如何在 Terraform 中自動添加 kube.netes 客戶端密碼作為文件掛載?
[英]How can I automatically add a kubernetes client secret as a file mount in Terraform?
問題描述
我正在使用 Terraform 設置外部 DNS。 根據文檔,我必須手動創建一個azure.json文件並將其掛載為秘密卷。 方向也是state:
默認情況下,Azure DNS 提供程序期望配置文件位於 /etc/kube.netes/azure.json
{
"tenantId": "01234abc-de56-ff78-abc1-234567890def",
"subscriptionId": "01234abc-de56-ff78-abc1-234567890def",
"resourceGroup": "MyDnsResourceGroup",
"aadClientId": "01234abc-de56-ff78-abc1-234567890def",
"aadClientSecret": "uKiuXeiwui4jo9quae9o"
}
然后,我運行kubectl create secret generic azure-config-file --from-file=/local/path/to/azure.json以將密鑰掛載為文件。
問題是這些值是動態的,我需要根據 CI/CD 管道自動執行此操作。 我正在使用 Terraform Kube.netes 資源,在這里我使用了kube.netes_secret資源。
resource "kubernetes_secret" "azure_config_file" {
metadata {
name = "azure-config-file"
}
data = {
tenantId = data.azurerm_subscription.current.tenant_id
subscriptionId = data.azurerm_subscription.current.subscription_id
resourceGroup = azurerm_resource_group.k8s.name
aadClientId = azuread_application.sp_externaldns_connect_to_dns_zone.application_id
aadClientSecret = azuread_application_password.sp_externaldns_connect_to_dns_zone.value
}
depends_on = [
kubernetes_namespace.external_dns,
]
}
秘密被掛載,但 pod 永遠看不到它,這會導致 crashLoopBackoff。 這可能不是最好的方向。
如何使用 Terraform 自動執行此過程並正確安裝它?
作為參考,這是 YAML 清單的相關部分
...
volumeMounts:
- name: azure-config-file
mountPath: /etc/kubernetes
readOnly: true
volumes:
- name: azure-config-file
secret:
secretName: azure-config-file
items:
- key: externaldns-config.json
path: azure.json
1 個解決方案
解決方案1
1 2022-03-28 18:24:42
這是將 --from --from-file標志與 kubectl 一起使用的 Terraform 版本。
基本上,您將按照下面data塊的結構添加文件名及其內容。
resource "kubernetes_secret" "azure_config_file" {
metadata {
name = "azure-config-file"
}
data = { "azure.json" = jsonencode({
tenantId = data.azurerm_subscription.current.tenant_id
subscriptionId = data.azurerm_subscription.current.subscription_id
resourceGroup = data.azurerm_resource_group.rg.name
aadClientId = azuread_application.sp_externaldns_connect_to_dns_zone.application_id
aadClientSecret = azuread_application_password.sp_externaldns_connect_to_dns_zone.value
})
}
}
如何使用 Terraform 為 Azure 服務主體創建客戶端密碼
[英]How to create client secret for Azure Service Principal using Terraform
如何為我的非 root 用戶授予對 kube.netes 卷掛載的寫入權限?
[英]How can I give my non-root user write permissions on a kubernetes volume mount?
我如何自動將 output ami id 鏈接到 terraform 變量?
[英]How can I chain packer output ami id to terraform variables automatically?
如何從 terraform 中的跨區域 AWS Secret Manager 檢索機密
[英]How to retrieve secret from cross region AWS Secret Manager in terraform
如何使用 terraform 在 AWS 權限集上添加多個內聯策略?
[英]How can I add multiple inline policy on AWS permission set using terraform?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
在 Terraform 更新 Kube.netes Secret
如何使用 Terraform 為 Azure 服務主體創建客戶端密碼
如何判斷 Azure AD 客戶端密碼何時過期?
如何為我的非 root 用戶授予對 kube.netes 卷掛載的寫入權限?
我如何自動將 output ami id 鏈接到 terraform 變量?
如何在 terraform 中從 GCP 秘密管理器讀取秘密
如何將變量傳遞給 XML 文件(通過 Terraform)?
如何從外部秘密創建多密鑰 Kube.netes 秘密?
如何從 terraform 中的跨區域 AWS Secret Manager 檢索機密
如何使用 terraform 在 AWS 權限集上添加多個內聯策略?
相關標簽