k8s-sercret

概念:

Secret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 这样的信息可能会被放在 Pod 规约中或者镜像中。 使用 Secret 意味着你不需要在应用程序代码中包含机密数据。

由于创建 Secret 可以独立于使用它们的 Pod, 因此在创建、查看和编辑 Pod 的工作流程中暴露 Secret(及其数据)的风险较小。 Kubernetes 和在集群中运行的应用程序也可以对 Secret 采取额外的预防措施, 例如避免将敏感数据写入非易失性存储。

Secret 类似于 ConfigMap 但专门用于保存机密数据,其实只是简单的base64编码 一下

secret 的信息其实是存储在etcd下以base64编码形式存储

secret 并不是很安全:

1.https://zhuanlan.zhihu.com/p/671053753

2.https://kubernetes.io/zh-cn/docs/concepts/configuration/secret/#information-security-for-secrets

使用场景

你可以将 Secret 用于以下场景:

Kubernetes 控制面也使用 Secret; 例如,引导令牌 Secret 是一种帮助自动化节点注册的机制。

Secret 的类型

创建 Secret 时,你可以使用 Secret 资源的 type 字段,或者与其等价的 kubectl 命令行参数(如果有的话)为其设置类型。 Secret 类型有助于对 Secret 数据进行编程处理。

Kubernetes 提供若干种内置的类型,用于一些常见的使用场景。 针对这些类型,Kubernetes 所执行的合法性检查操作以及对其所实施的限制各不相同。

内置类型 用法
Opaque 用户定义的任意数据(默认类型
kubernetes.io/service-account-token 服务账号令牌
kubernetes.io/dockercfg ~/.dockercfg 文件的序列化形式
kubernetes.io/dockerconfigjson ~/.docker/config.json 文件的序列化形式
kubernetes.io/basic-auth 用于基本身份认证的凭据
kubernetes.io/ssh-auth 用于 SSH 身份认证的凭据
kubernetes.io/tls 用于 TLS 客户端或者服务器端的数据
bootstrap.kubernetes.io/token 启动引导令牌数据

创建和使用

复制代码
#查看命令详情
kubectl create secret <secretName> --help

解密:

复制代码
#1查看secret data 数据
kubectl get secret <secretName> -o jsonpath='{.data}' -n <Namespace>
# 2 base64解密想看的数据
echo '<your secretData>' | base64 -d 
相关推荐
掘金-我是哪吒19 分钟前
分布式微服务系统架构第155集:JavaPlus技术文档平台日更-Java线程池实现原理
java·分布式·微服务·云原生·架构
朱杰jjj37 分钟前
Docker容器中无法使用vim、vi命令处理
docker·容器·vim
东林牧之1 小时前
CICD[软件安装]:docker安装gitlab
docker·容器·gitlab
cui_hao_nan10 小时前
Docker后端部署
运维·docker·容器
小张是铁粉12 小时前
docker在Linux的安装遇到的问题
linux·docker·容器
没有名字的小羊14 小时前
8.Docker镜像讲解
运维·docker·容器·tomcat
木鱼时刻14 小时前
容器与 Kubernetes 基本概念与架构
容器·架构·kubernetes
LCG元16 小时前
云原生微服务间的异步消息通信:最终一致性与系统容错的架构实战
微服务·云原生·架构
做一个AC梦16 小时前
Docker安装失败:Docker Desktop installation failed
运维·docker·容器
Shan120516 小时前
浅谈Docker Kicks in的应用
运维·docker·容器