद में उपयोग के लिए किसी मौजूदा संसाधन का मूल्य लौटाएँ।

इन दोनों सुविधाओं का उपयोग करके, हम एक बार में गतिशील रूप से उत्पन्न गुप्त जानकारी बना सकते हैं!

# 1. Запросить существование секрета и вернуть в переменной $secret
{{- $secret := (lookup "v1" "Secret" .Release.Namespace "some-awesome-secret" -}}
apiVersion: v1
kind: Secret
metadata:
  name: some-awesome-secret
type: Opaque

# 2. Если секрет существует, взять его значение как apiKey (секрет использует кодирование Base64, так что используйте ключ "data")
{{ if $secret -}}
data:
  apiKey: {{ $secret.data.apiKey }}

# 3. Если секрет не существует — создать его (в этот раз используйте "stringData", так как будет обычное значение)!
{{ else -}}
stringData:
  apiKey: {{ uuidv4 | quote }}
{{ end }}

जब भी किसी सर्वर पर कोई नया अद्यतन लागू किया जाता है, तो हेल्म या तो एक नया गुप्त मान उत्पन्न करेगा (यदि गुप्त मान पहले से मौजूद नहीं है) या मौजूदा मान का पुनः उपयोग करेगा।

सौभाग्य!

विषय पर और क्या पढ़ना है:

1. कुबेरनेट्स में ऑटोस्केलिंग के तीन स्तर और उनका प्रभावी ढंग से उपयोग कैसे करें.
2. कार्यान्वयन के लिए टेम्पलेट के साथ पाइरेसी की भावना में Kubernetes.
3. टेलीग्राम में हमारा चैनल अराउंड कुबेरनेट्स.

स्रोत: www.habr.com