Kubernetes 通常使用 ConfigMap 和 Secret 来设置环境变量， 这会引入额外的 API 调用和复杂性。例如，你需要分别管理工作负载的 Pod 和它们的配置， 同时还要确保配置和工作负载 Pod 的有序更新。

另外，你可能在使用一个供应商提供的、需要环境变量（例如许可证密钥或一次性令牌）的容器， 但你又不想对这些变量进行硬编码，或者仅仅为了完成工作而挂载卷。

如果你正面对这种情况，现在有一种新的（Alpha）方式来实现。只要你在集群中启用了 EnvFiles 特性门控 ， 你就可以告诉 kubelet 从一个卷中加载容器的环境变量（此卷必须是容器所属的 Pod）。 这个特性门控允许你直接从 emptyDir 卷中的文件加载环境变量，而不需要将该文件实际挂载到容器中。 这是一个简单而优雅的解决方案，可以应对一些出乎意料的常见问题。

特性概述

从核心上来说，这个特性允许你将容器指向一个文件，该文件由 initContainer 生成， 然后让 Kubernetes 解析该文件以设置你的环境变量。此文件位于一个 emptyDir 卷中（这是一种临时存储空间，只要 Pod 存在就会保留），你的主容器不需要挂载此卷。 kubelet 会在容器启动时读取文件并注入这些变量。

工作原理

这里有一个简单的例子：

apiVersion: v1
kind:Pod
spec:
initContainers:
-name:generate-config
image:busybox
command:['sh','-c','echo "CONFIG_VAR=HELLO" > /config/config.env']
volumeMounts:
-name:config-volume
mountPath:/config
containers:
-name:app-container
image:gcr.io/distroless/static
env:
-name:CONFIG_VAR
valueFrom:
fileKeyRef:
path:config.env
volumeName:config-volume
key:CONFIG_VAR
volumes:
-name:config-volume
emptyDir:{}

使用这种方法非常简单。你在 Pod 规约中使用 fileKeyRef 字段定义环境变量， 此字段告诉 Kubernetes 去哪里找到文件以及要提取哪个键。 此文件本身类似于 .env 语法的标准格式（即 KEY=VALUE ）， 并且（至少在这个 Alpha 阶段）你必须确保它被写入到一个 emptyDir 卷中。 其他类型的卷在此特性中不受支持。至少有一个 Init 容器必须挂载该 emptyDir 卷（以写入文件）， 但主容器不需要挂载它——它在启动时就能直接获取这些变量。

关于安全性

虽然此特性支持处理密钥或令牌等敏感数据，但需要注意它的实现依赖于挂载到 Pod 的 emptyDir 卷。 具有节点文件系统访问权限的操作人员因此可以通过 Pod 目录路径轻易获取这些敏感数据。

如果使用此特性存储密钥或令牌等敏感数据，确保你的集群安全策略能够有效保护节点免受未经授权的访问， 以防止机密信息泄露。

总结

此特性将消除如今使用的许多复杂变通方法，简化应用编写，并为更多使用场景打开大门。 Kubernetes 保持灵活性，欢迎反馈。请告诉我们你是如何使用这个特性的，或者此特性还缺少什么。