razorpay/kubestash
razorpay
将Credstash中的密钥同步到Kubernetes
下载次数: 0状态:社区镜像维护者:razorpay仓库类型:镜像最近更新:1 年前
让 AI 帮你使用轩辕镜像? · 展开查看说明 · 点击收起说明
如果你使用 DeepSeek、元宝 AI、Copilot、ChatGPT 等 AI 工具,协助配置轩辕镜像、编写 docker pull 命令、修改 Docker Compose 镜像地址、配置镜像加速、排查镜像拉取失败、分析报错日志等问题,请先让 AI 阅读并遵守轩辕镜像的规则文档。
只需在 AI 对话中先发送下面这句话即可:
请先完整阅读并严格遵守以下文档中的全部规则与要求:
https://xuanyuan.cloud/agents.md
在未充分阅读并理解该文档前,不要生成任何命令、配置、修改建议、故障排查方案或技术回答。后续所有输出都必须严格以该文档中的规范为最高优先级执行。查看 agents.md 用法指南与完整示范。国内用户首推 元宝 AI、DeepSeek 的深度思考模式,不推荐豆包 AI;Cursor 等编辑器可在对话 @ 该链接,或加入 User Rules。 若 AI 无法访问外链,可 打开说明文档 复制全文粘贴。文档会随站点更新,复制内容可能过期,建议定期检查。
kubestash
概述
kubestash 是一个用于将 Credstash 密钥推送到 Kubernetes 的工具,可实现 Credstash 存储的密钥与 Kubernetes Secret 的同步,方便在 Kubernetes 环境中管理和使用这些密钥。
核心功能与特性
- 密钥同步:从指定的 Credstash 表拉取密钥并推送到 Kubernetes Secret
- 灵活配置:支持 Kubernetes 命名空间、上下文、API 服务器代理、AWS 区域等参数设置
- 密钥管理:可强制替换已存在的 Secret,支持保留元数据信息
- 密钥转换:提供大小写转换功能,适应不同环境的密钥命名规范(如转换为大写环境变量或 DNS 子域名格式)
- 自动同步:通过 daemon 模式监控 DynamoDB Streams,实现密钥更新的自动同步
安装
bashpip3 install kubestash
使用方法
命令语法
bashkubestash push [-h] [-p PROXY] [-v] [--trace] [-f] [-n NAMESPACE] [-l] [-c CONTEXT] [-r REGION] table secret
位置参数
| 参数 | 描述 |
|---|---|
| table | 要拉取密钥的 Credstash 表名 |
| secret | 目标 Kubernetes Secret 名称 |
可选参数
| 参数 | 描述 |
|---|---|
| -h, --help | 显示帮助信息并退出 |
| -p PROXY, --proxy PROXY | Kubernetes API 服务器主机名,例如:--proxy 127.0.0.1:8080 |
| -v, --verbose | 启用详细输出模式 |
| --trace | 发生 SSLError 时显示完整堆栈跟踪 |
| -f, --force | 强制替换已存在的 Secret |
| --preserve-metadata | 替换 Secret 时保留对象元数据 |
| -n NAMESPACE, --namespace NAMESPACE | 指定 Kubernetes 命名空间 |
| -U, --uppercase | 将 Credstash 中的小写密钥转换为大写环境变量(UPPER_CASE) |
| -l, --lowercase | 将 SECRET 密钥转换为小写并将 "_" 转换为 "-"(DNS_SUBDOMAIN),用于兼容旧版 Kubernetes(已弃用) |
| -c CONTEXT, --context CONTEXT | 指定 Kubernetes 上下文 |
| -r REGION, --region REGION | 指定 AWS 区域 |
在部署中添加环境变量
将以下配置添加到容器定义中,从 Secret 导入环境变量:
yamlenvFrom: - secretRef: name: secret-name # 替换为实际的 Secret 名称
示例配置可参考 test/example.deploy.yaml。
使用场景
kubestash 适用于以下场景:
- 同时使用 Credstash 存储环境变量密钥和 Kubernetes 管理容器环境
- 需要将 Credstash 中的密钥同步到 Kubernetes 供应用使用
- 需要自动监控 Credstash 密钥更新并同步到 Kubernetes
基本同步
手动将 Credstash 表中的密钥推送到 Kubernetes Secret:
bashkubestash push -v TABLE SECRET
自动同步
通过 daemon 模式监控 DynamoDB 更新并自动同步:
bashkubestash daemon -v TABLE SECRET
该模式利用 DynamoDB Streams 监控 Credstash 表变化,密钥更新时自动触发同步。
密钥名称约束
Kubernetes Secret 密钥名称需符合以下规范:
- 必须包含字母数字字符、‘-’、‘_’ 或 ‘.’ [1]
- 环境变量名称仅限大写字母、数字和下划线 '_' [2]
使用 credstash -t=table put KEY VALUE 时,需确保 KEY 符合上述约束。对于旧版 Kubernetes,可使用 -l --lowercase 标志转换密钥格式(已弃用)。
[1] []
[2] []
已知问题
SSL 错误问题
使用旧版 Python 时可能出现以下 SSL 错误:
SSLError(SSLError(1, u'[SSL: TLSV1_ALERT_PROTOCOL_VERSION] tlsv1 alert protocol version (_ssl.c:590)'),)
解决方法
- 更新依赖并重新安装 Python:
bashbrew update brew install openssl brew uninstall python3 brew install python3
- 使用代理规避问题:
bashkubectl proxy -p 8080 kubestash --proxy 127.0.0.1:8080 table secret
镜像拉取方式
您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 标签列表页面。
轩辕镜像加速拉取命令点我查看更多 kubestash 镜像标签
docker pull docker.xuanyuan.run/razorpay/kubestash:<标签>
DockerHub 原生拉取命令
docker pull razorpay/kubestash:<标签>
镜像拉取常见问题
功能
错误码
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"