Secret
Secret的介绍
Secret是一种保护敏感数据的资源对象。例如:密码、token、秘钥等,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。
Pod 可以用两种方式使用 secret:作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里,或者当 kubelet 为 pod 拉取镜像时使用。
secret可选参数有三种:
- generic: 通用类型,通常用于存储密码数据。
- tls:此类型仅用于存储私钥和证书。
- docker-registry: 若要保存docker仓库的认证信息的话,就必须使用此种类型来创建。
Secret类型:
-
Service Account:用于被 serviceaccount 引用。serviceaccout 创建时 Kubernetes 会默认创建对应的 secret。Pod 如果使用了 serviceaccount,对应的 secret 会自动挂载到 Pod 的/run/secrets/kubernetes.io/serviceaccount 目录中。
-
Opaque:base64编码格式的Secret,用来存储密码、秘钥等。可以通过base64 --decode解码获得原始数据,因此安全性弱
-
kubernetes.io/dockerconfigjson:用来存储私有docker registry的认证信息。
Secret的使用
通过环境变量引入Secret
1、把mysql的root用户的password创建成secret
bash
kubectl create secret generic mysql-password --from-literal=password=admin**lucky66
bash
kubectl get secret
bash
kubectl describe secret mysql-password
password的值是加密的,但secret的加密是一种伪加密,它仅仅是将数据做了base64的编码
2、创建pod,引用secret
bash
vim pod-secret.yaml
yaml
apiVersion: v1
kind: Pod
metadata:
name: pod-secret
labels:
app: myapp
spec:
containers:
- name: myapp
image: myapp:v1
imagePullPolicy: IfNotPresent
ports:
- name: http
containerPort: 80
env:
- name: MYSQL_ROOT_PASSWORD #Pod启动成功后,Pod中容器的环境变量名.
valueFrom:
secretKeyRef:
name: mysql-password # secret的对象名
key: password # secret中的key名
更新资源清单文件
bash
kubectl apply -f pod-secret.yaml
bash
kubectl exec -it pod-secret -- /bin/sh
bash
printenv
通过volume挂载Secret
1、创建Secret,并手动加密(基于base64加密)
bash
echo -n 'admin' | base64
YWRtaW4=
bash
echo -n 'admin123456' | base64
YWRtaW4xMjM0NTY=
解码:
bash
echo YWRtaW4xMjM0NTY= | base64 -d
2、创建yaml文件
bash
vim secret.yaml
yaml
apiVersion: v1
kind: Secret
metadata:
name: mysecret
type: Opaque
data:
username: YWRtaW4=
password: YWRtaW4xMjM0NTY=
更新资源清单文件
bash
kubectl apply -f secret.yaml
bash
kubectl describe secret mysecret
3、将Secret挂载到Volume中
bash
vim pod_secret_volume.yaml
yaml
apiVersion: v1
kind: Pod
metadata:
name: pod-secret-volume
spec:
containers:
- name: myapp
image: myapp:v1
volumeMounts:
- name: secret-volume
mountPath: /etc/secret
readOnly: true
volumes:
- name: secret-volume
secret:
secretName: mysecret
更新资源清单文件
bash
kubectl apply -f pod_secret_volume.yaml
bash
kubectl exec -it pod-secret-volume -- /bin/sh
bash
ls /etc/secret
bash
cat /etc/secret/username
bash
cat /etc/secret/password
由上可见,在pod中的secret信息实际已经被解密