kubernetes k8s Secret 概述与配置讲解

目录

[1 Secret概述](#1 Secret概述)

[1.1 Secret是什么?](#1.1 Secret是什么?)

[1.2 使用Secret](#1.2 使用Secret)


1 Secret概述

1.1 Secret是什么?

上面我们学习的Configmap一般是用来存放明文数据的,如配置文件,对于一些敏感数据,如密码、私钥等数据时,要用secret类型。

Secret解决了密码、token、秘钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。

要使用 secret,pod 需要引用 secret。Pod 可以用两种方式使用 secret:作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里,或者当 kubelet 为 pod 拉取镜像时使用。

secret 可选参数 有三种:

generic: 通用类型,通常用于存储密码数据。
tls:此类型仅用于存储私钥和证书。
docker-registry: 若要保存docker仓库的认证信息的话,就必须使用此种类型来创建。

Secret类型:

Service Account: 用于被 serviceaccount 引用。serviceaccout 创建时 Kubernetes 会默认创建对应的 secret。Pod 如果使用了 serviceaccount,对应的 secret 会自动挂载到 Pod 的 /run/secrets/kubernetes.io/serviceaccount 目录中。

Opaque:base64编码格式的Secret,用来存储密码、秘钥等。 可以通过base64 --decode解码获得原始数据,因此安全性弱

kubernetes.io/dockerconfigjson:用来存储私有docker registry的认证信息。

1.2 使用Secret

1、通过环境变量引入Secret

# mysql 的root用户的 password 创建成 secret

[root@xianchaomaster1 ~]# kubectl create secret generic mysql-password --from-literal=password=xianchaopod**lucky66

[root@xianchaomaster1 ~]# kubectl get secret
NAME TYPE DATA AGE

mysql-password Opaque 1 30s

[root@xianchaomaster1 ~]# kubectl describe secret mysql-password

Name: mysql-password

Namespace: default

Labels: <none>

Annotations: <none>

Type: Opaque

Data

====

password: 20bytes

# password的值是加密的,
#但secret的加密是一种伪加密,它仅仅是将数据做了base64的编码.

#创建pod,引用secret

[root@xianchaomaster1 ~]# cat pod-secret.yaml

apiVersion: v1

kind: Pod

metadata:

name: pod-secret

labels:

app: myapp

spec:

containers:

- name: myapp

image: ikubernetes/myapp:v1

ports:

- name: http

containerPort: 80

env:

- name: MYSQL_ROOT_PASSWORD #它是Pod启动成功后,Pod中容器的环境变量名.

valueFrom:

secretKeyRef:

name: mysql-password #这是secret的对象名

key: password #它是secret中的key名

[root@xianchaomaster1 ~]# kubectl apply -f pod-secret.yaml

[root@xianchaomaster1 ~]# kubectl exec -it pod-secret -- /bin/sh

/ # printenv

MYSQL_ROOT_PASSWORD=xianchaopod**lucky66

2、通过volume挂载Secret

1)创建Secret

手动加密,基于base64加密

[root@xianchaomaster1 ~]# echo -n 'admin' | base64

YWRtaW4=

[root@xianchaomaster1 ~]# echo -n 'xianchao123456f' | base64

eGlhbmNoYW8xMjM0NTZm

解码:

[root@xianchaomaster1 ~]# echo eGlhbmNoYW8xMjM0NTZm | base64 -d

2)创建yaml文件

[root@xianchaomaster1 ~]# vim secret.yaml

apiVersion: v1

kind: Secret

metadata:

name: mysecret

type: Opaque

data:

username: YWRtaW4=

password: eGlhbmNoYW8xMjM0NTZm

[root@xianchaomaster1 ~]# kubectl apply -f secret.yaml

[root@xianchaomaster1]# kubectl describe secret mysecret

Name: mysecret

Namespace: default

Labels: <none>

Annotations: <none>

Type: Opaque

Data

====

password: 15 bytes

username: 5 bytes

3) 将Secret挂载到Volume中

[root@xianchaomaster1 ~]# vim pod_secret_volume.yaml

apiVersion: v1

kind: Pod

metadata:

name: pod-secret-volume

spec:

containers:

- name: myapp

image: registry.cn-beijing.aliyuncs.com/google_registry/myapp:v1

volumeMounts:

- name: secret-volume

mountPath: /etc/secret

readOnly: true

volumes:

- name: secret-volume

secret:

secretName: mysecret

[root@xianchaomaster1 ~]# kubectl apply -f pod_secret_volume.yaml

[root@xianchaomaster1 ~]# kubectl exec -it pod-secret-volume -- /bin/sh

/ # ls /etc/secret

password username

/ #

/ # cat /etc/secret/username

admin/ #

/ #

/ # cat /etc/secret/password

xianchao123456f/ #

# 由上可见,在pod中的secret信息实际已经被解密。

相关推荐
斗转星移35 小时前
Ubuntu20.04 中使用vscode中编辑查看PlantUML
linux·vscode·uml·plantuml
Anarkh_Lee5 小时前
Neo4j在win下安装教程(docker环境)
docker·容器·neo4j
迷路的小绅士6 小时前
防火墙技术深度解析:从包过滤到云原生防火墙的部署与实战
网络安全·云原生·防火墙技术·包过滤防火墙·状态检测防火墙
正经教主6 小时前
【问题】解决docker的方式安装n8n,找不到docker.n8n.io/n8nio/n8n:latest镜像的问题
运维·docker·容器·n8n
sukida1006 小时前
BIOS主板(非UEFI)安装fedora42的方法
linux·windows·fedora
●^●7 小时前
Linux 权限修改详解:chmod 命令与权限数字的秘密
linux
唯独失去了从容7 小时前
WebRTC服务器Coturn服务器中的通信协议
运维·服务器·webrtc
光而不耀@lgy8 小时前
C++初登门槛
linux·开发语言·网络·c++·后端
joker_zsl8 小时前
docker的安装和简单使用(ubuntu环境)
运维·docker·容器
偶尔微微一笑8 小时前
AI网络渗透kali应用(gptshell)
linux·人工智能·python·自然语言处理·编辑器