razorpay/kubestash Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
razorpay/kubestashrazorpay
将Credstash中的密钥同步到Kubernetes
下载次数: 0状态:社区镜像维护者:razorpay仓库类型:镜像最近更新:10 个月前
kubestash
概述
kubestash 是一个用于将 Credstash 密钥推送到 Kubernetes 的工具,可实现 Credstash 存储的密钥与 Kubernetes Secret 的同步,方便在 Kubernetes 环境中管理和使用这些密钥。
核心功能与特性
- 密钥同步:从指定的 Credstash 表拉取密钥并推送到 Kubernetes Secret
- 灵活配置:支持 Kubernetes 命名空间、上下文、API 服务器代理、AWS 区域等参数设置
- 密钥管理:可强制替换已存在的 Secret,支持保留元数据信息
- 密钥转换:提供大小写转换功能,适应不同环境的密钥命名规范(如转换为大写环境变量或 DNS 子域名格式)
- 自动同步:通过 daemon 模式监控 DynamoDB Streams,实现密钥更新的自动同步
安装
bashpip3 install kubestash
使用方法
命令语法
bashkubestash push [-h] [-p PROXY] [-v] [--trace] [-f] [-n NAMESPACE] [-l] [-c CONTEXT] [-r REGION] table secret
位置参数
| 参数 | 描述 |
|---|---|
| table | 要拉取密钥的 Credstash 表名 |
| secret | 目标 Kubernetes Secret 名称 |
可选参数
| 参数 | 描述 |
|---|---|
| -h, --help | 显示帮助信息并退出 |
| -p PROXY, --proxy PROXY | Kubernetes API 服务器主机名,例如:--proxy 127.0.0.1:8080 |
| -v, --verbose | 启用详细输出模式 |
| --trace | 发生 SSLError 时显示完整堆栈跟踪 |
| -f, --force | 强制替换已存在的 Secret |
| --preserve-metadata | 替换 Secret 时保留对象元数据 |
| -n NAMESPACE, --namespace NAMESPACE | 指定 Kubernetes 命名空间 |
| -U, --uppercase | 将 Credstash 中的小写密钥转换为大写环境变量(UPPER_CASE) |
| -l, --lowercase | 将 SECRET 密钥转换为小写并将 "_" 转换为 "-"(DNS_SUBDOMAIN),用于兼容旧版 Kubernetes(已弃用) |
| -c CONTEXT, --context CONTEXT | 指定 Kubernetes 上下文 |
| -r REGION, --region REGION | 指定 AWS 区域 |
在部署中添加环境变量
将以下配置添加到容器定义中,从 Secret 导入环境变量:
yamlenvFrom: - secretRef: name: secret-name # 替换为实际的 Secret 名称
示例配置可参考 test/example.deploy.yaml。
使用场景
kubestash 适用于以下场景:
- 同时使用 Credstash 存储环境变量密钥和 Kubernetes 管理容器环境
- 需要将 Credstash 中的密钥同步到 Kubernetes 供应用使用
- 需要自动监控 Credstash 密钥更新并同步到 Kubernetes
基本同步
手动将 Credstash 表中的密钥推送到 Kubernetes Secret:
bashkubestash push -v TABLE SECRET
自动同步
通过 daemon 模式监控 DynamoDB 更新并自动同步:
bashkubestash daemon -v TABLE SECRET
该模式利用 DynamoDB Streams 监控 Credstash 表变化,密钥更新时自动触发同步。
密钥名称约束
Kubernetes Secret 密钥名称需符合以下规范:
- 必须包含字母数字字符、‘-’、‘_’ 或 ‘.’ [1]
- 环境变量名称仅限大写字母、数字和下划线 '_' [2]
使用 credstash -t=table put KEY VALUE 时,需确保 KEY 符合上述约束。对于旧版 Kubernetes,可使用 -l --lowercase 标志转换密钥格式(已弃用)。
[1] []
[2] []
已知问题
SSL 错误问题
使用旧版 Python 时可能出现以下 SSL 错误:
SSLError(SSLError(1, u'[SSL: TLSV1_ALERT_PROTOCOL_VERSION] tlsv1 alert protocol version (_ssl.c:590)'),)
解决方法
- 更新依赖并重新安装 Python:
bashbrew update brew install openssl brew uninstall python3 brew install python3
- 使用代理规避问题:
bashkubectl proxy -p 8080 kubestash --proxy 127.0.0.1:8080 table secret
mcp/razorpay
mcp
Razorpay's Official MCP Server
1 次收藏4.1千+ 次下载
10 天前更新
razorpay/ifsc
razorpay
提供Razorpay IFSC API服务的服务器,支持通过银行代码、地区、城市等条件查询银行分支机构信息,包含/search和/places等API端点,返回JSON格式数据,可通过Docker快速部署。
1万+ 次下载
15 天前更新
razorpay/metro
razorpay
暂无描述
5万+ 次下载
1 年前更新
razorpay/imagepullsecret-patcher
razorpay
用于创建和修补Kubernetes镜像拉取密钥(imagepull Secrets)的Docker镜像,简化容器镜像拉取认证配置流程。
5万+ 次下载
1 个月前更新
razorpay/concierge
razorpay
Concierge-Ingress允许为Kubernetes Ingress对象创建连接租约,支持设置过期时间、自动或手动终止租约,防止重复获取活动租约,通过Kubernetes client go包管理k8s对象。
1万+ 次下载
10 个月前更新
razorpay/opencensus-php
razorpay
opencensus-php是集成OpenCensus PHP库的Docker镜像,用于在PHP应用中快速实现分布式追踪功能,支持追踪数据收集、上下文传播及导出至Jaeger、Zipkin等后端系统,助力监控和调试分布式PHP服务。
1万+ 次下载
10 个月前更新
镜像拉取常见问题
使用与功能问题
错误码与失败问题
manifest unknown 错误:镜像不存在或标签错误
manifest unknown 错误
TLS/SSL 证书验证失败:Docker pull 时 HTTPS 证书错误
TLS 证书验证失败
DNS 解析超时:无法解析镜像仓库地址或连接超时
DNS 解析超时
410 Gone 错误:Docker 版本过低导致协议不兼容
410 错误:版本过低
402 Payment Required 错误:流量耗尽错误提示
402 错误:流量耗尽
401 UNAUTHORIZED 错误:身份认证失败或登录信息错误
身份认证失败错误
429 Too Many Requests 错误:请求频率超出专业版限制
429 限流错误
Docker login 凭证保存错误:Cannot autolaunch D-Bus(不影响登录)
凭证保存错误
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"