K8S Secret 快速开始

一、什么是 Secret

Kubernetes(K8s)中的 Secret 是一种用于存储和管理敏感信息(如密码、令牌、证书、API 密钥等)的资源对象。它避免了将敏感数据明文写入配置文件、镜像或代码中,提供了一种更安全的方式来处理机密信息。

二、主要用途

  • 安全需求:敏感信息(如数据库密码、API 令牌)不应以明文形式硬编码在配置文件或镜像中,否则可能导致泄露。
  • 解耦配置与代码:将敏感数据与应用逻辑分离,便于统一管理和更新。
  • 标准化管理:K8s 提供内置机制管理 Secret,支持通过 API 或命令行动态创建、更新和分发。

三、核心特性

  • 数据编码
  • 默认使用 Base64 编码存储数据(非加密,需结合其他加密手段,如 etcd 加密或外部密钥管理系统)。
  • 数据以键值对(Key-Value)形式存储,支持通过环境变量或 Volume 挂载到 Pod。
  • 作用域
  • Secret 属于特定 Namespace(命名空间),默认仅在所属 Namespace 内可见。
  • 类型
  • 常见三种内置 Secret 类型:
  • Opaque(通用型):用于存储任意键值对,默认类型。
  • kubernetes.io/service-account-token:自动为 ServiceAccount 生成的令牌,用于访问 API Server。
  • kubernetes.io/tls:用于存储 TLS 证书和私钥,供 Ingress、Service 等使用。

四、 创建 Secret 的常用方式

4.1. 通过 kubectl 命令创建

通过 kubectl 命令创建,需要为其设置命令参数。

bash 复制代码
kubectl create secret --help

  • generic:用来创建 Opaque类型的 Secret。用于存储任意键值对。
  • tls:用来创建 kubernetes.io/tls 类型的Secret。用于存储 TLS 证书和私钥。
  • docker-registry:若要保存 docker 仓库的认证信息的话,就必须使用此种类型来创建。

4.1.1、直接指定字面量(适合小数据)

bash 复制代码
# 创建 Opaque 类型 Secret,键值对直接通过 --from-literal 指定
kubectl create secret generic my-secret \
  --from-literal=username=admin \
  --from-literal=password=123456

已用 Base64 编码。

4.1.2、从文件加载(适合文件型机密,如证书、密钥)

bash 复制代码
vim username.txt
# 输入 admin
vim password.txt
# 输入 123456

# 从单个文件创建(文件名作为键),值为文件内容
kubectl create secret generic db-credentials --from-file=username.txt --from-file=password.txt

4.1.3、从目录创建(目录下所有文件作为键值对)

bash 复制代码
mkdir dir
cd dir
vim usr.txt
# 输入 admin
vim pwd.txt
# 输入 123456

kubectl create secret generic app-secret --from-file=.

4.2、通过 YAML 清单创建

javascript 复制代码
apiVersion: v1
kind: Secret
metadata:
  name: yml-secret
  namespace: default
type: Opaque  # 类型,可选 Opaque、service-account-token、tls 等
data:
  # 键值对需手动进行 Base64 编码
  username: YWRtaW4=  # 明文 "admin" 的 Base64 编码
  password: MTIzNDU2  # 明文 "123456" 的 Base64 编码
  • 编码方法:echo -n "明文" | base64
  • -n 不换行的意思。
  • echo -n "密文" | base64 -d
  • -d decode 的意思。

五、在 Pod 中使用 Secret

5.1、作为环境变量注入

javascript 复制代码
apiVersion: v1
kind: Pod
metadata:
  name: secret-env-pod
spec:
  restartPolicy: Never
  containers:
  - name: app
    image: alpine:latest  
    imagePullPolicy: IfNotPresent
    command: ["sleep", "3600"]
    env:
    - name: DB_USERNAME  # 环境变量名
      valueFrom:
        secretKeyRef:
          name: my-secret  # Secret 名称
          key: username    # Secret 中的键
    - name: DB_PASSWORD
      valueFrom:
        secretKeyRef:
          name: my-secret
          key: password
  • 进入容器查看环境变量
bash 复制代码
kubectl exec -it secret-env-pod -- /bin/sh
/ # env

5.2、作为 Volume 挂载

javascript 复制代码
apiVersion: v1
kind: Pod
metadata:
  name: secret-volume-pod
spec:
  restartPolicy: Never
  volumes:
  - name: secret-volume
    secret:
      secretName: yml-secret  # 指定 Secret 名称
  containers:
  - name: app
    image: alpine:latest  
    imagePullPolicy: IfNotPresent
    command: ["sleep", "3600"]
    volumeMounts:
    - name: secret-volume # 跟卷的名称一致
      mountPath: "/etc/secrets"  # 挂载路径
      readOnly: true  # 必须设为只读
  • 进入容器查看挂载路径
bash 复制代码
kubectl exec -it secret-volume-pod -- /bin/sh

数据已帮我们解密。

相关推荐
项目題供诗1 小时前
黑马k8s(十六)
云原生·容器·kubernetes
ZPC82108 小时前
Docker+MobaXterm+x11实现容器UI界面转发本地
ui·docker·容器
flytalei8 小时前
理解 Kubernetes 的架构与控制平面组件运行机制
平面·架构·kubernetes
qq_冯小阳8 小时前
Docker修改镜像存放位置
运维·docker·容器
cxr82816 小时前
Docker Desktop for Windows 系统设置说明文档
windows·docker·容器
傅里叶的耶16 小时前
Docker系列(二):从零构建容器环境|服务自启配置×镜像源加速×免sudo提权×避坑手册
linux·ubuntu·docker·容器
喵叔哟16 小时前
18.【.NET 8 实战--孢子记账--从单体到微服务--转向微服务】--微服务基础工具与技术--RESTful API
微服务·云原生·.net·restful
天天进步201517 小时前
微服务及容器化设计--可扩展的架构设计
微服务·云原生·架构
默默无闻的白夜17 小时前
【Docker】存储卷
运维·docker·容器
CaseyWei18 小时前
(转)Docker与K8S的区别
docker·容器·kubernetes