K8S之Secret的介绍和使用

sissie喵~2024-04-01 11:25

Secret

Secret的介绍

Secret是一种保护敏感数据的资源对象。例如:密码、token、秘钥等,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。

Pod 可以用两种方式使用 secret:作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里,或者当 kubelet 为 pod 拉取镜像时使用。

secret可选参数有三种:

  • generic: 通用类型,通常用于存储密码数据。
  • tls:此类型仅用于存储私钥和证书。
  • docker-registry: 若要保存docker仓库的认证信息的话,就必须使用此种类型来创建。

Secret类型:

  • Service Account:用于被 serviceaccount 引用。serviceaccout 创建时 Kubernetes 会默认创建对应的 secret。Pod 如果使用了 serviceaccount,对应的 secret 会自动挂载到 Pod 的/run/secrets/kubernetes.io/serviceaccount 目录中。

  • Opaque:base64编码格式的Secret,用来存储密码、秘钥等。可以通过base64 --decode解码获得原始数据,因此安全性弱

  • kubernetes.io/dockerconfigjson:用来存储私有docker registry的认证信息。

Secret的使用

通过环境变量引入Secret

1、把mysql的root用户的password创建成secret

bash 复制代码 
kubectl create secret generic mysql-password --from-literal=password=admin**lucky66
bash 复制代码 
kubectl get secret
bash 复制代码 
kubectl describe secret mysql-password

password的值是加密的,但secret的加密是一种伪加密,它仅仅是将数据做了base64的编码

2、创建pod,引用secret

bash 复制代码 
vim pod-secret.yaml
yaml 复制代码 
apiVersion: v1
kind: Pod
metadata:
  name: pod-secret
  labels:
     app: myapp
spec:
  containers:
  - name: myapp
    image: myapp:v1
    imagePullPolicy: IfNotPresent
    ports:
    - name: http
      containerPort: 80
    env:
     - name: MYSQL_ROOT_PASSWORD   #Pod启动成功后,Pod中容器的环境变量名.
       valueFrom:
          secretKeyRef:
            name: mysql-password  # secret的对象名
            key: password         # secret中的key名

更新资源清单文件

bash 复制代码 
kubectl apply -f pod-secret.yaml
bash 复制代码 
kubectl exec -it pod-secret -- /bin/sh
bash 复制代码 
printenv

通过volume挂载Secret

1、创建Secret,并手动加密(基于base64加密)

bash 复制代码 
echo -n 'admin' | base64

YWRtaW4=

bash 复制代码 
echo -n 'admin123456' | base64

YWRtaW4xMjM0NTY=

解码:

bash 复制代码 
echo YWRtaW4xMjM0NTY=  | base64 -d

2、创建yaml文件

bash 复制代码 
vim secret.yaml
yaml 复制代码 
apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  username: YWRtaW4=
  password: YWRtaW4xMjM0NTY=

更新资源清单文件

bash 复制代码 
kubectl apply -f secret.yaml
bash 复制代码 
kubectl describe secret mysecret

3、将Secret挂载到Volume中

bash 复制代码 
vim pod_secret_volume.yaml
yaml 复制代码 
apiVersion: v1
kind: Pod
metadata:
  name: pod-secret-volume
spec:
  containers:
  - name: myapp
    image: myapp:v1
    volumeMounts:
    - name: secret-volume
      mountPath: /etc/secret
      readOnly: true
  volumes:
  - name: secret-volume
    secret:
      secretName: mysecret

更新资源清单文件

bash 复制代码 
kubectl apply -f pod_secret_volume.yaml
bash 复制代码 
kubectl exec -it pod-secret-volume -- /bin/sh
bash 复制代码 
ls /etc/secret
bash 复制代码 
cat /etc/secret/username
bash 复制代码 
cat /etc/secret/password

由上可见,在pod中的secret信息实际已经被解密

相关推荐
观测云2 分钟前
Kubernetes CRD 方式配置容器日志采集最佳实践
容器·kubernetes·日志分析
运维-大白同学6 小时前
2025最全面开源devops运维平台功能介绍
linux·运维·kubernetes·开源·运维开发·devops
努力进修9 小时前
跨设备文件共享零烦恼!PicoShare+cpolar让跨设备传输更简单
云原生·eureka·cpolar
tianyuanwo10 小时前
多平台容器化RPM构建流水线全指南:Fedora、CentOS与Anolis OS
linux·运维·容器·centos·rpm
敲上瘾13 小时前
【探索实战】:Kurator分布式统一应用分发平台的全面解析与实践指南
分布式·容器·kubernetes·serverless
cui_win13 小时前
Docker Compose 部署一个完整的Prometheus监控告警系统
docker·容器·prometheus
roman_日积跬步-终至千里1 天前
【Docker】Docker Stop 后到底发生了什么?——从信号机制到优雅停机
运维·docker·容器
喵手1 天前
云端智变:基于 DevUI 与 MateChat 打造下一代云原生智能运维中台实战教学!
运维·云原生·devui·matechat
z***6261 天前
Docker:基于自制openjdk8镜像 or 官方openjdk8镜像,制作tomcat镜像
docker·容器·tomcat
Connie14511 天前
记一次K8s故障告警排查(Grafna告警排查)
云原生·容器·kubernetes·grafana
热门推荐
01GitHub 镜像站点02BongoCat - 跨平台键盘猫动画工具03【保姆级教程】免费使用Gemini3的5种方法!免翻墙/国内直连04UV安装并设置国内源05Linux下V2Ray安装配置指南06安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)07“我的电脑”图标没了怎么办 4种方法找回08Labelme从安装到标注:零基础完整指南09全球最强模型Grok4,国内已可免费使用!(附教程)10KGG转MP3工具|非KGM文件|解密音频