6.k8s中的secrets资源

os_lee2024-05-09 17:32

一、Secret

secrets资源,类似于configmap资源,只是secrets资源是用来传递重要的信息的;

secret资源就是将value的值使用base64编译后传输,当pod引用secret后,k8s会自动将其base64的编码,反编译回正常的字符串;

  1. Secret 用于保存机密数据的对象。一般由于保存密码、令牌或密钥等。
    • data字段用来存储 base64 编码数据。
    • stringData存储未编码的字符串。
  2. Secret 意味着你不需要在应用程序代码中包含机密数据,减少机密数据(如密码)泄露的风险。
  3. Secret 可以用作环境变量、命令行参数或者存储卷文件。

二、创建secrets资源

1.创建工作目录

root@k8s1 k8s\]# mkdir secrets \[root@k8s1 k8s\]# cd secrets/

2.尝试使用base64进行编码

编码

root@k8s1 secrets\]# echo oslee \| base64 b3NsZWUK # 解码 \[root@k8s1 secrets\]# echo b3NsZWUK \| base64 -d oslee

3.声明式创建secrets资源

编辑secrets资源清单

vi 01-secret.yaml

bash 复制代码 
apiVersion: v1
kind: Secret
metadata:
  name: s1

#用户自定义的类型(Opaque为自定义类型;generic为)
type: Opaque
data: 
  k8s: b3NsZWUK
  oslee: b3NsZWUK

创建secret资源

root@k8s1 secrets\]# kubectl apply -f 01-secret.yaml secret/s1 created # 查看 \[root@k8s1 secrets\]# kubectl get secrets NAME TYPE DATA AGE default-token-xwhzs kubernetes.io/service-account-token 3 23h s1 Opaque 2 2m46s \[root@k8s1 secrets\]# kubectl describe secret s1 Name: s1 Namespace: default Labels: \ Annotations: \ Type: Opaque Data ==== k8s: 6 bytes oslee: 6 bytes

4.响应式创建secret

root@k8s1 secrets\]# kubectl create secret generic secret-02 --from-literal=school=os --from-literal=class=lee 1. **docker-registry**:创建一个给Docker registry容器镜像仓库使用的secret 2. **generic**: 从本地file, directory或者literal value创建一个 secret(这是大多数情况使用的)也就是资源清单中的type:Opaque是一个意思; 3. **tls**: 创建一个TLS secret

三、pod引用secret资源

1.pod资源env环境变量引用

创建pod资源

root@k8s1 secrets\]# cat pod.yaml

bash 复制代码 
apiVersion: v1
kind: Pod
metadata:
  name: m13
spec:
  containers:
  - image: nginx:1.20.1-alpine
    name: nginx
    env: 
    - name: secret-env01
      valueFrom:
        #声明引用sercet
        secretKeyRef: 
          #声明secret名称
          name: s1
          #声明secret的key
          key: oslee
    - name: secret-env02
      valueFrom:
        secretKeyRef:
          name: secret-02
          key: class

创建资源

root@k8s1 secrets\]# kubectl apply -f pod.yaml pod/m13 created # 登录pod资源查看env变量 \[root@k8s1 secrets\]# kubectl exec m13 -it -- sh / # env secret-env01=oslee secret-env02=lee

2.pod资源volume存储卷引用secret资源

编辑资源清单

root@k8s1 secrets\]# vi pod-env-volume.yaml

bash 复制代码 
#pod资源env环境变量方式引用secret
apiVersion: v1
kind: Pod
metadata:
  name: pod-secret-01
spec:
  containers:
  - name: c1
    image: nginx:1.20.1-alpine
    env:
    - name: k8s
      valueFrom:
        #声明引用secret资源
        secretKeyRef: 
          name: s1
          #声明使用secret资源中的那一个key
          key: k8s

---

#vomlume方式引用
apiVersion: v1
kind: Pod
metadata:
  name: pod-secret-02
spec: 
  #声明存储卷
  volumes:
  - name: vol-secret
    #声明存储卷的类型是secret
    secret:
      #指定secret资源的名称(使用哪个secret资源?)
      secretName: s1
  containers:
  - name: c2
    image: nginx:1.24.0-alpine
    volumeMounts:
    - name: vol-secret
      #挂载到容器的哪个位置路径
      mountPath: /secret/

创建资源

root@k8s1 secrets\]# kubectl apply -f pod-env-volume.yaml pod/pod-secret-01 created pod/pod-secret-02 created # 查看挂载 \[root@k8s1 secrets\]# kubectl exec pod-secret-01 -it -- sh \[root@k8s1 secrets\]# kubectl exec pod-secret-02 -it -- sh

3.pod资源清单指定key引用secret

root@k8s1 secrets\]# kubectl apply -f pod-path.yaml pod/pod-secret-03 created \[root@k8s1 secrets\]# cat pod-path.yaml

bash 复制代码 
apiVersion: v1
kind: Pod
metadata:
  name: pod-secret-03
spec: 
  #声明存储卷
  volumes:
  - name: vol-secret
    #声明存储卷的类型是secret
    secret:
      #1,指定secret资源的名称(使用哪个secret资源?)
      secretName: s1
      #2,指定secret资源中要引用的key
      items: 
      - key: k8s
        path: oslee.path
  containers:
  - name: c2
    image: nginx:1.24.0-alpine
    volumeMounts:
    - name: vol-secret
      #挂载到容器的哪个位置路径?
      mountPath: /secret/oslee.path
      #只挂在文件,不清空容器原有文件夹
      subPath: oslee.path

进入pod查看

root@k8s1 secrets\]# kubectl exec -it pod-secret-03 -- sh

四、secret类型之-私有镜像仓库使用

  1. docker-registry:创建一个给Docker registry容器镜像仓库使用的secret
  2. generic: 从本地file, directory或者literal value创建一个 secret(这是大多数情况使用的)也就是资源清单中的type:Opaque是一个意思;
  3. tls: 创建一个TLS secret
    创建Docker harbor的secret信息:

因为,k8s拉取镜像与Docker拉取镜像是不同的方式,所以k8s需要创建一个属于自己的拉取镜像的方式;

1.harbor创建私有仓库

2.推送镜像到私有仓库

root@k8s2 \~\]# docker login harbor.oslee.com \[root@k8s2 \~\]# docker tag nginx:1.20.1-alpine harbor.oslee.com/oslee-private/nginx:1.20.1-alpine \[root@k8s2 \~\]# docker push harbor.oslee.com/oslee-private/nginx:1.20.1-alpine

3.响应式创建拉取镜像的secret资源

root@k8s1 \~\]# kubectl create secret docker-registry oslee-harbor --docker-username=admin --docker-password=harbor123 [email protected] --docker-server=harbor.oslee.com secret/oslee-harbor created

4.创建pod引用拉取镜像的secret资源

bash 复制代码 
[root@k8s1 secrets]# cat pod-harbor-secret.yaml
apiVersion: v1
kind: Pod
metadata:
  name: pod-harbor-01
spec:
  #指定镜像拉取的secret资源(secret的拉取镜像类型);
  imagePullSecrets:
  - name: oslee-harbor
  containers:
  - name: c3
    image: harbor.oslee.com/oslee-private/nginx:1.20.1-alpine

5.声明式创建docker registry类型的secret资源

5.1.【-o yaml】模仿系统声明式的写法

root@k8s1 secrets\]# kubectl get secrets oslee-harbor -oyaml

5.2.base64解码查看内容

root@k8s1 secrets\]# echo eyJhdXRocyI6eyJoYXJib3Iub3NsZWUuY29tIjp7InVzZXJuYW1lIjoiYWRtaW4iLCJwYXNzd29yZCI6ImhhcmJvcjEyMyIsImVtYWlsIjoib3NsZWVAcXEuY29tIiwiYXV0aCI6IllXUnRhVzQ2YUdGeVltOXlNVEl6In19fQ== \| base64 -d {"auths":{"harbor.oslee.com":{"username":"admin","password":"harbor123","email":"[email protected]","auth":"YWRtaW46aGFyYm9yMTIz"}}}\[root@k8s1 secrets\]# \[root@k8s1 secrets\]# echo YWRtaW46aGFyYm9yMTIz \| base64 -d admin:harbor123

5.3根据上述信息,自己编辑secret声明式资源清单

bash 复制代码 
[root@k8s1 secrets]# cat harbor-secret.yaml 
apiVersion: v1
kind: Secret
metadata:
  name: oslee-harbor02
type: kubernetes.io/dockerconfigjson
data:
  .dockerconfigjson: eyJhdXRocyI6eyJoYXJib3Iub3NsZWUuY29tIjp7InVzZXJuYW1lIjoiYWRtaW4iLCJwYXNzd29yZCI6ImhhcmJvcjEyMyIsImVtYWlsIjoib3NsZWVAcXEuY29tIiwiYXV0aCI6IllXUnRhVzQ2YUdGeVltOXlNVEl6In19fQ==

root@k8s1 secrets\]# kubectl apply -f harbor-secret.yaml secret/oslee-harbor02 created \[root@k8s1 secrets\]# cat pod-harbor-secret.yaml apiVersion: v1 kind: Pod metadata: name: pod-harbor-01 spec: #指定镜像拉取的secret资源(secret的拉取镜像类型); imagePullSecrets: - name: oslee-harbor02 containers: - name: c3 image: harbor.oslee.com/oslee-private/nginx:1.20.1-alpine \[root@k8s1 secrets\]# kubectl apply -f pod-harbor-secret.yaml pod/pod-harbor-01 created \[root@k8s1 secrets\]# kubectl get pod NAME READY STATUS RESTARTS AGE pod-harbor-01 1/1 Running 0 6s

相关推荐
阿里云云原生23 分钟前
MCP云托管最优解,揭秘国内最大MCP中文社区背后的运行时
云原生
有谁看见我的剑了?30 分钟前
docker 运行时权限和 Linux 能力了解
linux·docker·容器
数字化综合解决方案提供商1 小时前
云原生时代的双轮驱动
云原生
小马爱打代码1 小时前
云原生 - Service Mesh
云原生·service_mesh
敖云岚1 小时前
【那些年踩过的坑】Docker换源加速详细教程(截至2025年4月)
运维·docker·容器
柳如烟@2 小时前
Docker安装ES :确保 Kibana 正确连接 Elasticsearch
运维·数据库·elasticsearch·docker·容器·kibana
weisian1512 小时前
云原生--核心组件-容器篇-2-认识下Docker(三大核心之镜像,容器,仓库)
docker·云原生·容器
陈奕昆3 小时前
6.1腾讯技术岗2025面试趋势前瞻:大模型、云原生与安全隐私新动向
算法·安全·云原生·面试·腾讯
孔令飞4 小时前
Go 1.24 中的弱指针包 weak 使用介绍
人工智能·云原生·go
weisian1514 小时前
云原生--核心组件-容器篇-3-Docker核心之-镜像
docker·云原生·容器
热门推荐
01KGG转MP3工具|非KGM文件|解密音频02从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑03我决定放弃搞 Java 了04YOLOv5改进 | 添加CA注意力机制 + 增加预测层 + 更换损失函数之GIoU05YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】06DeepSeek各版本说明与优缺点分析07西电B测-计算机网络综合实验(含验收问题)08yolov8,yolo11,yolo12 服务器训练到部署全流程 笔记09苍穹外卖面试总结10最新 Kubernetes 集群部署 + flannel 网络插件(保姆级教程,最新 K8S 版本)