Questa pagina è stata tradotta dall'API Cloud Translation.

Archiviazione dei dati in un secret Kubernetes

Questo argomento spiega come archiviare i dati sensibili in un Secret Kubernetes e recupera i dati dal flusso in un flusso proxy API.

Introduzione

A volte potresti voler archiviare dati per il recupero in fase di runtime, ovvero dati non in scadenza che non devono essere impostati come hardcoded nella logica del proxy API. Un'opzione è utilizzare una funzionalità di mappatura chiave-valore (KVM) ibrida. Se stai già utilizzando Kubernetes per la gestione dei secret in un insieme di credenziali personalizzato per i dati sensibili, valuta l'uso la funzionalità dei secret di Kubernetes descritta in questo argomento. Come con i dati KVM, puoi accedere i dati secret di Kubernetes nelle variabili di flusso proxy API.

Quali tipi di dati possono essere archiviati in un secret Kubernetes?

Apigee hybrid ti limita all'archiviazione dei seguenti tipi di file di dati in un secret Kubernetes. Loro include:

Formato file	Estensioni dei file supportate
File del certificato e della chiave TLS	`.crt`, `.key` e `*.pem`
File delle proprietà	`*.properties`

I file delle proprietà sono file che contengono coppie chiave/valore. Ad esempio:

username=admin
password=1f2d1e2e7df

Creazione di un secret Kubernetes

Questa sezione spiega come creare un secret Kubernetes per l'archiviazione di dati sensibili. nel cluster.

Crea il file o i file che vuoi archiviare nel secret di Kubernetes. I file devono essere in uno dei formati supportati con le estensioni di file elencate nella sezione Quali tipi di i dati possono essere archiviati in un secret Kubernetes.
Esegui il comando kubectl create secret generic. Ad esempio:
```
kubectl -n namespace create secret generic org-env-policy-secret \
  --from-file=filepath/prop-file.properties \
  --from-file=filepath/key-file.key \
  --from-file="filepath/cert-file.pem
```
Dove:
- namespace: lo spazio dei nomi Kubernetes in cui viene eseguito il deployment dei componenti di runtime.
- org: il nome della tua organizzazione Apigee.
- env: il nome di un ambiente nella tua organizzazione.
- filepath: il percorso del file che vuoi includere nel secret. Devi specificare almeno un file da includere nel secret.
- prop-file: il nome di un file delle proprietà da includere nel secret.
- key-file: il nome di un file di chiave TLS da includere nel secret.
- cert-file: il nome di un file di certificato TLS da includere nel secret.
Puoi includere uno o più file nel secret. Ad esempio:
```
kubectl -n apigee create secret generic myorg-test-policy-secret \
  --from-file="$policy_secrets_path"/credential.properties \
  --from-file="$policy_secrets_path"/secrets.properties \
  --from-file="$policy_secrets_path"/public.key \
  --from-file="$policy_secrets_path"/fullchain.pem
```

Dopo la creazione, potrebbero essere necessari fino a 90 secondi prima che la modifica venga riportata in tutti i cluster. I processori di messaggi eseguono il polling delle modifiche del secret ogni 30 secondi. Se rilevano una modifica, la cache viene aggiornata.

Recupero dei dati da un secret in corso...

Una volta che il secret è stato creato e disponibile (di solito circa 90 secondi dopo la creazione), puoi accedere ai dati secret in una variabile di flusso in un flusso proxy API nell'organizzazione/nell'ambiente in cui è archiviato il secret. Ad esempio, supponiamo che il tuo secret contenga un *.properties file denominato credentials.properties contenente una chiave API, come segue:

apikey=OrxYQptBMlY1TqmiGLTtyFiaLzzrD25Z

Puoi quindi recuperare la chiave API da un flusso utilizzando un criterio come Assegna messaggio. Ad esempio:

<AssignMessage name="assignvariable-2">
  <AssignVariable>
    <Name>my-apikey</Name>
    <Ref>private.secret.credential.properties.apikey</Ref>
  </AssignVariable>
</AssignMessage>

Il nome della variabile a cui viene fatto riferimento nell'elemento Ref, private.secret.credential.properties.apikey è composto dai seguenti componenti:

Parte nome variabile	Descrizione
`private.secret`	Lo spazio dei nomi fisso della variabile. Tutti i secret Kubernetes archiviati e un cluster ibrido condividono questo spazio dei nomi.
`credential.properties`	Il nome di un file archiviato nel secret di Kubernetes. Nota: questo nome file deve essere scritto in lettere minuscole.
`apikey`	Il nome di una chiave archiviata in un file delle proprietà.

In questo esempio, il criterio Assegna messaggio elimina il valore OrxYQptBMlY1TqmiGLTtyFiaLzzrD25Z di apikey e lo memorizza nella variabile di flusso my-apikey.

Aggiornamento di un secret

Poiché kubectl non supporta l'aggiornamento dei secret Kubernetes, devi prima per eliminare il secret esistente e ricrearlo seguendo i passaggi Creazione di un secret Kubernetes.