Helm의 비밀 자동 생성

팀 Mail.ru의 Kubernetes aaS 짧은 메모를 번역했습니다 업데이트 시 Helm 비밀을 자동으로 생성하는 방법에 대해 알아보세요. 다음은 SaaS 솔루션을 개발하는 회사인 Intoware의 기술 이사인 기사 작성자의 텍스트입니다.

컨테이너는 멋지다. 처음에는 반컨테이너(인정하기가 부끄럽지만)였지만 이제는 이 기술의 사용을 전적으로 지지합니다. 이 글을 읽고 계시다면 Docker의 바다를 성공적으로 탐색하고 Kubernetes의 이점을 깨닫고 Helm을 사용하여 삶을 훨씬 쉽게 만드셨기를 바랍니다.

그러나 어떤 것들은 분명히 필요한 것보다 더 어렵습니다.

업데이트할 때 비밀을 자동으로 생성하는 방법은 무엇입니까?

Kubernetes 비밀은 코드에서 사용하려는 키/값 쌍이 포함된 리소스입니다. 이는 데이터베이스 연결 문자열, 이메일 비밀번호 등이 될 수 있습니다. 비밀을 사용하면 코드와 설정을 명확하게 구분할 수 있으므로 코드베이스를 변경하지 않고도 다양한 배포를 쉽게 사용자 지정할 수 있습니다.

일반적인 상황은 두 모듈이 공통 키를 사용하여 통신해야 하는 경우입니다. 이 키는 클러스터 내에서 일대일 통신을 위한 것이므로 클러스터 외부의 누구도 이 키를 알 수 없습니다.

비밀 만들기

일반적으로 Helm에서 비밀을 생성하려면 다음을 수행해야 합니다.

• 값 파일에 비밀을 설명하십시오.
• 배포 중에 재정의하세요.
• 배포/포드 내부에서 이를 참조하세요.
• ... 이익!

일반적으로 다음과 같습니다.

apiVersion: v1
kind: Secret
metadata:
  name: my-super-awesome-api-key
type: Opaque
stringData:
  apiKey: {{ .Values.MyApiKeySecret | quote }}

value.yml의 값을 사용하는 간단한 Kubernetes 비밀

하지만 값 파일에 비밀을 지정하고 싶지 않다고 가정해 보겠습니다.

배포에 설치 중에 생성되어야 하는 공유 키가 필요한 경우 다양한 옵션이 있습니다.

위의 모듈 간 통신 예에서는 배포 외부에서 비밀을 공유하는 것이 바람직하지 않습니다. 따라서 Helm에는 비밀을 직접 지정하지 않고도 자동으로 비밀을 생성하는 메커니즘이 있는 것이 매우 바람직합니다.

후크

후크를 사용하면 설치 프로세스 중 특정 위치에서 코드를 실행할 수 있습니다. 첫 번째 설치 후에 실행해야 하는 구성 작업이 있을 수도 있고, 업데이트를 수행하기 전에 정리를 수행해야 할 수도 있습니다.

설치 중에 생성된 키를 추가하는 문제를 해결하려면 사전 설치 후크가 이상적입니다. 하지만 문제가 있습니다. 업데이트 시 비밀을 자동으로 생성할 수는 없습니다. Hooks는 모든 업데이트에서 작동합니다.

비밀글을 생성했는데 아직 첫 번째 설치가 이루어지지 않았다면 읽기를 중단하세요. 사전 설치 후크가 도움이 될 것입니다.

그러나 비밀이 업데이트의 일부인 경우(설치 당시에는 없었던 새로운 기능일 수도 있음) 한 번만 작동하는 사전 설치 후크를 생성할 수 없다는 것은 유감스러운 일입니다.

기능

Helm 기능을 사용하면 배포 스크립트에 다양한 스크립팅 요소를 추가할 수 있습니다.

apiVersion: v1
kind: Secret
metadata:
  name: my-super-awesome-api-key
type: Opaque
stringData:
  apiKey: {{ uuidv4 | quote }} #Generate a new UUID and quote it

이 예에서는 apiKey 비밀 값이 설치 중에 생성된 새 UUID가 됨을 보여줍니다.

Helm에는 놀라운 GO 템플릿 기능과 Sprig의 기능 라이브러리를 활용하여 사용자 정의 배포를 생성하는 매우 광범위한 기능 라이브러리가 포함되어 있습니다.

조회 기능

헬름 3.1에 추가됨 조회 기능, 기존 배포를 요청하고 다음을 수행할 수 있습니다.

• 자원의 존재를 확인하십시오.
• 나중에 사용하기 위해 기존 리소스의 값을 반환합니다.

이 두 가지 기능을 모두 사용하면 동적으로 생성된 일회성 보안 비밀을 만들 수 있습니다!

# 1. Запросить существование секрета и вернуть в переменной $secret
{{- $secret := (lookup "v1" "Secret" .Release.Namespace "some-awesome-secret" -}}
apiVersion: v1
kind: Secret
metadata:
  name: some-awesome-secret
type: Opaque

# 2. Если секрет существует, взять его значение как apiKey (секрет использует кодирование Base64, так что используйте ключ "data")
{{ if $secret -}}
data:
  apiKey: {{ $secret.data.apiKey }}

# 3. Если секрет не существует — создать его (в этот раз используйте "stringData", так как будет обычное значение)!
{{ else -}}
stringData:
  apiKey: {{ uuidv4 | quote }}
{{ end }}

새 업데이트가 서버에 적용될 때마다 Helm은 새 비밀 값을 생성하거나(아직 비밀이 없는 경우) 기존 값을 재사용합니다.

행운을 빕니다!

주제에 대해 더 읽을 내용:

1. Kubernetes의 세 가지 수준의 자동 확장 및 이를 효과적으로 사용하는 방법.
2. 구현을 위한 템플릿을 갖춘 불법 복제 정신의 Kubernetes.
3. Telegram의 Kubernetes 주변 채널.

출처 : habr.com