k8s-sercret

概念:

Secret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 这样的信息可能会被放在 Pod 规约中或者镜像中。 使用 Secret 意味着你不需要在应用程序代码中包含机密数据。

由于创建 Secret 可以独立于使用它们的 Pod, 因此在创建、查看和编辑 Pod 的工作流程中暴露 Secret(及其数据)的风险较小。 Kubernetes 和在集群中运行的应用程序也可以对 Secret 采取额外的预防措施, 例如避免将敏感数据写入非易失性存储。

Secret 类似于 ConfigMap 但专门用于保存机密数据,其实只是简单的base64编码 一下

secret 的信息其实是存储在etcd下以base64编码形式存储

secret 并不是很安全:

1.https://zhuanlan.zhihu.com/p/671053753

2.https://kubernetes.io/zh-cn/docs/concepts/configuration/secret/#information-security-for-secrets

使用场景

你可以将 Secret 用于以下场景:

Kubernetes 控制面也使用 Secret; 例如,引导令牌 Secret 是一种帮助自动化节点注册的机制。

Secret 的类型

创建 Secret 时,你可以使用 Secret 资源的 type 字段,或者与其等价的 kubectl 命令行参数(如果有的话)为其设置类型。 Secret 类型有助于对 Secret 数据进行编程处理。

Kubernetes 提供若干种内置的类型,用于一些常见的使用场景。 针对这些类型,Kubernetes 所执行的合法性检查操作以及对其所实施的限制各不相同。

内置类型 用法
Opaque 用户定义的任意数据(默认类型
kubernetes.io/service-account-token 服务账号令牌
kubernetes.io/dockercfg ~/.dockercfg 文件的序列化形式
kubernetes.io/dockerconfigjson ~/.docker/config.json 文件的序列化形式
kubernetes.io/basic-auth 用于基本身份认证的凭据
kubernetes.io/ssh-auth 用于 SSH 身份认证的凭据
kubernetes.io/tls 用于 TLS 客户端或者服务器端的数据
bootstrap.kubernetes.io/token 启动引导令牌数据

创建和使用

复制代码
#查看命令详情
kubectl create secret <secretName> --help

解密:

复制代码
#1查看secret data 数据
kubectl get secret <secretName> -o jsonpath='{.data}' -n <Namespace>
# 2 base64解密想看的数据
echo '<your secretData>' | base64 -d 
相关推荐
Waay8 小时前
面试口述版:个人对 Prometheus 完整理解
运维·学习·云原生·面试·职场和发展·kubernetes·prometheus
云烟成雨TD13 小时前
Kubernetes 系列【4】基础概念
云原生·容器·kubernetes
云烟成雨TD15 小时前
Kubernetes 系列【3】使用 kubeadm 创建 K8s 集群
云原生·容器·kubernetes
qq_3494479515 小时前
十二、k8s中prometheus配置文件如何热加载
容器·kubernetes·prometheus
江畔柳前堤16 小时前
第13章:docker生产环境部署实战
运维·git·docker·容器·代码复审
潘正翔19 小时前
docker基础_镜像使用
linux·运维·服务器·docker·容器·centos·devops
江湖有缘19 小时前
Lunalytics部署指南:使用Docker快速搭建私有监控面板
运维·docker·容器
分布式存储与RustFS20 小时前
RustFS保姆级教程:Docker快速部署兼容S3的本地对象存储
运维·docker·容器·rustfs部署教程·本地搭建s3对象存储·rustfs网页控制台使用·awscli连接rustfs
江湖有缘20 小时前
Docker部署Papra极简文件归档平台
运维·docker·容器
艾文伯特21 小时前
k8s-1.35-centos7-安装文档
云原生·容器·kubernetes