k8s容器编排技术实践——k8s应用中机密信息的配置与存储

k8s容器编排技术实践------K8s中的数据存储实现机制https://blog.csdn.net/xiaochenXIHUA/article/details/161677099k8s容器编排技术实践------k8s的介绍及其整体运行架构https://coffeemilk.blog.csdn.net/article/details/161011629

一、k8s中的Secret简介与创建方法

1.1、k8s资源Secret

在实际的应用中,可能需要存储一些机密信息(如:密码、token,或者秘钥等),这类数据虽然可以存放在Pod或者镜像中,但安全性太差;为了减少机密信息暴露的风险,Kubernetes提供了Secret这个解决方案。

Secret是用来保存敏感数据的k8s资源,它通过密文的方式存储数据,用户可以创建自己的secret,系统也会有自己的secret。

Pod使用Secret的方式是:以Volume的形式mount到Pod,容器可通过文件的方式使用Secret中的敏感数据。

1.2、创建Secret的两种方法

1.2.1、通过--from-literal创建Secret

bash 复制代码
#通过--from-literal创建Secret【每个--from-literal 对应一个信息条目】
#创建用户名为admin,密码是123456的Secret命令
kubectl create secret generic secretdemo1 --from-literal=username=admin --from-literal=password=123456

#查看当前所有的secret状态
kubectl get secret

#删除指定secret
kubectl delete secret secretdemo1

1.2.2、通过YAML配置文件创建Secret

注意:

  1. 之所以k8s的资源文件中data下的所有值,必须是Base64编码字符串编码;是因为K8s 用 data 存储二进制数据(图片、证书、特殊字符文本),Base64 是通用的二进制转文本格式,避免格式报错。
  2. ⚠️ 致命误区 :Base64 是可逆编码,不是加密!
bash 复制代码
#通过YAML配置文件创建Secret
#1-创建生成secret的资源文件secretdemo2.yml
#注意:k8s的资源文件中data下的所有值,必须是Base64编码字符串(如:【echo admin|base64】【echo 123456|base64】)
cat>secretdemo2.yml<<EOF
apiVersion: v1
kind: Secret
metadata:
  name: mysecret
data:
  username: YWRtaW4K
  password: MTIzNDU2Cg==
EOF



#2-创建指定资源
kubectl apply -f secretdemo2.yml

#3-获取到当前所有的secret状态
kubectl get secret

#4-获取到指定secret的详细信息
kubectl describe secret mysecret

#5-获取到指定secret的敏感信息值
kubectl edit secret mysecret

#6-将获取到的敏感信息值通过base64反解码
echo MTIzNDU2Cg==|base64 --decode
echo YWRtaW4K|base64 --decode

二、在pod中使用secret

通过volume方式使用Secret,是最常见的做法,此外volume方式支持动态更新,也就是当Secret更新后,容器中的数据也会自动更新。

bash 复制代码
#在pod中使用secret
#1-创建使用secret的pod资源文件secret-pod.yml
cat>secret-pod.yml<<EOF
apiVersion: v1
kind: Pod
metadata:
  name: secret-pod
spec:
  containers:
  - name: secret-pod
    image: busybox
    args:
    - /bin/sh
    - -c
    - sleep 10; touch /tmp/check; sleep 30000
    volumeMounts:
    - name: secrets
      mountPath: /etc/secret
      readOnly: true
  volumes:
  - name: secrets
    secret:
      secretName: mysecret
EOF



#2-创建指定的资源
kubectl apply -f secret-pod.yml

#3-查看当前所有的pod状态详情
kubectl get pod -o wide

#4-查看当前所有的node状态详情
kubectl get node -o wide

#5-进入到该secret-pod资源中,并进入【/etc/secret/】下查看内容
kubectl exec -it secret-pod sh
cd /etc/secret/
more password
more username

#6-看看新的password会不会自动同步到容器中;
#在新开一个终端对mysecret内容修改(如:修改password的密码为qwer1234)修改完成后再次到secret-pod资源中,并进入【/etc/secret/】下查看password密码是否改变(改变则说明成功)
echo qwer1234|base64
vi secretdemo2.yml
kubectl apply -f secretdemo2.yml

从上图可以看到,K8s会在指定的路径/etc/secret下为每条敏感数据创建一个文件,文件名就是数据条目的Key,这里是/etc/secret/username和/etc/secret/password,Value则以明文存放在文件中。

三、ConfigMap的使用与配置

Secret可以为Pod提供密码、Token、私钥等敏感数据;而对于一些非敏感数据(如:应用的配置信息),则可以使用ConfigMap。ConfigMap的创建和使用方式与Secret非常类似,主要的不同是ConfigMap数据以明文的形式存放。

3.1、通过--from-literal创建ConfigMap

bash 复制代码
#通过--from-literal创建ConfigMap【每个 --from-literal 对应一个信息条目】
kubectl create configmap myconfigmap1 --from-literal=config1=abc --from-literal=config2=def

#查看当前所有的configmap状态
kubectl get configmap

#查看指定configmap的详细信息
kubectl describe configmap myconfigmap1

#编辑指定configmap的内容
kubectl edit configmap myconfigmap1

#删除指定的configmap
kubectl delete configmap myconfigmap1

3.2、通过 YAML 配置文件创建ConfigMap

bash 复制代码
#通过 YAML 配置文件创建ConfigMap
#1-创建configmap资源文件
cat>configmapdemo.yml<<EOF
apiVersion: v1
kind: ConfigMap
metadata:
  name: configmap-demo
data:
  sqlite: coffeemilk-sqlite.db
  basepath: /data/coffeemilk
EOF



#2-创建指定资源
kubectl apply -f configmapdemo.yml

#3-查看当前所有的configmap资源状态
kubectl get configmap

#4-查看指定configmap资源的详情
kubectl describe configmap configmap-demo

3.3、在pod中使用configmap

bash 复制代码
#在pod中使用configmap
#1-创建pod资源文件
cat>configmap-pod.yml<<EOF
apiVersion: v1
kind: Pod
metadata:
  name: configmap-pod
spec:
  containers:
     - name: app-pod
       image: busybox
       args:
       - /bin/sh
       - -c
       - sleep 10; touch /tmp/check; sleep 30000
       volumeMounts:
         - name: myconfigmap
           mountPath: /etc/config
           readOnly: true
  volumes:
     - name: myconfigmap
       configMap:
         name: configmap-demo
EOF



#2-创建指定的资源文件
kubectl apply -f configmap-pod.yml

#3-查看当前所有的pod状态详情
kubectl get pod -o wide

#4-进入指定configmap的pod中查看对应的configmap内容
kubectl exec -it configmap-pod sh
cd /etc/config/
more basepath
more sqlite
exit

#5-删除指定的pod与configmap
kubectl delete -f configmap-pod.yml
kubectl delete -f configmapdemo.yml 
相关推荐
nece0013 分钟前
Kubernetes v1.36.0 + Ubuntu24.04 + containerd 2.x WordPress 完整部署文档
云原生·容器·kubernetes
众人皆醒我独醉17 小时前
OpenShift RBAC 与平台安全策略:比 K8s 多出来的那几道锁,每道都是为了堵一个曾经发生过的事故
面试·kubernetes
众人皆醒我独醉18 小时前
为什么你的 RBAC 配了还是 403?—— 一套可以复现的排障方法论
面试·kubernetes
Zhu7581 天前
在k8s环境部署Apache Kafka 集群架构,combined模式,无SSL配置
kafka·kubernetes·apache
C137的本贾尼1 天前
第十篇:Docker & K8s——标准化应用的“集装箱“和“码头调度中心“
docker·容器·kubernetes
Zhu7581 天前
在k8s环境部署Apache kafka4.3.1
容器·kubernetes·apache
Demon_Hao1 天前
Spring Boot 4、JDK 25 与 GraalVM:Java 云原生进化,能否撼动 Go 的地位?
java·spring boot·云原生
江畔柳前堤1 天前
GO01-Go 语言与主流编程语言深度对比
开发语言·人工智能·后端·微服务·云原生·golang·go
探索云原生2 天前
终于搞懂 Kueue:5 个核心对象一次讲透
linux·docker·ai·云原生·kubernetes