k8s容器编排技术实践——k8s应用中机密信息的配置与存储

牛奶咖啡132026-06-06 8:01

k8s容器编排技术实践------K8s中的数据存储实现机制https://blog.csdn.net/xiaochenXIHUA/article/details/161677099k8s容器编排技术实践------k8s的介绍及其整体运行架构https://coffeemilk.blog.csdn.net/article/details/161011629

一、k8s中的Secret简介与创建方法

1.1、k8s资源Secret

在实际的应用中,可能需要存储一些机密信息(如:密码、token,或者秘钥等),这类数据虽然可以存放在Pod或者镜像中,但安全性太差;为了减少机密信息暴露的风险,Kubernetes提供了Secret这个解决方案。

Secret是用来保存敏感数据的k8s资源,它通过密文的方式存储数据,用户可以创建自己的secret,系统也会有自己的secret。

Pod使用Secret的方式是:以Volume的形式mount到Pod,容器可通过文件的方式使用Secret中的敏感数据。

1.2、创建Secret的两种方法

1.2.1、通过--from-literal创建Secret

bash 复制代码 
#通过--from-literal创建Secret【每个--from-literal 对应一个信息条目】
#创建用户名为admin,密码是123456的Secret命令
kubectl create secret generic secretdemo1 --from-literal=username=admin --from-literal=password=123456

#查看当前所有的secret状态
kubectl get secret

#删除指定secret
kubectl delete secret secretdemo1

1.2.2、通过YAML配置文件创建Secret

注意:

  1. 之所以k8s的资源文件中data下的所有值,必须是Base64编码字符串编码;是因为K8s 用 data 存储二进制数据(图片、证书、特殊字符文本),Base64 是通用的二进制转文本格式,避免格式报错。
  2. ⚠️ 致命误区 :Base64 是可逆编码,不是加密!
bash 复制代码 
#通过YAML配置文件创建Secret
#1-创建生成secret的资源文件secretdemo2.yml
#注意:k8s的资源文件中data下的所有值,必须是Base64编码字符串(如:【echo admin|base64】【echo 123456|base64】)
cat>secretdemo2.yml<<EOF
apiVersion: v1
kind: Secret
metadata:
  name: mysecret
data:
  username: YWRtaW4K
  password: MTIzNDU2Cg==
EOF



#2-创建指定资源
kubectl apply -f secretdemo2.yml

#3-获取到当前所有的secret状态
kubectl get secret

#4-获取到指定secret的详细信息
kubectl describe secret mysecret

#5-获取到指定secret的敏感信息值
kubectl edit secret mysecret

#6-将获取到的敏感信息值通过base64反解码
echo MTIzNDU2Cg==|base64 --decode
echo YWRtaW4K|base64 --decode

二、在pod中使用secret

通过volume方式使用Secret,是最常见的做法,此外volume方式支持动态更新,也就是当Secret更新后,容器中的数据也会自动更新。

bash 复制代码 
#在pod中使用secret
#1-创建使用secret的pod资源文件secret-pod.yml
cat>secret-pod.yml<<EOF
apiVersion: v1
kind: Pod
metadata:
  name: secret-pod
spec:
  containers:
  - name: secret-pod
    image: busybox
    args:
    - /bin/sh
    - -c
    - sleep 10; touch /tmp/check; sleep 30000
    volumeMounts:
    - name: secrets
      mountPath: /etc/secret
      readOnly: true
  volumes:
  - name: secrets
    secret:
      secretName: mysecret
EOF



#2-创建指定的资源
kubectl apply -f secret-pod.yml

#3-查看当前所有的pod状态详情
kubectl get pod -o wide

#4-查看当前所有的node状态详情
kubectl get node -o wide

#5-进入到该secret-pod资源中,并进入【/etc/secret/】下查看内容
kubectl exec -it secret-pod sh
cd /etc/secret/
more password
more username

#6-看看新的password会不会自动同步到容器中;
#在新开一个终端对mysecret内容修改(如:修改password的密码为qwer1234)修改完成后再次到secret-pod资源中,并进入【/etc/secret/】下查看password密码是否改变(改变则说明成功)
echo qwer1234|base64
vi secretdemo2.yml
kubectl apply -f secretdemo2.yml

从上图可以看到,K8s会在指定的路径/etc/secret下为每条敏感数据创建一个文件,文件名就是数据条目的Key,这里是/etc/secret/username和/etc/secret/password,Value则以明文存放在文件中。

三、ConfigMap的使用与配置

Secret可以为Pod提供密码、Token、私钥等敏感数据;而对于一些非敏感数据(如:应用的配置信息),则可以使用ConfigMap。ConfigMap的创建和使用方式与Secret非常类似,主要的不同是ConfigMap数据以明文的形式存放。

3.1、通过--from-literal创建ConfigMap

bash 复制代码 
#通过--from-literal创建ConfigMap【每个 --from-literal 对应一个信息条目】
kubectl create configmap myconfigmap1 --from-literal=config1=abc --from-literal=config2=def

#查看当前所有的configmap状态
kubectl get configmap

#查看指定configmap的详细信息
kubectl describe configmap myconfigmap1

#编辑指定configmap的内容
kubectl edit configmap myconfigmap1

#删除指定的configmap
kubectl delete configmap myconfigmap1

3.2、通过 YAML 配置文件创建ConfigMap

bash 复制代码 
#通过 YAML 配置文件创建ConfigMap
#1-创建configmap资源文件
cat>configmapdemo.yml<<EOF
apiVersion: v1
kind: ConfigMap
metadata:
  name: configmap-demo
data:
  sqlite: coffeemilk-sqlite.db
  basepath: /data/coffeemilk
EOF



#2-创建指定资源
kubectl apply -f configmapdemo.yml

#3-查看当前所有的configmap资源状态
kubectl get configmap

#4-查看指定configmap资源的详情
kubectl describe configmap configmap-demo

3.3、在pod中使用configmap

bash 复制代码 
#在pod中使用configmap
#1-创建pod资源文件
cat>configmap-pod.yml<<EOF
apiVersion: v1
kind: Pod
metadata:
  name: configmap-pod
spec:
  containers:
     - name: app-pod
       image: busybox
       args:
       - /bin/sh
       - -c
       - sleep 10; touch /tmp/check; sleep 30000
       volumeMounts:
         - name: myconfigmap
           mountPath: /etc/config
           readOnly: true
  volumes:
     - name: myconfigmap
       configMap:
         name: configmap-demo
EOF



#2-创建指定的资源文件
kubectl apply -f configmap-pod.yml

#3-查看当前所有的pod状态详情
kubectl get pod -o wide

#4-进入指定configmap的pod中查看对应的configmap内容
kubectl exec -it configmap-pod sh
cd /etc/config/
more basepath
more sqlite
exit

#5-删除指定的pod与configmap
kubectl delete -f configmap-pod.yml
kubectl delete -f configmapdemo.yml
相关推荐
Patrick_Wilson1 天前
从「改个端口」到 502:Next.js on k8s 的容器端口、Service 映射与 env 覆盖
docker·kubernetes·next.js
阿里云云原生1 天前
AI 开发新常态:当 Cursor、Claude、Codex 并行,如何统一管理散落的 Skill 资产?
云原生·ai编程
探索云原生1 天前
K8s 1.36 这个 GA 特性,把 initContainer 拉模型的 hack 干掉了
ai·云原生·kubernetes
Java之美1 天前
从edge-trigger到level-trigger,谈谈 Kubernetes controller 的开发范式
云原生
阿里云云原生2 天前
深度解构:当 Append-only 的 SLS 遇上 Update/Delete,是如何实现设计权衡的?
云原生
Java之美2 天前
一次k8s升级引发的DevicePlugin注册失败
云原生·kubernetes
秋播2 天前
nerdctl推送rancher本地镜像到harbor
云原生
阿里云云原生3 天前
告别冗长链路!Kafka × Table Bucket 实现开放表格式零 ETL 实时入湖
云原生·kafka
SelectDB4 天前
秒级弹性、最高降本 70%:SelectDB Serverless 如何重塑云数仓资源效率
大数据·后端·云原生
热门推荐
012026年6月AI大模型全景报告:GPT-5.6、Claude Opus 4.8、Gemini 3.5,中美AI三足鼎立谁主沉浮?022026年6月AI行业全景:从百模大战到Agent元年,这30天发生了什么?032026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf04【AI】2026 年具身智能模型和世界模型总结05Claude Code、Codex、Cursor三分天下:2026年AI编程Agent生态全景剖析06飞书长连接_事件订阅(接收消息,审批任务状态变更)07GitHub 镜像站点08Trae国际版与国内版深度测评:AI原生IDE的双生花09【AI总结】2026年6月 主流国内外大模型总结10AI科技热点日报 | 2026年6月1日