أفضل ممارسات الإعدادات

القاعدة الذهبية

لا تضع إعدادات البيئة داخل Image. Image يجب أن تكون قابلة للتشغيل في dev و staging و prod مع اختلاف الإعدادات فقط.

ConfigMap كـ environment variables

envFrom:
  - configMapRef:
      name: app-config

Secret كـ environment variables

env:
  - name: DB_PASSWORD
    valueFrom:
      secretKeyRef:
        name: db-secret
        key: DB_PASSWORD

تركيب الإعدادات كملفات

volumeMounts:
  - name: config
    mountPath: /app/config
volumes:
  - name: config
    configMap:
      name: app-config

Secrets ليست تشفيرا كاملا

Secret في Kubernetes يحمي البيانات أفضل من ConfigMap، لكنه ليس وحده كافيا. تحتاج:

• RBAC مضبوط.
• عدم تخزين Secrets كنص صريح داخل Git.
• تفعيل encryption at rest في البيئة الحقيقية.
• استخدام External Secrets أو cloud secret manager عند الحاجة.

الفكرة ببساطة

Secret لا يعني “لا أحد يستطيع رؤيته”. مع صلاحيات خاطئة، يمكن قراءته. الأمان الحقيقي يأتي من RBAC و encryption و إدارة صحيحة.

تحديث ConfigMap أو Secret

إذا تغير ConfigMap، التطبيق قد لا يقرأ التغيير تلقائيا حسب طريقة الاستخدام. غالبا تحتاج restart للـ Pods:

kubectl rollout restart deployment/api

Lab: فصل إعدادات التطبيق

المستوى: مبتدئ الوقت: 20 دقيقة الأدوات: kubectl

الهدف: نقل APP_MODE إلى ConfigMap و DB_PASSWORD إلى Secret.

1. أنشئ ConfigMap.
2. أنشئ Secret.
3. مرر الاثنين إلى Deployment.
4. استخدم kubectl exec للتأكد من وجود environment variables.

اختبر فهمك

هل Secret وحده يكفي لحماية كلمة المرور؟

إظهار الإجابة

لا. يجب ضبط RBAC وتجنب تخزين Secret كنص صريح في Git واستخدام encryption at rest أو secret manager في Production.