51- 第12章：OpenShiftリソースへのアクセス制御-3：Secretsの説明

type

status

date

slug

summary

センシティブ情報の管理 - Secrets

目的

このセクションを完了した後、学生はSecretsを作成し、適用してセンシティブ情報を管理する方法を理解できるようになります。

Secrets

Secretオブジェクトは、パスワード、OpenShift Container Platformのクライアント設定ファイル、Docker設定ファイル、プライベートなソースリポジトリの資格情報などのセンシティブ情報を保持するためのメカニズムを提供します。Secretsは、センシティブなコンテンツをポッドから切り離すことができます。Secretsは、コンテナに対してボリュームプラグインを使用してマウントするか、システムがポッドに代わってアクションを実行するために使用されます。

Secretsの特徴

Secretsの主な特徴は次のとおりです：

Secretデータは、その定義から独立して参照できます。

Secretデータボリュームは、一時的なファイルストレージによってバックアップされます。

Secretデータは、名前空間内で共有できます。

Secretの作成

Secretは、それに依存するポッドの前に作成されます。 Secretを作成する際には、次の手順を行います：

Secretオブジェクトを作成し、Secretデータを指定します。

ポッドのサービスアカウントを更新して、Secretを参照できるようにします。例えば、特定のサービスアカウントで実行中のポッドにSecretをマウントするためには、次のようにします：

Secretを環境変数またはデータボリュームを使ってファイルとして消費するポッドを作成します。これは通常、テンプレートを使用して行われます。

Secretsがポッドにどのように公開されるか

Secretsは、データボリュームとしてマウントするか、環境変数として公開してポッド内のコンテナで使用されます。例えば、Secretをポッドに公開するには、まずSecretを作成し、ユーザー名やパスワードのようなキー/値ペアに値を割り当て、そのキー名をポッドのYAMLファイルのenv定義に割り当てます。

例として、demo-secretという名前のSecretがあり、usernameというキーの値をdemo-userに設定したとします：

このSecretをMySQLデータベースポッドのデータベース管理者パスワードとして使用するには、次のように環境変数を定義し、Secret名とキーを参照します：

WebコンソールからSecretsを管理する

Webコンソールを使ってSecretsを管理するには、次の手順を実行します：

認可されたユーザーとしてWebコンソールにログインします。

Secretをホストするプロジェクトを作成するか、選択します。

リソース → Secretsに移動します。

Secretsのユースケース

パスワードとユーザー名

パスワードやユーザー名などのセンシティブな情報は、Secretに格納され、コンテナ内でデータボリュームとしてマウントされます。このデータは、コンテナのデータボリュームディレクトリ内にあるファイルとしてコンテナ内に現れます。その後、データベースのようなアプリケーションはこれらのSecretを使用してユーザー認証を行うことができます。