Introduction
Dans ce lab, vous apprendrez à utiliser les Secrets Kubernetes pour gérer en toute sécurité les informations sensibles telles que les mots de passe, les clés API et autres données confidentielles. Vous créerez un secret, l'utiliserez dans votre application et vérifierez que l'application est correctement configurée. Chaque étape s'appuie sur la précédente, assurez-vous donc de suivre attentivement.
Démarrer le cluster Minikube
Avant de créer des ressources, vous avez besoin d'un cluster Kubernetes en cours d'exécution. Minikube est un environnement Kubernetes léger qui s'exécute sur votre machine locale.
Naviguez vers votre répertoire de travail :
Ouvrez le terminal et naviguez vers le dossier de projet par défaut :
cd /home/labex/projectDémarrer Minikube :
Démarrez Minikube pour initialiser un cluster Kubernetes :
minikube start- Cette commande configure un cluster Kubernetes à un seul nœud sur votre machine locale.
- Le démarrage de Minikube peut prendre quelques minutes en fonction des performances de votre système.
Vérifier que Minikube est en cours d'exécution :
Vérifiez l'état du cluster Minikube :
minikube status- Recherchez des composants tels que
kubeletetapiserverrépertoriés commeRunning. - Si le cluster n'est pas en cours d'exécution, réexécutez
minikube start.
- Recherchez des composants tels que
Si vous rencontrez des problèmes lors du démarrage de Minikube. Utilisez minikube delete pour réinitialiser l'environnement si nécessaire.
Créer un Secret
Dans cette étape, vous allez créer un Secret Kubernetes qui contient un mot de passe de base de données.
Créez un fichier nommé my-secret.yaml dans le répertoire /home/labex/project avec le contenu suivant :
apiVersion: v1
kind: Secret
metadata:
name: my-secret
type: Opaque
data:
password: dXNlcm5hbWU6cGFzc3dvcmQ=
Dans ce fichier, nous spécifions le nom du Secret (my-secret), le type de données qu'il contient (Opaque) et les données réelles au format encodé en Base64.
Appliquez le Secret à votre cluster en exécutant la commande suivante :
kubectl apply -f my-secret.yaml
Vérifiez que le Secret a été créé en exécutant la commande suivante :
kubectl get secrets
Vous devriez voir le Secret my-secret listé.
Utiliser le Secret dans votre Application
Dans cette étape, vous allez modifier votre application pour utiliser le Secret my-secret afin de récupérer le mot de passe de la base de données.
Créez un fichier nommé my-app.yaml dans le répertoire /home/labex/project avec le contenu suivant :
apiVersion: apps/v1
kind: Deployment
metadata:
name: my-app
spec:
replicas: 1
selector:
matchLabels:
app: my-app
template:
metadata:
labels:
app: my-app
spec:
containers:
- name: my-app
image: nginx:latest
env:
- name: DATABASE_PASSWORD
valueFrom:
secretKeyRef:
name: my-secret
key: password
Dans ce fichier, nous spécifions le nom du Déploiement (my-app), l'image à utiliser (my-image) et la variable d'environnement à définir (DATABASE_PASSWORD). Nous utilisons également un secretKeyRef pour récupérer la clé password du Secret my-secret.
Appliquez le Déploiement à votre cluster en exécutant la commande suivante :
kubectl apply -f my-app.yaml
Vérifiez que le Déploiement a été créé en exécutant la commande suivante :
kubectl get deployments
Vous devriez voir le Déploiement my-app listé.
Vérifier la Configuration
Dans cette étape, vous allez vérifier que votre application est correctement configurée avec le mot de passe de la base de données provenant du Secret my-secret.
Trouvez le nom du pod exécutant votre application en exécutant la commande suivante :
kubectl get pods -l app=my-app
Vous devriez voir un seul pod exécutant votre application. Notez le nom du pod.
Ensuite, exécutez la commande suivante pour ouvrir une session shell dans le conteneur exécutant votre application :
kubectl exec -it pod-name -- /bin/sh
Remplacez <pod-name> par le nom réel du pod que vous avez noté précédemment.
Une fois dans la session shell, exécutez la commande suivante pour afficher la valeur de la variable d'environnement DATABASE_PASSWORD :
echo $DATABASE_PASSWORD
Vous devriez voir le mot de passe de la base de données qui a été récupéré à partir du Secret my-secret.
Monter le Secret en tant que Volume dans un Pod
Maintenant que nous avons créé le secret, nous pouvons le monter en tant que volume dans un pod. Nous allons créer un pod simple qui lit la valeur du secret à partir du volume monté et l'affiche dans la console.
Créez un fichier nommé pod.yaml dans le répertoire /home/labex/project avec le contenu suivant :
apiVersion: v1
kind: Pod
metadata:
name: secret-pod
spec:
containers:
- name: secret-container
image: nginx
volumeMounts:
- name: secret-volume
mountPath: /etc/secret-volume
volumes:
- name: secret-volume
secret:
secretName: my-secret
Appliquez la configuration du pod :
kubectl apply -f pod.yaml
Vérifier le Secret en tant que Volume dans un Pod
Dans cette étape, vous allez vérifier que votre application est correctement configurée avec le mot de passe de la base de données provenant du Secret my-secret.
Tout d'abord, exécutez la commande suivante pour ouvrir une session shell dans le conteneur exécutant votre application :
kubectl exec -it secret-pod -- sh
Une fois dans la session shell, exécutez la commande suivante pour afficher la valeur :
cat /etc/secret-volume/password
La sortie devrait être la valeur du secret.
Résumé
Dans ce lab, nous avons appris comment utiliser les secrets Kubernetes pour stocker des informations sensibles et comment les utiliser dans un pod. Les secrets offrent un moyen sécurisé de gérer les informations sensibles et doivent être utilisés autant que possible pour éviter d'exposer les secrets en clair.
