使用 Flux 和 Terraform 的 Kubernetes 秘密

Posted 2023-03-24

【中文标题】使用 Flux 和 Terraform 的 Kubernetes 秘密

【英文标题】：Kubernetes secret with Flux and Terraform

【发布时间】：2020-12-27 21:28:11

【问题描述】：

总的来说，我是 terraform 和 devops 的新手。首先，我需要从 url 获取已知主机的 ssh 密钥，以便以后用于 Flux。

data "helm_repository" "fluxcd" 
  name = "fluxcd"
  url  = "https://charts.fluxcd.io"


resource "helm_release" "flux" 
  name      = "flux"
  namespace = "flux"

  repository = data.helm_repository.fluxcd.metadata[0].name
  chart      = "flux"

  set 
    name  = "git.url"
    value = "git.project"
  

  set 
    name  = "git.secretName"
    value = "flux-git-deploy"
  

  set 
    name  = "syncGarbageCollection.enabled"
    value = true
  

  
  set_string 
    name  = "ssh.known_hosts"
    value = Need this value from url
  

然后我需要生成密钥并使用它来创建 kubernetes 密钥以与 gitlab 存储库进行通信。

resource "kubernetes_secret" "flux-git-deploy" 
  metadata 
    name      = "flux-git-deploy"
    namespace = "flux"
  

  type = "Opaque"

  data = 
    identity = tls_private_key.flux.private_key_pem
  


resource "gitlab_deploy_key" "flux_deploy_key" 
    title = "Title"
    project = "ProjectID"
    key = tls_private_key.flux.public_key_openssh
    can_push = true

我不确定我是否走在正确的轨道上。任何建议都会有所帮助。

【参考方案1】：

您可以使用的方法很少。这些可以分为“两类”：

手动生成 ssh_known_hosts 并通过变量或文件使用输出 在运行 terraform 的机器上使用命令 ssh-keyscan <git_domain> 创建文件，并将路径设置为 ssh.known_hosts 的值。 你也可以直接在变量中使用file function或者直接使用文件输出作为环境变量。我个人不推荐它，因为该值直接保存在 terraform 状态，但在这种情况下，它不是一个关键问题。如果您使用的是 ssh_keys 或凭据，则至关重要。 另一种方法是使用local-exec provisioner 和null_resource，然后再为flux 创建helm 资源并直接在terraform 中创建文件。但除此之外，您还必须注意访问您创建的文件并管理触发器以在设置发生更改时运行命令。

一般来说，我不会将 terraform 用于此类事情。可以提供直接绑定到基础架构的 aws 资源或服务等基础架构，但为了创建和运行服务，您需要像 ansible 这样的配置工具，您可以在其中直接将“ssh-keyscan”等命令作为模块运行。最后，您需要一个稳定的管道，以便在 terraform 更改后运行 ansible（或您最喜欢的配置工具）。

但是，如果您只想使用 terraform，那么您将采用正确的方式。

【讨论】：

你能分享一些如何使用 Helm Gitlab Terraform Ansible 来解决这种类型的解决方案吗？

使用 terraform，您将创建运行 Kubernetes 的基础设施。假设您使用的是 AWS，一旦您创建了基础设施，您就有了 IP 地址。使用 ip 地址，您正在创建您的清单，其中 ansible 提供 kubernetes 样板并将机器注册到您的 k8s 集群。完成后，您可以安装 Flux helm 图表。看看：github.com/geerlingguy/ansible-role-kubernetes、docs.ansible.com/ansible/latest/modules/helm_module.html 和 docs.ansible.com/ansible/latest/user_guide/…

当然，您可以使用 K8s-as-a-Service 并直接使用 terraform 创建样板，并且仅使用 ansible 创建与 kubernetes 集群的连接并直接安装 helm chart。还可以查看：registry.terraform.io/modules/terraform-aws-modules/eks/aws/… registry.terraform.io/modules/terraform-google-modules/… 和 github.com/ansible-collections/community.kubernetes