Azure CSI Key Vault Provider动态更新秘密Pod在线

Question

我们使用AKS，Azure密钥Vaults，目前使用CSI驱动程序在容器创建时将秘密数据传递到我们的容器中(通过CSI驱动程序)。

CSI驱动程序的文档似乎表明，它通过“自动转换”支持动态密钥库值更新。然而，如果我们把一个在线的吊舱安装起来，并且改变密钥商店中的秘密值，我们就不会看到这个值在我们的吊舱中发生变化--我们已经等待了超过6000万的时间来看看是否有某种投票间隔。

有人能确认CSI驱动键自动旋转是否能动态地保持最新运行舱的秘密吗？最终，我们正在寻找一种方法来更新我们的舱中的秘密，这些秘密来自Azure Key Vaults (通过CSI驱动程序)，而不需要重新启动吊舱。如果有人能指出正确的方向，我们将不胜感激。

Answer 1

查看文档，还可以应用其他配置：

• enableSecretRotation:布尔型。如果true，定期更新荚挂载和Kubernetes秘密的最新内容，从外部秘密商店。
• rotationPollInterval:如果enableSecretRotation是true，则指定秘密轮询间隔时间。这个持续时间可以根据所有吊舱和库伯奈特秘密的挂载内容需要重新整合到最新的频率来调整。
• syncSecret.enabled:布尔输入。在某些情况下，您可能希望创建一个Kubernetes秘密来反映已装入的内容。如果是true，SecretProviderClass允许secretObjects字段定义同步的Kubernetes秘密对象的所需状态。