-
集群系统密钥 除用户自定义的Secret外,CCEAutopilot集群会在每个命名空间下默认创建以下系统密钥,以方便集群的使用。 default-secret:密钥类型为kubernetes.io/dockerconfigjson,其data内容是登录SWR镜像仓库的凭据,用于从SWR拉取镜像。在CCE Autopilot集群中创建工作负载时,如果需要从SWR拉取镜像,需要配置imagePullSecrets的取值为default-secret。 paas.elb:密钥类型为cfe/secure-opaque,其data内容是临时AK/SK数据,为Pod和ELB提供动态、短期的安全认证,实现最小权限的云服务访问和自动化资源管理,避免长期密钥泄露风险。 关于集群系统密钥的更多信息,请参见集群系统密钥说明。
-
配置项 ConfigMap是Kubernetes中的一种资源类型,用于存储非敏感信息,并以键值对形式保存,供应用程序在运行时使用。ConfigMap具有以下优势: 灵活存储:ConfigMap可以存储各种非加密的配置信息,如纯文本、JSON、YAML或属性文件等。 使用方式多样:ConfigMap可以作为环境变量、命令行参数或卷中的配置文件供Pod使用。 易于更新:配置更新时,无需重新构建容器镜像,只需更新ConfigMap,相关的工作负载即可自动获取最新配置。 简化配置管理:ConfigMap支持将配置从应用程序代码中分离出来,使得同一应用可以在不同的环境中使用不同的配置,而无需修改代码。同时,多个应用可以共享同一ConfigMap,从而实现配置的统一化管理,避免配置重复和分散管理。 您可以参考以下链接创建和使用ConfigMap: 创建配置项 使用配置项
-
密钥 Secret是Kubernetes中专门用于存储和管理敏感信息的资源对象,通过加密存储和访问控制,确保敏感信息的安全性和隐私保护。Secret具有以下优势: 安全性:Secret中的数据是经过加密存储的,Kubernetes在存储时会自动进行加密处理,确保敏感信息不会以明文形式保存在集群中。 访问控制:通过Kubernetes的角色基础访问控制(RBAC),精确控制哪些服务账户或用户可以访问特定的Secret,从而提高安全性。 使用方式多样:Secret可以作为环境变量或卷中的配置文件供Pod使用,这不仅避免在容器镜像中直接存储敏感信息,而且使敏感数据的管理更加简便。 易于更新:Secret可以在运行时动态更新,更新后的数据可以立即被相关Pod访问,无需重建容器镜像或重启服务。 您可以参考以下链接创建和使用Secret: 创建密钥 使用密钥
