K8S secret怎么友好更新？

K8S从secret文件生成密钥后，如何更新Kubernetes上的密钥呢？

前提

生成密钥配置

kubectl -n cattle-system create secret tls tls-rancher-ingress --cert=./tls.crt --key=./tls.key

方法一

相信大多数的人第一反应，是先删除，再重新创建secret

kubectl delete secret tls-rancher-ingress -n cattle-system
kubectl -n cattle-system create secret tls tls-rancher-ingress --cert=./tls.crt --key=./tls.key

但是此方法存在明显的问题：在删除新建secret的空窗期，是存在风险，平时测试或者不大常用的服务还可以尝试，但是在访问活跃的情况下，会导致大量的异常请求。

方法二

通过--dry-run参数预览，然后apply

kubectl -n cattle-system create secret tls tls-rancher-ingress --cert=./tls.crt --key=./tls.key --dry-run -o yaml |kubectl apply  -f -

方法二在创建secret的时候，添加了--dry-run的参数，具体使用方法可参考https://kubernetes.io/docs/reference/generated/kubectl/kubectl-commands，该参数的主要作用是预览要发送到集群的对象，而无需真正提交。该方法较方法一更优雅简单。

方法三

使用jq的=或|=运算符来动态更新密钥

TLS_KEY=$(base64 < "./tls.key" | tr -d '\n')
TLS_CRT=$(base64 < "./tls.crt" | tr -d '\n')

kubectl get secrets tls-rancher-ingress -o json \
        | jq '.data["tls.key"] |= "$TLS_KEY"' \
        | jq '.data["tls.crt"] |= "$TLS_CRT"' \
        | kubectl apply -f -

方法三尽管它可能不像kubectl create secret tls --dry-run方法那样优雅或简单，但从技术上讲，此方法实际上是在更新值，而不是删除/重新创建它们。还需要jq和base64（或openssl enc -base64）命令，tr是一种常用的Linux实用程序，用于修剪尾随换行符。