kubernetes存储(二)——K8S的Secret配置管理(创建、挂载、路径映射、设置环境变量、存储私有仓库认证信息)

最新推荐文章于 2024-05-02 04:21:30 发布
最新推荐文章于 2024-05-02 04:21:30 发布
阅读量6.7k 收藏 6
点赞数
文章标签: kubernetes secret pod 私有仓库 配置管理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Aimee_c/article/details/107064909
版权
文章目录1.Secret配置管理介绍2.创建Secret2.1 从文件中创建Secret2.2 编写一个 secret 对象3.将Secret挂载到Volume中4.向指定路径映射 secret 密钥5.将Secret设置为环境变量6.存储docker registry的认证信息1.Secret配置管理介绍Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 ssh key。 敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。Pod 可以用两种方式使
摘要由CSDN通过智能技术生成

文章目录

1.Secret配置管理介绍

Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 ssh key。 敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。

Pod 可以用两种方式使用 secret:
• 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里。
• 当 kubelet 为 pod 拉取镜像时使用。

Secret的类型:
• Service Account:Kubernetes 自动创建包含访问 API 凭据的 secret,并自动修改 pod 以使用此类型的 secret。

• Opaque:使用base64编码存储信息,可以通过base64 --decode解码获得原始数据, 因此安全性弱。

• kubernetes.io/dockerconfigjson:用于存储docker registry的认证信息。

kubectl describe pod -n ingress-nginx
serviceaccout 创建时 Kubernetes 会默认创建对应的 secret。对应的 secret 会自动挂载到Pod 的 /run/secrets/kubernetes.io/serviceaccount 目录中
在这里插入图片描述
在这里插入图片描述在每一个namespace的sa都有一个默认的default用来使得pod连接apiserver
每个namespace下有一个名为default的默认的ServiceAccount对象
ServiceAccount里有一个名为Tokens的可以作为Volume一样被Mount到Pod里的Secret,当Pod启动时这个Secret会被自动Mount到Pod的指定目录下,用来协助完成Pod中的进程访问API Server时的身份鉴权过程。

[kubeadm@server1 cm]$ kubectl get sa
NAME      SECRETS   AGE
default   1         9d
[kubeadm@server1 cm]$ kubectl get sa -n ingress-nginx 
NAME                      SECRETS   AGE
default                   1         11h
ingress-nginx             1         11h
ingress-nginx-admission   1         11h
[kubeadm@server1 ~]$ kubectl describe sa default 
Name:                default
Namespace:           default
Labels:              <none>
Annotations:         <none>
Image pull secrets:  <none>
Mountable secrets:   default-token-5qqxc
Tokens:              default-token-5qqxc
Events:              <none>

在这里插入图片描述
在这里插入图片描述

2.创建Secret

2.1 从文件中创建Secret

echo -n 'admin' > ./username.txt
echo -n 'redhat' > ./password.txt
kubectl create secret generic db-user-pass --from-file=./username.txt --fromfile=./password.txt
kubectl get secrets ##Opaque Secret 其value为base64编码后的

最低0.47元/天 解锁文章
Aimee_c
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Kubernetes K8s CKA认证-PPT
05-24
安装k8s.pdf 0-docker.pdf 1.pod.pdf 10.安全及配额管理.pdf 13.devOps实战.pdf 14-sts.pdf 15.k8s升级.pdf 15.多master.pdf 2.volume.pdf 3.密码管理.pdf 4.deployment.pdf 5.daemonset.pdf 5.健康性...
k8s配置管理——secret与configmap
qq_21305943的专栏
08-11 1082
Secret 解决了密码、token、秘钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Spec 中。Secret 可以以 Volume 或者环境变量的方式使用。Secret:保存加密文件;加密数据并存放在Etcd中,让Pod的容器以挂载Volume方式访问secret 可选参数有三种:generic: 通用类型,通常用于存储密码数据。tls:此类型仅用于存储私钥和证书。docker-registry: 若要保存 docker 仓库认证信息的话,就必须使用此种类型来创建
k8s入门学习教程3--资源对象文件编写,Configmap映射,持久化存储PV/PVC
朱海燕的博客日记
06-12 2944
资源对象文件 资源对象文件:kubenetes通过RC/RS管理POD,在RC中定义了如何启动POD,如何运行,启动几副本等功能,如果我们创建的文件在其中使用Yaml的语法格式描述了上面的信息,这个文件就是我们的资源对象文件. 资源对象文件的作用:可以创建,删除,管理资源对象 资源对象从哪里来: 资源对象文件一般由用户根据需求编写,我可以查询一个资源对象文件,包括json,yaml,wide kubectl get 资源对象 资源名 -o 格式 一般的话,我们创建资源对象会选择deployme.
k8s学习-Secret创建、使用、更新、删除等)_kubectl delete secret
最新发布
2401_84281594的博客
05-02 888
任何拥有 API 访问权限的人都可以检索或修改 Secret,任何有权访问 etcd 的人也可以。此外,任何有权限在命名空间中创建 Pod 的人都可以使用该访问权限读取该命名空间中的任何 Secret;对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!中的安全部分详细展开。
k8s部署tomcat并且映射本地目录
Harry_z666的博客
04-21 4843
1.编写Dockerfile [root@VM-12-7-centos opt]# cat Dockerfile FROM centos:7.2.1511 VOLUME /tmp FROM centos MAINTAINER Harry RUN /bin/cp /usr/share/zoneinfo/Asia/Shanghai /etc/localtime && echo 'Asia/Shanghai' >/etc/timezone ADD apache-tomcat-8.5.54.t
k8s 持久化存储及configmap、secret挂载
ligaoman521的博客
05-12 1365
1、挂载主机目录,常用于日志文件挂载和hosts文件挂载 volumeMounts: - mountPath: /etc/hosts name: hosts subPath: hosts - mountPath: /www/logs/ name: clife-sleep-commons-web-push-business-logs volumes: - hostPath: ......
k8s secret对象详解
zxyuliwuzhognzx11的博客
11-03 976
k8s secret对象详解
k8s之service account
fengcai_ke的博客
07-11 3476
k8s service account分析
K8S部署+私有仓库部署
04-29
K8S部署+私有仓库
Kubernetes(K8S)集群管理Docker容器(部署篇)
02-25
环境说明:操作系统:Ubuntu16.04orCentOS7Kubernetes版本:v1.8.3Docker版本:v17.09-ce均采用当前最新稳定版本。关闭selinux。打开下面网址,下载下面两个红色框框的包。...
kubernetes-playground:学习kubernetes存储库:k8s环境设置的示例
02-16
k8s游乐场
k8s-secret 配置使用secret
weixin_44204737的博客
04-27 994
kubernetes.io/basic-auth:用于使用基本认证(账号密码)的Secret,可以使用Opaque取代;secret的使用方式和configmap很像,secret使用加密的方式更加安全,configmap更适合传递配置文件。◆ kubernetes.io/tls:用于存储HTTPS域名证书文件的Secret,可以被Ingress使用;◆ kubernetes.io/dockerconfigjson:下载私有仓库镜像使用的Secret,◆Opaque:通用型Secret,默认类型;
k8s创建共享harbor-secret
w2909526的博客
02-27 365
kubectl describe sa -n test查看serviceaccount信息。在每个namespace下都有一个默认的service account。Image pull secrets 是ns下拉取镜像的秘钥。使用 kubectl get sa -n test 查看。至此在test下拉取镜像无需配置镜像拉取秘钥了。2.配置进service account。1.创建secret
K8S-ConfigMap
drnrrwfs的博客
03-21 3946
ConfigMap是什么 ConfigMap是在Pod中映射文件的一中方式 为什么要使用ConfigMap 在Pod重启或者迁移后会恢复初始状态, 如果需要保留原来的配置(数据库地址用户名密码等), 就需要使用ConfigMap 创建web容器,引用ConfigMap configmap默认映射的是目录, 如果目录存在就覆盖, 不存在就创建 案例 创建一个pod, 跑的是一个appche, 进入该pod, 然后通过scp拷贝该配置文件到本机 scp /etc/httpd/conf/httpd.c
k8s学习-Secret创建、使用、更新、删除等)
关注网络安全、云原生安全
08-20 8594
注意:Base64只是一种编码,不含密钥的,并不安全。任何拥有 API 访问权限的人都可以检索或修改 Secret,任何有权访问 etcd 的人也可以。此外,任何有权限在命名空间中创建 Pod 的人都可以使用该访问权限读取该命名空间中的任何 Secret;使用该 ServiceAccount 创建的任何 Pod 和默认使用该 ServiceAccount 的 Pod 将会将其的 imagePullSecret 字段设置为服务帐户的 imagePullSecret 值。中的安全部分详细展开。
【K8S】k8s中secret使用方法
qq_42391153的博客
04-03 1056
在k8s中使用secret挂载访问凭证和账号密码
Kubernetes详解(四十一)——Secret创建
永远是少年
05-06 4754
今天继续给大家介绍Linux运维相关知识,本文主要内容是Secret创建。 一、--from-literal参数创建 二、--from-file参数创建 三、--from-env-file参数创建 四、清单创建
K8S 创建 Secret
一直被模仿,从未被超越
12-09 9196
secret用于存储管理一些敏感数据,比如密码,token,密钥等敏感信息。它把 Pod 想要访问的加密数据存放到 Etcd 中。然后用户就可以通过在 Pod 的容器里挂载 Volume 的方式或者 环境变量 的方式访问到这些 Secret 里保存的信息 Secret 有三种类型 Opaque:base64 编码格式的 Secret,用来存储密码、密钥等;但数据也可以通过base64 –decode解码得到原始数据,所有加密性很弱。 Service Account:用来访问Kubernetes ..
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值