codecamp

Spring Cloud 秘密PropertySource

Kubernetes具有用于存储敏感数据(例如密码,OAuth令牌等)秘密的概念 该项目提供了与Secrets的集成,以使Spring Boot应用程序可以访问机密。您可以通过设置spring.cloud.kubernetes.secrets.enabled属性来显式启用或禁用此功能。

启用后,SecretsPropertySource将从以下来源中为Secrets查找Kubernetes:

  1. 从秘密坐骑递归读取
  2. 以应用程序命名(由spring.application.name定义)
  3. 匹配一些标签

注意:

默认情况下,出于安全原因,未启用通过API消费机密(以上第2点和第3点)机密上的权限“列表”允许客户端检查指定名称空间中的机密值。 此外,我们建议容器通过安装的卷共享机密。

如果您通过API启用使用机密,我们建议您使用授权策略(例如RBAC)限制对机密的访问。有关通过API使用“机密”时的风险和最佳做法的更多信息,请参阅此文档

如果找到了机密,则其数据可供应用程序使用。

假设我们有一个名为demo的spring boot应用程序,该应用程序使用属性读取其数据库配置。我们可以使用以下命令创建Kubernetes机密: 

oc create secret generic db-secret --from-literal=username=user --from-literal=password=p455w0rd

前面的命令将创建以下秘密(您可以使用oc get secrets db-secret -o yaml来查看): 

apiVersion: v1
data:
  password: cDQ1NXcwcmQ=
  username: dXNlcg==
kind: Secret
metadata:
  creationTimestamp: 2017-07-04T09:15:57Z
  name: db-secret
  namespace: default
  resourceVersion: "357496"
  selfLink: /api/v1/namespaces/default/secrets/db-secret
  uid: 63c89263-6099-11e7-b3da-76d6186905a8
type: Opaque

请注意,数据包含create命令提供的文字的Base64编码版本。

然后,您的应用程序可以使用此秘密-例如,通过将秘密的值导出为环境变量: 

apiVersion: v1
kind: Deployment
metadata:
  name: ${project.artifactId}
spec:
   template:
     spec:
       containers:
         - env:
            - name: DB_USERNAME
              valueFrom:
                 secretKeyRef:
                   name: db-secret
                   key: username
            - name: DB_PASSWORD
              valueFrom:
                 secretKeyRef:
                   name: db-secret
                   key: password

您可以通过多种方式选择要使用的秘密:

  1. 通过列出映射机密的目录: 

    -Dspring.cloud.kubernetes.secrets.paths=/etc/secrets/db-secret,etc/secrets/postgresql

    如果您已将所有机密映射到公共根,则可以将它们设置为: 

    -Dspring.cloud.kubernetes.secrets.paths=/etc/secrets

  2. 通过设置命名机密: 

    -Dspring.cloud.kubernetes.secrets.name=db-secret

  3. 通过定义标签列表: 

    -Dspring.cloud.kubernetes.secrets.labels.broker=activemq
-Dspring.cloud.kubernetes.secrets.labels.db=postgresql

表140.2。Properties:

名称 类型 默认 描述

spring.cloud.kubernetes.secrets.enableApi

Boolean

false

通过API启用或禁用使用机密(示例2和3)

spring.cloud.kubernetes.secrets.enabled

Boolean

true

启用机密PropertySource

spring.cloud.kubernetes.secrets.name

String

${spring.application.name}

设置要查找的机密名称

spring.cloud.kubernetes.secrets.namespace

String

客户端名称空间

设置Kubernetes命名空间的查找位置

spring.cloud.kubernetes.secrets.labels

Map

null

设置用于查找机密的标签

spring.cloud.kubernetes.secrets.paths

List

null

设置安装机密的路径(示例1)


笔记:

  • spring.cloud.kubernetes.secrets.labels属性的行为如 基于Map的绑定 所定义
  • spring.cloud.kubernetes.secrets.paths属性的行为与 基于Collection的binding 定义的行为相同
  • 出于安全原因,可能会限制通过API访问机密。首选方法是将机密安装到Pod。

您可以在spring-boot-camel-config中找到使用机密的应用程序示例(尽管尚未更新以使用新的spring-cloud-kubernetes项目)。

Spring Cloud Kubernetes本机服务发现
Spring Cloud PropertySource重新加载
温馨提示
下载编程狮App,免费阅读超1000+编程语言教程
取消
确定
目录
Spring Cloud特点

一、云原生应用

Spring Cloud上下文:应用程序上下文服务

Spring Cloud Commons:通用抽象

SpringCloud 服务注册

SpringCloud WebClient作为负载均衡器客户端

SpringCloud WebFlux WebClient作为负载均衡器客户端

SpringCloud 启用的功能

二、Spring Cloud Config

SpringCloud 快速入门

SpringCloud Config服务器

Spring Cloud Config客户

三、Spring Cloud Netflix

SpringCloud 服务发现:Eureka个客户端

SpringCloud 服务发现:Eureka服务器

SpringCloud 断路器:Hystrix个客户

SpringCloud Hystrix超时和Ribbon客户

SpringCloud 客户端负载平衡器:Ribbon

SpringCloud 路由器和过滤器:Zuul

SpringCloud 管理端点

Spring Cloud Zuul开发人员指南

SpringCloud 重试失败的请求

四、Spring Cloud OpenFeign

SpringCloud 声明式REST客户端:Feign

五、Spring Cloud Stream

SpringCloud 快速入门

SpringCloud 2.0中有什么新功能?

SpringCloud Stream主要概念

SpringCloud 编程模型

SpringCloud Binders

SpringCloud 配置选项

SpringCloud 内容类型协商

SpringCloud Schema进化支持

SpringCloud 应用程序间通信

SpringCloud 测试

SpringCloud 示例

六、SpringCloud Binder实现

SpringCloud Apache Kafka Binder

SpringCloud Apache Kafka流Binder

SpringCloud RabbitMQ Binder

SpringCloud 重试RabbitMQ Binder

SpringCloud Dead-Letter队列处理

七、Spring Cloud Bus

Spring Cloud Bus端点

Spring Cloud 广播自己的Events

八、Spring Cloud Sleuth

Spring Cloud Sleuth 引言

Spring Cloud Sleuth 特点

SpringCloud 抽样

SpringCloud 传播

SpringCloud 当前Span

SpringCloud Span生命周期

SpringCloud 命名spans

SpringCloud 使用Annotations管理跨度

SpringCloud 定制

SpringCloud 整合

SpringCloud Hystrix

SpringCloud HTTP集成

SpringCloud HTTP客户端集成

SpringCloud gRPC

SpringCloud 异步通信

SpringCloud 消息传递

九、Spring Cloud Consul

SpringCloud 使用Consul进行服务发现

SpringCloud 使用Consul的分布式配置

Spring Cloud Bus与Consul

十、Spring Cloud Zookeeper

SpringCloud 使用Zookeeper进行服务发现

SpringCloud 将Spring Cloud Zookeeper与Spring Cloud Netflix组件一起使用

Spring Cloud Zookeeper和服务注册中心

SpringCloud Zookeeper依赖项

Spring Cloud Zookeeper依赖性观察者

SpringCloud 使用Zookeeper的分布式配置

十一、Spring Cloud Security

SpringCloud Security快速入门

SpringCloud OAuth2更多细节

十二、Spring Cloud for Cloud Foundry

十三、Spring Cloud Contract

SpringCloud Contract验证程序简介

SpringCloud Contract常见问题

SpringCloud 如何进行存根版本控制?

SpringCloud 合同通用回购

SpringCloud 我需要二进制存储吗?我不能使用Git吗?

SpringCloud 我可以使用契约代理吗?

SpringCloud 如何调试由生成的测试客户端发送的请求/响应?

Spring Cloud Contract验证程序设置

SrpingCloud Gradle项目

SpringCloud 添加具有依赖性的Gradle插件

SpringCloud Maven项目

SpringCloud Docker项目

Spring Cloud Contract验证者消息

Spring Cloud Contract Stub Runner

SpringCloud Stub Runner用于消息传递

SpringCloud Contract DSL

SpringCloud 通用顶级元素

SpringCloud 动态特性

SpringCloud使用WebFlux

SpringCloud 消息传递顶级元素

SpringCloud 定制化

Spring Cloud 使用可插拔架构

Spring Cloud Contract WireMock

Spring Cloud 迁移

十四、Spring Cloud Vault

Spring Cloud 客户端使用

Spring Cloud Vault 认证方式

Spring Cloud Vault 秘密后端

Spring Cloud Vault 数据库后端

十五、Spring Cloud网关

Spring Cloud 配置路由谓词工厂和网关过滤工厂

Spring Cloud 路由谓词工厂

Spring Cloud 网关过滤器工厂

Spring Cloud RequestRateLimiter GatewayFilter工厂

Spring Cloud全局过滤器

Spring Cloud HttpHeadersFilters

Spring Cloud TLS / SSL

Spring Cloud网关配置

Spring Cloud 执行器API

SpringCloud 故障排除

Spring Cloud 开发人员指南

十六、Spring Cloud功能

Spring Cloud 功能目录和灵活的功能签名

SpringCloud 功能性Bean定义

Spring Cloud 无服务器平台适配器

Spring Cloud Azure功能

Spring Cloud Apache Openwhisk

十七、Spring Cloud Kubernetes

Spring Cloud Kubernetes PropertySource实现

Spring Cloud Kubernetes生态系统意识

Spring Cloud Kubernetes内部的安全配置

Spring Cloud Kubernetes建筑

Spring Cloud Kubernetes贡献

Spring Cloud Kubernetes IDE设置

十八、Spring Cloud GCP

Spring Cloud GCP 入门

Spring Cloud GCP核心

Spring Cloud GCP Google Cloud Pub / Sub

Spring Cloud GCP Spring资源

Spring Cloud Spring JDBC

Spring Cloud Spring Integration

Spring Cloud Stream

Spring Cloud Sleuth

Spring Cloud Stackdriver记录

Spring Cloud Config

Spring Cloud Spring Data Cloud Spanner

Spring Cloud Spring Data Cloud Spanner 配置

Spring Cloud Spring Data Cloud Spanner对象映射

Spring Cloud Spring Data Cloud Spanner扳手操作和模板

Spring Cloud Spring Data Repositories

Spring Cloud SpannerRepository查询方法

Spring Cloud Spring Data Cloud Datastore

Spring Cloud Datastore配置

Spring Cloud Datastore对象映射

Spring Cloud Datastore 关系

Spring Cloud Datastore 数据存储操作和模板

Spring Cloud Datastore Repositories

Spring Cloud Redis的Cloud Memorystore

Spring Cloud 云身份识别代理(IAP)身份验证

Spring Cloud Google Cloud Vision

Spring Cloud Kotlin支持

十九、附录:配置纲要Properties

关闭

 MIP.setData({ 'pageTheme' : getCookie('pageTheme') || {'day':true, 'night':false}, 'pageFontSize' : getCookie('pageFontSize') || 20 }); MIP.watch('pageTheme', function(newValue){ setCookie('pageTheme', JSON.stringify(newValue)) }); MIP.watch('pageFontSize', function(newValue){ setCookie('pageFontSize', newValue) }); function setCookie(name, value){ var days = 1; var exp = new Date(); exp.setTime(exp.getTime() + days*24*60*60*1000); document.cookie = name + '=' + value + ';expires=' + exp.toUTCString(); } function getCookie(name){ var reg = new RegExp('(^| )' + name + '=([^;]*)(;|$)'); return document.cookie.match(reg) ? JSON.parse(document.cookie.match(reg)[2]) : null; }