Blog
Thoughts on engineering, design, and building great products.
Secret, Lối Vòng và Hardening
Part XI khép lại ở Secret và những lỗ hổng còn sót. Ta đọc thẳng etcd để xác nhận Secret được mã hóa at-rest từ Bài 5, rồi dựng một lối vòng thật: một ServiceAccount không có quyền đọc Secret vẫn moi được giá trị bằng cách tạo một pod mount Secret đó và đọc log. Cuối bài là bảng các bước siết cụm tự dựng — cái nào đã làm trong series, cái nào còn thiếu.
ConfigMap và Secret
Đừng nướng cấu hình vào image — tách nó ra ConfigMap cho dữ liệu thường, Secret cho dữ liệu nhạy cảm, rồi tiêm vào pod qua biến môi trường hay file. Bài này mở Part VI bằng cả hai: bốn cách tiêu thụ, một khác biệt then chốt (file tự cập nhật khi sửa, env thì không), và sự thật phũ phàng rằng Secret chỉ base64 chứ không mã hóa — trừ khi bạn tự bật, mà cụm của ta thì đã bật từ Bài 5. Test thật, đào cả tận etcd.
ConfigMap và Secret: Tách Cấu Hình Khỏi Image
Cùng một image phải chạy được ở dev, staging, production — nghĩa là cấu hình không thể nằm cứng trong image. ConfigMap giữ cấu hình thường, Secret giữ dữ liệu nhạy cảm. Bài này: tạo và inject chúng vào pod qua biến môi trường lẫn file, kèm cảnh báo quan trọng về 'Secret chỉ là base64'.