K8S Secret 快速开始

一、什么是 Secret

Kubernetes(K8s)中的 Secret 是一种用于存储和管理敏感信息(如密码、令牌、证书、API 密钥等)的资源对象。它避免了将敏感数据明文写入配置文件、镜像或代码中,提供了一种更安全的方式来处理机密信息。

二、主要用途

  • 安全需求:敏感信息(如数据库密码、API 令牌)不应以明文形式硬编码在配置文件或镜像中,否则可能导致泄露。
  • 解耦配置与代码:将敏感数据与应用逻辑分离,便于统一管理和更新。
  • 标准化管理:K8s 提供内置机制管理 Secret,支持通过 API 或命令行动态创建、更新和分发。

三、核心特性

  • 数据编码
  • 默认使用 Base64 编码存储数据(非加密,需结合其他加密手段,如 etcd 加密或外部密钥管理系统)。
  • 数据以键值对(Key-Value)形式存储,支持通过环境变量或 Volume 挂载到 Pod。
  • 作用域
  • Secret 属于特定 Namespace(命名空间),默认仅在所属 Namespace 内可见。
  • 类型
  • 常见三种内置 Secret 类型:
  • Opaque(通用型):用于存储任意键值对,默认类型。
  • kubernetes.io/service-account-token:自动为 ServiceAccount 生成的令牌,用于访问 API Server。
  • kubernetes.io/tls:用于存储 TLS 证书和私钥,供 Ingress、Service 等使用。

四、 创建 Secret 的常用方式

4.1. 通过 kubectl 命令创建

通过 kubectl 命令创建,需要为其设置命令参数。

bash 复制代码
kubectl create secret --help

  • generic:用来创建 Opaque类型的 Secret。用于存储任意键值对。
  • tls:用来创建 kubernetes.io/tls 类型的Secret。用于存储 TLS 证书和私钥。
  • docker-registry:若要保存 docker 仓库的认证信息的话,就必须使用此种类型来创建。

4.1.1、直接指定字面量(适合小数据)

bash 复制代码
# 创建 Opaque 类型 Secret,键值对直接通过 --from-literal 指定
kubectl create secret generic my-secret \
  --from-literal=username=admin \
  --from-literal=password=123456

已用 Base64 编码。

4.1.2、从文件加载(适合文件型机密,如证书、密钥)

bash 复制代码
vim username.txt
# 输入 admin
vim password.txt
# 输入 123456

# 从单个文件创建(文件名作为键),值为文件内容
kubectl create secret generic db-credentials --from-file=username.txt --from-file=password.txt

4.1.3、从目录创建(目录下所有文件作为键值对)

bash 复制代码
mkdir dir
cd dir
vim usr.txt
# 输入 admin
vim pwd.txt
# 输入 123456

kubectl create secret generic app-secret --from-file=.

4.2、通过 YAML 清单创建

javascript 复制代码
apiVersion: v1
kind: Secret
metadata:
  name: yml-secret
  namespace: default
type: Opaque  # 类型,可选 Opaque、service-account-token、tls 等
data:
  # 键值对需手动进行 Base64 编码
  username: YWRtaW4=  # 明文 "admin" 的 Base64 编码
  password: MTIzNDU2  # 明文 "123456" 的 Base64 编码
  • 编码方法:echo -n "明文" | base64
  • -n 不换行的意思。
  • echo -n "密文" | base64 -d
  • -d decode 的意思。

五、在 Pod 中使用 Secret

5.1、作为环境变量注入

javascript 复制代码
apiVersion: v1
kind: Pod
metadata:
  name: secret-env-pod
spec:
  restartPolicy: Never
  containers:
  - name: app
    image: alpine:latest  
    imagePullPolicy: IfNotPresent
    command: ["sleep", "3600"]
    env:
    - name: DB_USERNAME  # 环境变量名
      valueFrom:
        secretKeyRef:
          name: my-secret  # Secret 名称
          key: username    # Secret 中的键
    - name: DB_PASSWORD
      valueFrom:
        secretKeyRef:
          name: my-secret
          key: password
  • 进入容器查看环境变量
bash 复制代码
kubectl exec -it secret-env-pod -- /bin/sh
/ # env

5.2、作为 Volume 挂载

javascript 复制代码
apiVersion: v1
kind: Pod
metadata:
  name: secret-volume-pod
spec:
  restartPolicy: Never
  volumes:
  - name: secret-volume
    secret:
      secretName: yml-secret  # 指定 Secret 名称
  containers:
  - name: app
    image: alpine:latest  
    imagePullPolicy: IfNotPresent
    command: ["sleep", "3600"]
    volumeMounts:
    - name: secret-volume # 跟卷的名称一致
      mountPath: "/etc/secrets"  # 挂载路径
      readOnly: true  # 必须设为只读
  • 进入容器查看挂载路径
bash 复制代码
kubectl exec -it secret-volume-pod -- /bin/sh

数据已帮我们解密。

相关推荐
鼠鼠我捏,要死了捏24 分钟前
多租户Kubernetes集群架构设计实践——隔离、安全与弹性扩缩容
kubernetes·architecture·multi-tenancy
ldj20201 小时前
docker 自定义网桥作用
docker·容器
java叶新东老师1 小时前
k8s常用命令
云原生·容器·kubernetes
阿里云云原生2 小时前
阿里云正式开源 LoongSuite:打造 AI 时代的高性能低成本可观测采集套件
云原生
阿里云云原生2 小时前
从一起知名线上故障,谈配置灰度发布的重要性
云原生
liux35284 小时前
从零构建:Jenkins与Kubernetes集成的完整指南
java·kubernetes·jenkins
岚天start7 小时前
在K8S环境中,telnet nodePort端口是通的,但是 ss 获取不到端口号原因解析
iptables·kubernetes·k8s·telnet·ss
GEM的左耳返7 小时前
Java面试实战:从基础到架构的全方位技术交锋
spring boot·微服务·云原生·java面试·技术解析·ai集成
张火火isgudi8 小时前
CentOS8 使用 Docker 搭建 Jellyfin 家庭影音服务器
服务器·docker·容器
qq_447705319 小时前
宝塔通过docker部署JupyterHub指南【常见错误处理】
运维·docker·容器