====== Ресурсы (ConfigMaps/Secrets) ======


===== Secrets =====
Объекты секретов могут создаваться как пользователем так и системой, например кубер автоматически создает нужные ему секреты для доступа к API и модифицирует поды для использования этих секретов\\
Объект секретов можно создать командой **kubectl create secret** либо вручную заполнить yaml манифест данными в base64\\

  * **Opaque** - позволяет хранить любые данные в формате "ключ-значение", универсальный тип
  * **kubernetes.io/service-account-token** - хранит JWT токен для сервисного акка, создается при создании акка
  * **kubernetes.io/dockercfg/dockerconfigjson** - конфиг для докера
  * **kubernetes.io/basic-auth** - пара "логин-пароль" в base64
  * **kubernetes.io/ssh-auth** - приватный ключ для ssh. В поле Data манифеста мы должны указать ssh-privatekey
  * **kubernetes.io/tls** - сертификат и приватный ключ от него, в поле "data" мы должны указать ключи "tls.key" и "tls.crt"


<details>
<summary>:!: Создание секретов</summary>
Создать секрет из файлов командой кубера:\\
<code bash>
kubectl create secret generic my-secret --from-file=first.txt --from-file=second.txt

kubectl get secrets
kubectl describe secrets/my-secret
</code>

Создание через yaml манифест. Данные предварительно закодированы в base64\\
<code yaml>
apiVersion: v1
kind: Secret
metadata: 
  name: my-secret
type: Opaque
data:
  username: wefwef=
  password: ssv=
</code>

Далее создаем файлом
<code bash>
kubectl create -f my-file.yaml
kubectl get secret my-secret -o yaml
</code>
</details>


Секреты можно примонтировать к поду как тома с данными либо как переменные окружения\\
<details>
<summary>:!: Использование</summary>
<code yaml>
(...)
spec:
  containers:
  - name: mypod
    image: redis
    volumeMounts:
    - name: foo
      mountPath: "/etc/foo"
      readOnly: true
  volumes:
  - name: foo
    secret:
      secretName: mysecret
</code>

Можно примонтировать значение отдельного ключа из секрета\\
<code yaml>
(...)
spec:
  containers:
  - name: mypod
    image: redis
    volumeMounts:
    - name: foo
      mountPath: "/etc/foo"
      readOnly: true
  volumes:
  - name: foo
    secret:
      secretName: mysecret
      items:
      - key: username
        path: my-group/my-username
</code>
В данном случае, значение **username** будет доступно по пути "/etc/foo/my-group/my-username" вместо "/etc/foo/username"\\
Задавать права доступа можно к объектам и даже ключам\\

Подключение в виде переменных окружения выглядит так:\\
<code yaml>
(...)
spec:
  containers:
  - name: mycontainer
    image: redis
    env:
      - name: SECRET_USERNAME
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: username
      - name: SECRET_PASSWORD
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: password
  restartPolicy: Never
</code>
</details>



<details>
<summary>:!: </summary>

<code yaml>
</code>
</details>