kubernetes存储(二)——K8S的Secret配置管理(创建、挂载、路径映射、设置环境变量、存储私有仓库认证信息)

最新推荐文章于 2024-07-23 16:22:11 发布
最新推荐文章于 2024-07-23 16:22:11 发布
阅读量6.9k 收藏 6
点赞数
文章标签: kubernetes secret pod 私有仓库 配置管理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Aimee_c/article/details/107064909
版权
本文详细介绍了Kubernetes中的Secret管理,包括Secret的用途、创建方法(如从文件创建、编写对象)以及如何挂载到Volume、映射路径、设置环境变量。特别强调了Secret在存储Docker私有仓库认证信息的角色和安全性。
摘要由CSDN通过智能技术生成

文章目录

1.Secret配置管理介绍

Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 ssh key。 敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。

Pod 可以用两种方式使用 secret:
• 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里。
• 当 kubelet 为 pod 拉取镜像时使用。

Secret的类型:
• Service Account:Kubernetes 自动创建包含访问 API 凭据的 secret,并自动修改 pod 以使用此类型的 secret。

• Opaque:使用base64编码存储信息,可以通过base64 --decode解码获得原始数据, 因此安全性弱。

• kubernetes.io/dockerconfigjson:用于存储docker registry的认证信息。

kubectl describe pod -n ingress-nginx
serviceaccout 创建时 Kubernetes 会默认创建对应的 secret。对应的 secret 会自动挂载到Pod 的 /run/secrets/kubernetes.io/serviceaccount 目录中
在这里插入图片描述
在这里插入图片描述在每一个namespace的sa都有一个默认的default用来使得pod连接apiserver
每个namespace下有一个名为default的默认的ServiceAccount对象
ServiceAccount里有一个名为Tokens的可以作为Volume一样被Mount到Pod里的Secret,当Pod启动时这个Secret会被自动Mount到Pod的指定目录下,用来协助完成Pod中的进程访问API Server时的身份鉴权过程。

[kubeadm@server1 cm]$ kubectl get sa
NAME      SECRETS   AGE
default   1         9d
[kubeadm@server1 cm]$ kubectl get sa -n ingress-nginx 
NAME                      SECRETS   AGE
default                   1         11h
ingress-nginx             1         11h
ingress-nginx-admission   1         11h
[kubeadm@server1 ~]$ kubectl describe sa default 
Name:                default
Namespace:           default
Labels:              <none>
Annotations:         <none>
Image pull secrets:  <none>
Mountable secrets:   default-token-5qqxc
Tokens:              default-token-5qqxc
Events:              <none>

在这里插入图片描述
在这里插入图片描述

2.创建Secret

2.1 从文件中创建Secret

echo -n 'admin' > ./username.txt
echo -n 'redhat' > ./password.txt
kubectl create secret generic db-user-pass --from-file=./username.txt --fromfile=./password.txt
kubectl get secrets ##Opaque Secret 其value为base64编码后的

最低0.47元/天 解锁文章
Aimee_c
关注
k8s secret对象详解
zxyuliwuzhognzx11的博客
11-03 999
k8s secret对象详解
K8Ssecret来配置K8S应用(环境变量)--20220916
Season CSDN博客
09-16 579
K8S secret使用
k8s---Secret详解
最新发布
qinxue722的博客
07-23 1211
k8s-Secret
k8s创建共享harbor-secret
w2909526的博客
02-27 402
kubectl describe sa -n test查看serviceaccount信息。在每个namespace下都有一个默认的service account。Image pull secrets 是ns下拉取镜像的秘钥。使用 kubectl get sa -n test 查看。至此在test下拉取镜像无需配置镜像拉取秘钥了。2.配置进service account。1.创建secret。
K8S-ConfigMap
drnrrwfs的博客
03-21 3951
ConfigMap是什么 ConfigMap是在Pod映射文件的一中方式 为什么要使用ConfigMap 在Pod重启或者迁移后会恢复初始状态, 如果需要保留原来的配置(数据库地址用户名密码等), 就需要使用ConfigMap 创建web容器,引用ConfigMap configmap默认映射的是目录, 如果目录存在就覆盖, 不存在就创建 案例 创建一个pod, 跑的是一个appche, 进入该pod, 然后通过scp拷贝该配置文件到本机 scp /etc/httpd/conf/httpd.c
k8s 持久化存储及configmap、secret挂载
ligaoman521的博客
05-12 1389
1、挂载主机目录,常用于日志文件挂载和hosts文件挂载 volumeMounts: - mountPath: /etc/hosts name: hosts subPath: hosts - mountPath: /www/logs/ name: clife-sleep-commons-web-push-business-logs volumes: - hostPath: ......
Kubernetes7——Secret配置管理
qwejiaji的博客
08-01 315
目录一、secret介绍、Service Account三、Opaque Secret四、secret应用五、docker registry 一、secret介绍 k8s secrets用于存储和管理一些敏感数据,比如密码,token,密钥等敏感信息。它把 Pod 想要访问的加密数据存放到 Etcd 中。然后用户就可以通过在 Pod 的容器里挂载 Volume 的方式或者环境变量的方式访问到这些 Secret 里保存的信息了。 敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安
k8s之ConfigMap和secret
wang0907的博客
01-07 1140
我们知道k8s的数据都是存储到kv数据库etcd中的,那么我们程序中使用到各种配置信息是否可以也存储到etcd,然后在pod中使用呢?是可以的,k8s为了实现将自定义的数据存储到etcd,定义了ConfigMap和secret两种API对象。其中ConfigMap用来保存明文数据,如端口号,普通配置参数等,Secret用来配置需要加密的数据,如密码,秘钥等。本文就一起来看下这两个对象的定义以及如何在pod中使用。
Kubernetes(k8s)存储三、Volumes配置管理(.emptyDir、hostPath,pv、sc+nfs动态分配pv、StatefulSet+mysql)
ninimino的博客
03-08 965
Volumes配置管理Kubernetes 支持下列类型的卷:1.emptyDir卷2.hostPath 卷hostPath 示例NFS 示例3.PersistentVolume(持久卷,简称PV)NFS持久化存储实战NFS PV 示例:Pod挂载PV:4.StorageClass(动态)NFS Client ProvisionerNFS动态分配PV示例:如何迁移到指定namespace 容器中的文件在磁盘上是临时存放的,这给容器中运行的特殊应用程序带来一些问题。首先,当容器崩溃时,kubelet 将重新启
k8s挂载目录_k8s 挂载卷介绍(四)
weixin_39648469的博客
12-21 1336
apiVersion: v1kind: Podmetadata:name: gitrepo-volume-podspec:containers:- image: nginx: alpinename: web-nginxvolumeMounts:- name: htmlmountPath: /usr/share/nginx/htmlreadOnly: trueports:- contai...
k8s存储secret使用)
zhaikaiyun的博客
02-24 555
1、Secret概览Secret是一种包含少量敏感信息例如密码、token 或 key 的对象。将这些信息放在secret中比放在Pod的定义或者容器镜像中来说更加安全和灵活,并降低意外暴露的风险。 2、内置secretService Account使用 API 凭证自动创建和附加 secret Kubernetes自动创建包含访问 API凭据的secret,并自动修改您的 pod 以使用此类型...
k8s挂载映射操作详解
W1124824402的博客
08-22 3959
k8s 中,有几种特殊的 Volume,它们的意义不是为了存放容器里的数据,也不是用来进行容器和宿主机之间的数据交换。"而是为容器提供预先定义好的数据。从容器的角度来看,这些 Volume 里的信息仿佛是被 k8s "投射"(Project)进入容器当中的。k8s 支持的 Projected Volume 一共有四种:SecretConfigMapServiceAccountToken 不常用没有写。
k8s投射数据卷
Neko的博客
03-20 561
文章目录投射数据一、Secret详解1、secret介绍2、secret类型3、创建secret3.1、命令方式创建secret3.2、Yaml方式创建Secret4、使用Secret4.1、在Pod中以文件的形式使用secret4.2、映射secret key到指定的路径4.3、Secret文件权限4.4、secret扩展内容4.5、secret练习实验、ConfigMap详解1、与 Secret 的区别2、创建ConfigMap2.1 通过命令行参数--from-literal创建2.2 通过指定文件
k8s部署tomcat并且映射本地目录
Harry_z666的博客
04-21 4978
1.编写Dockerfile [root@VM-12-7-centos opt]# cat Dockerfile FROM centos:7.2.1511 VOLUME /tmp FROM centos MAINTAINER Harry RUN /bin/cp /usr/share/zoneinfo/Asia/Shanghai /etc/localtime && echo 'Asia/Shanghai' >/etc/timezone ADD apache-tomcat-8.5.54.t
k8s配置管理——secret与configmap
qq_21305943的专栏
08-11 1116
Secret 解决了密码、token、秘钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Spec 中。Secret 可以以 Volume 或者环境变量的方式使用。Secret:保存加密文件;加密数据并存放在Etcd中,让Pod的容器以挂载Volume方式访问secret 可选参数有三种:generic: 通用类型,通常用于存储密码数据。tls:此类型仅用于存储私钥和证书。docker-registry: 若要保存 docker 仓库认证信息的话,就必须使用此种类型来创建
k8s之service account
fengcai_ke的博客
07-11 3584
k8s service account分析
k8s-secret 配置使用secret
weixin_44204737的博客
04-27 1533
kubernetes.io/basic-auth:用于使用基本认证(账号密码)的Secret,可以使用Opaque取代;secret的使用方式和configmap很像,secret使用加密的方式更加安全,configmap更适合传递配置文件。◆ kubernetes.io/tls:用于存储HTTPS域名证书文件Secret,可以被Ingress使用;◆ kubernetes.io/dockerconfigjson:下载私有仓库镜像使用的Secret,◆Opaque:通用型Secret,默认类型;
k8s学习-Secret(创建、使用、更新、删除等)
关注网络安全、云原生安全
08-20 8911
注意:Base64只是一种编码,不含密钥的,并不安全。任何拥有 API 访问权限的人都可以检索或修改 Secret,任何有权访问 etcd 的人也可以。此外,任何有权限在命名空间中创建 Pod 的人都可以使用该访问权限读取该命名空间中的任何 Secret;使用该 ServiceAccount 创建的任何 Pod 和默认使用该 ServiceAccount 的 Pod 将会将其的 imagePullSecret 字段设置为服务帐户的 imagePullSecret 值。中的安全部分详细展开。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值