Dapr 在 Kubernetes 模式下通过 Helm 或 dapr init -k 部署的时候,启用一个内置的 Kubernetes Secret 存储,如果你使用另一个 Secret 存储,你可以使用 disable-builtin-k8s-secret-store 设置禁用 Dapr Kubernetes Secret 存储。
应用程序通常通过使用专用的 Secret 存储来存储敏感信息,如密钥和 Token,用于与数据库、服务和外部系统进行身份验证的 Secret 等。通常这需要涉及到设置一个 Secret 存储,如Azure Key Vault、Hashicorp Vault等,并在那里存储应用程序级别的私密数据。为了访问这些 Secret 存储,应用程序需要导入 Secret 存储的 SDK,并使用它来访问私密数据,这可能需要相当数量的代码,这些代码与应用程序的实际业务领域无关,因此在可能使用不同供应商特定的 Secret 存储的多云场景中,这将成为更大的挑战。
为了使开发者更容易使用应用程序的私密数据,Dapr 有一个专门的 Secret 构建块 API,允许开发者从 Secret 存储中获取私密数据。使用 Dapr 的 Secret 存储构建块通常涉及以下内容。
- 为特定的 Secret 存储解决方案设置一个组件。
- 在应用程序代码中使用 Dapr 的 Secret API 来检索私密数据。
- (可选)在 Dapr 组件文件中引用 Secret。
默认情况下,Dapr 在 Kubernetes 模式下通过 Helm 或dapr init -k部署的时候,启用一个内置的 Kubernetes Secret 存储,如果你使用另一个 Secret 存储,你可以使用disable-builtin-k8s-secret-store设置禁用 Dapr Kubernetes Secret 存储。
应用程序代码可以调用 Secret 构建块 API 从 Dapr 支持的 Secret 存储中检索私密数据,这些 Secret 存储可以在你的代码中使用。例如,下图显示了一个应用程序从配置的云 Secret 存储库中的一个名为vault的 Secret 存储库中请求名为mysecret的私密数据。
Dapr Secret
应用程序可以使用 secrets API 来访问来自 Kubernetes Secret 存储的私密数据。在下面的例子中,应用程序从 Kubernetes Secret 存储中检索相同的mysecret。
Dapr Secret On K8s
本地环境使用 Secrets
同样我们以quickstarts仓库进行说明。
git clone [-b <dapr_version_tag>] https://github.com/dapr/quickstarts.git
cd quickstarts
然后定位到secretstore目录下面的 node 文件夹:
$ cd tutorials/secretstore/node
在app.js中是一个简单的Express应用,它暴露了一些路由和处理程序,我们可以先查看下该文件中的如下内容:
const daprPort = process.env.DAPR_HTTP_PORT || 3500;
const secretStoreName = process.env.SECRET_STORE;
const secretName = "mysecret";
其中secretStoreName从环境变量SECRET_STORE中读取,,其为 Kubernetes 部署注入了值kubernetes,对于本地开发,环境变量必须设置为localsecretstore值。
然后我们看看getsecret处理程序代码:
app.get("/getsecret", (_req, res) => {
const url = `${secretsUrl}/${secretStoreName}/${secretName}?metadata.namespace=default`;
console.log("Fetching URL: %s", url);
fetch(url)
.then((res) => res.json())
.then((json) => {
let secretBuffer = new Buffer(json["mysecret"]);
let encodedSecret = secretBuffer.toString("base64");
console.log("Base64 encoded secret is: %s", encodedSecret);
return res.send(encodedSecret);
});
});
该代码从 secret store 中获取名为mysecret的数据,并显示该数据的 Base64 编码数据。
我们在secrets.json文件中添加一个mysecret的 Secret 数据:
{
"mysecret": "abcd"
}
同样我们也需要添加一个 Secret 对应的 Component 组件,比如在本地自拓管模式,创建一个如下所示的配置文件:
apiVersion: dapr.io/v1alpha1
kind: Component
metadata:
name: localsecretstore
namespace: default
spec:
type: secretstores.local.file
version: v1
metadata:
- name: secretsFile
value: secrets.json
- name: nestedSeparator
value: ":"
上面的组件定义了一个本地 Secret 存储库,其 Secret 文件路径为secrets.json文件。
其中 Secret 存储 JSON 的路径是与你调用dapr run的位置相关的。
然后我们需要将上面的 Secret Store 名称设置为环境变量:
export SECRET_STORE="localsecretstore"
set SECRET_STORE=localsecretstore
接下来我们为 Node 应用安装依赖:
npm install
然后我们使用 Dapr 带上本地的 secret store 组件运行 Node 应用:
$ dapr run --app-id nodeapp --components-path ./components --app-port 3000 --dapr-http-port 3500 node app.js
ℹ️ Starting Dapr with id nodeapp. HTTP Port: 3500. gRPC Port: 58744
INFO[0000] starting Dapr Runtime -- version 1.8.4 -- commit 18575823c74318c811d6cd6f57ffac76d5debe93 app_id=nodeapp instance=MBP2022.local scope=dapr.runtime type=log ver=1.8.4
INFO[0000] component loaded. name: localsecretstore, type: secretstores.local.file/v1 app_id=nodeapp instance=MBP2022.local scope=dapr.runtime type=log ver=1.8.4
INFO[0000] all outstanding components processed app_id=nodeapp instance=MBP2022.local scope=dapr.runtime type=log ver=1.8.4
== APP == Node App listening on port 3000!
INFO[0000] application discovered on port 3000 app_id=nodeapp instance=MBP2022.local scope=dapr.runtime type=log ver=1.8.4
WARN[0000] [DEPRECATION NOTICE] Adding a default content type to incoming service invocation requests is deprecated and will be removed in the future. See https://docs.dapr.io/operations/support/support-preview-features/ for more details. You can opt into the new behavior today by setting the configuration option `ServiceInvocation.NoDefaultContentType` to true. app_id=nodeapp instance=MBP2022.local scope=dapr.runtime type=log ver=1.8.4
INFO[0000] application configuration loaded app_id=nodeapp instance=MBP2022.local scope=dapr.runtime type=log ver=1.8.4
INFO[0000] actors: state store is not configured - this is okay for clients but services with hosted actors will fail to initialize! app_id=nodeapp instance=MBP2022.local scope=dapr.runtime type=log ver=1.8.4
INFO[0000] actor runtime started. actor idle timeout: 1h0m0s. actor scan interval: 30s app_id=nodeapp instance=MBP2022.local scope=dapr.runtime.actor type=log ver=1.8.4
INFO[0000] dapr initialized. Status: Running. Init Elapsed 326.57000000000005ms app_id=nodeapp instance=MBP2022.local scope=dapr.runtime type=log ver=1.8.4
INFO[0000] placement tables updated, version: 0 app_id=nodeapp instance=MBP2022.local scope=dapr.runtime.actor.internal.placement type=log ver=1.8.4
ℹ️ Updating metadata for app command: node app.js
✅ You're up and running! Both Dapr and your app logs will appear here.
启动后我们可以使用dapr list来查看应用列表:
$ dapr list
APP ID HTTP PORT GRPC PORT APP PORT COMMAND AGE CREATED PID
nodeapp 3500 58744 3000 node app.js 11m 2022-09-27 15:13.46 5906
启动完成后我们可以直接访问应用的getsecret接口:
$ curl -k http://localhost:3000/getsecret
正常输出结果是YWJjZA==,也就是上面的abcd做了 base64 编码后的值。
然后观察应用的日志会出现类似于如下所示的内容:
== APP == Fetching URL: http://localhost:3500/v1.0/secrets/localsecretstore/mysecret?metadata.namespace=default
== APP == Base64 encoded secret is: YWJjZA==
测试完成后可以使用dapr stop命令来停止应用:
dapr stop --app-id nodeapp
Kubernetes 环境使用 Secrets
接下来我们来了解下在 Kubernetes 模式下 Dapr 是如何使用 Secrets store 的,当然首先需要在 Kubernetes 集群中安装 Dapr 控制平面。
Dapr 可以使用许多不同的 secret stores 来解析 secrets 数据,比如AWS Secret Manager、Azure Key Vault、GCP Secret Manager、Kubernetes等,我们这里可以直接使用 Kubernetes 的 Secret 对象进行演示。
首先讲 secrets 数据添加到./mysecret文件,比如你的密码是abcd,则./mysecret文件内容应该就是abcd。
然后基于./mysecret文件创建一个 Kubernetes Secret 对象:
$ kubectl create secret generic mysecret --from-file ./mysecret
注意创建的 Secret 对象的名称mysecret,后面会使用到。
创建完成后我们可以查看下该对象中的数据是否符合预期:
$ kubectl get secret mysecret -o yaml
apiVersion: v1
data:
mysecret: YWJjZAo=
kind: Secret
metadata:
creationTimestamp: "2022-09-27T07:34:31Z"
name: mysecret
namespace: default
resourceVersion: "5133821"
uid: c9aa573c-5f71-439c-b482-748ac0fe3ae7
type: Opaque
接下来我们就可以部署 Node.js 应用到 Kubernetes 集群中,对应的资源清单文件如下所示:
kind: Service
apiVersion: v1
metadata:
name: nodeapp
labels:
app: node
spec:
selector:
app: node
ports:
- protocol: TCP
port: 80
targetPort: 3000
type: LoadBalancer
---
apiVersion: apps/v1
kind: Deployment
metadata:
name: nodeapp
labels:
app: node
spec:
selector:
matchLabels:
app: node
template:
metadata:
labels:
app: node
annotations:
dapr.io/enabled: "true"
dapr.io/app-id: "nodeapp"
dapr.io/app-port: "3000"
spec:
containers:
- name: node
image: ghcr.io/dapr/samples/secretstorenode:latest
env:
- name: SECRET_STORE
value: "kubernetes"
ports:
- containerPort: 3000
imagePullPolicy: Always
这里的核心重点是需要我们配置环境变量SECRET_STORE,将其值设置为kubernetes,这样我们的应用就知道应该通过 Kubernetes 获取 Secret 数据了。直接部署该应用即可:
$ kubectl apply -f deploy/node.yaml
$ kubectl get pods
NAME READY STATUS RESTARTS AGE
nodeapp-6cb5b689cf-vtn74 2/2 Running 0 92
$ kubectl get svc
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
nodeapp LoadBalancer 10.101.216.73 192.168.0.50 80:32719/TCP 13d
nodeapp-dapr ClusterIP None <none> 80/TCP,50001/TCP,50002/TCP,9090/TCP 13d
部署完成后我们这里可以通过192.168.0.50这个EXTERNAL-IP访问到应用:
curl -k http://192.168.0.50/getsecret
正常上面的请求输出结果为YWJjZAo=,也可以查看 Node 应用日志:
$ kubectl logs --selector=app=node -c node
Node App listening on port 3000!
Fetching URL: http://localhost:3500/v1.0/secrets/kubernetes/mysecret?metadata.namespace=default
Base64 encoded secret is: YWJjZAo=
从上面日志可以看出 Node 应用程序正在向 dapr 发出请求,以便从 secret store 获取 secret 数据,注意其中的mysecret是上面创建的 Secret 对象名称。
当然如果你使用的是其他 secret store,比如 HashiCorp Vault 则需要创建一个对应的 Component 组件了,类型为secretstores.hashicorp.vault,如下所示的资源清单:
apiVersion: dapr.io/v1alpha1
kind: Component
metadata:
name: vault
spec:
type: secretstores.hashicorp.vault
version: v1
metadata:
- name: vaultAddr
value: [vault_address]
- name: caCert
value: "[ca_cert]"
- name: caPath
value: "[path_to_ca_cert_file]"
- name: caPem
value : "[encoded_ca_cert_pem]"
- name: skipVerify
value : "[skip_tls_verification]"
- name: tlsServerName
value : "[tls_config_server_name]"
- name: vaultTokenMountPath
value : "[path_to_file_containing_token]"
- name: vaultToken
value : "[path_to_file_containing_token]"
- name: vaultKVPrefix
value : "[vault_prefix]"
- name: vaultKVUsePrefix
value: "[true/false]"
- name: enginePath
value: "secret"
- name: vaultValueType
value: "map"
对于其他 Dapr 支持的 secret store 的配置属性可以参考官方文档https://docs.dapr.io/reference/components-reference/supported-secret-stores/了解相关信息。
©本文为清一色官方代发,观点仅代表作者本人,与清一色无关。清一色对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。本文不作为投资理财建议,请读者仅作参考,并请自行承担全部责任。文中部分文字/图片/视频/音频等来源于网络,如侵犯到著作权人的权利,请与我们联系(微信/QQ:1074760229)。转载请注明出处:清一色财经
微信扫码打赏 
支付宝扫码打赏 
