k8s教程07(kubernetes-存储secret)

最新推荐文章于 2024-06-14 12:14:16 发布
最新推荐文章于 2024-06-14 12:14:16 发布
阅读量873 收藏 1
点赞数
分类专栏: kubernetes 文章标签: kubernetes docker linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DDJ_TEST/article/details/125149053
版权

Secret存在意义

Secret解决了密码、token、 密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret 可以以Volume或者环境变量的方式使用

Secret有三种类型:
● Service Account:用来访问Kubernetes API,由Kubernetes自动创建,并且会自动挂载到Pod的/run/secrets/kubernetes.io/serviceaccount目录中
● Opaque:base64编码格式的Secret,用来存储密码、密钥等
● kubernetes.io/dockerconfigjson:用来存储私有docker registry的认证信息

Service Account

Service Account用来访问Kubernetes API,由Kubernetes自动创建,并且会自动挂载到Pod的/run/secrets/kubernetes.io/serviceaccount目录中

$ kubectl run nginx --image nginx
deployment "nginx" created
$ kubectl get pods
NaMe					READY		STATUS		RESTARTS		AGE
nginx-3137573019-md1u2	1/1			Running		0				13s
$ kubectl exec nginx-3137573019-md1u2 ls /run/secrets/kubernetes.io/serviceaccount
ca.crt
namespace
token


[root@k8s-master01 config]# kubectl get pod -n kube-system
NAME                                   READY   STATUS    RESTARTS   AGE
coredns-5c98db65d4-4kj2t               1/1     Running   10         11d
coredns-5c98db65d4-7zsr7               1/1     Running   10         11d
etcd-k8s-master01                      1/1     Running   11         11d
kube-apiserver-k8s-master01            1/1     Running   11         11d
kube-controller-manager-k8s-master01   1/1     Running   10         11d
kube-flannel-ds-amd64-5chsx            1/1     Running   11         11d
kube-flannel-ds-amd64-8bxpj            1/1     Running   11         11d
kube-flannel-ds-amd64-g4gh9            1/1     Running   10         11d
kube-proxy-cznqr                       1/1     Running   10         11d
kube-proxy-mcsdl                       1/1     Running   11         11d
kube-proxy-t7v46                       1/1     Running   10         11d
kube-scheduler-k8s-master01            1/1     Running   10         11d
[root@k8s-master01 config]# kubectl exec kube-proxy-cznqr -n kube-system -it -- /bin/sh
# cd /run/secrets/kubernetes.io/serviceaccount
# ls
ca.crt  namespace  token

Opaque Secret(常用)

1、创建说明

Opaque类型的数据是一个map类型,要求value是base64 编码格式:

$ echo -n "admin" | base64
YWRtaW4=
$ echo -n "1f2d1e2e67df" | base64
MWYyZDFlMmU2N2Rm

$ echo -n "YWRtaW4="| base64 -d
admin

secrets.yml

apiVersion: v1
kind: Secret
metadata :
  name: mysecret
type: Opaque
data:
  password: MWYyZDFlMmU2N2Rm
  username: YWRtaW4=

[root@k8s-master01 config]# kubectl apply -f secrets.yaml 
secret/mysecret created
[root@k8s-master01 config]# kubectl get secret
NAME                  TYPE                                  DATA   AGE
basic-auth            Opaque                                1      4d
default-token-2k8kw   kubernetes.io/service-account-token   3      11d
mysecret              Opaque                                2      18s
tls-secret            kubernetes.io/tls                     2      4d1h
[root@k8s-master01 config]# kubectl get secret -n kube-system
NAME                                             TYPE                                  DATA   AGE
attachdetach-controller-token-68rsn              kubernetes.io/service-account-token   3      11d
bootstrap-signer-token-x7vl9                     kubernetes.io/service-account-token   3      11d
certificate-controller-token-rbfhz               kubernetes.io/service-account-token   3      11d
clusterrole-aggregation-controller-token-cn52v   kubernetes.io/service-account-token   3      11d
coredns-token-w86xq                              kubernetes.io/service-account-token   3      11d
cronjob-controller-token-jwgpc                   kubernetes.io/service-account-token   3      11d
daemon-set-controller-token-fsfhc                kubernetes.io/service-account-token   3      11d
default-token-k6zgd                              kubernetes.io/service-account-token   3      11d
deployment-controller-token-4wr4s                kubernetes.io/service-account-token   3      11d
disruption-controller-token-9x2fp                kubernetes.io/service-account-token   3      11d
endpoint-controller-token-kclqg                  kubernetes.io/service-account-token   3      11d
expand-controller-token-nnwgp                    kubernetes.io/service-account-token   3      11d
flannel-token-mrw42                              kubernetes.io/service-account-token   3      11d
generic-garbage-collector-token-n4sgq            kubernetes.io/service-account-token   3      11d
horizontal-pod-autoscaler-token-jm8ld            kubernetes.io/service-account-token   3      11d
job-controller-token-88bhq                       kubernetes.io/service-account-token   3      11d
kube-proxy-token-l45zc                           kubernetes.io/service-account-token   3      11d
namespace-controller-token-q4bfb                 kubernetes.io/service-account-token   3      11d
node-controller-token-j46rt                      kubernetes.io/service-account-token   3      11d
persistent-volume-binder-token-pvttr             kubernetes.io/service-account-token   3      11d
pod-garbage-collector-token-7c2df                kubernetes.io/service-account-token   3      11d
pv-protection-controller-token-r7db4             kubernetes.io/service-account-token   3      11d
pvc-protection-controller-token-fd6lf            kubernetes.io/service-account-token   3      11d
replicaset-controller-token-gcntr                kubernetes.io/service-account-token   3      11d
replication-controller-token-wnjgc               kubernetes.io/service-account-token   3      11d
resourcequota-controller-token-5hlgk             kubernetes.io/service-account-token   3      11d
service-account-controller-token-jbqfk           kubernetes.io/service-account-token   3      11d
service-controller-token-dr4q7                   kubernetes.io/service-account-token   3      11d
statefulset-controller-token-j5vcl               kubernetes.io/service-account-token   3      11d
token-cleaner-token-s5xdg                        kubernetes.io/service-account-token   3      11d
ttl-controller-token-mhthj                       kubernetes.io/service-account-token   3      11d

2、使用方式

1、将Secret挂载到Volume中

vi pod1.yaml

apiVersion: v1
kind: Pod
metadata:
  labels:
    name: seret-test
  name: seret-test
spec:
  volumes: 
  - name: secrets
    secret: 
      secretName: mysecret
  containers:
  - image: wangyanglinux/myapp:v1
    name: db
    volumeMounts:
    - name: secrets
      mountPath: "/etc/secrets"
      readOnly: true

[root@k8s-master01 config]# kubectl apply -f pod1.yaml 
pod/seret-test created
[root@k8s-master01 config]# kubectl get pod
NAME                        READY   STATUS    RESTARTS   AGE
my-nginx-7b55868ff4-nnczm   1/1     Running   0          50m
seret-test                  1/1     Running   0          8s
[root@k8s-master01 config]# kubectl exec seret-test -it -- /bin/sh
/ # cd /etc/secrets
/etc/secrets # ls
password  username
/etc/secrets # cat username 
admin
2.将Secret导出到环境变量中

vi env.yaml

apiVersion: extensions/v1beta1
kind: Deployment
metadata:
  name: pod-deployment1
spec:
  replicas: 2
  template:
    metadata:
      labels:
        app: pod-deployment1
    spec:
      containers:
      - name: pod-11
        image: wangyanglinux/myapp:v1
        ports:
        - containerPort: 80
        env:
        - name: TEST_USER
          valueFrom:
            secretKeyRef:
              name: mysecret
              key: username
        - name: TEST_PASSWORD
          valueFrom:
            secretKeyRef:
              name: mysecret
              key: password


[root@k8s-master01 config]# kubectl delete pod --all
pod "my-nginx-7b55868ff4-nnczm" deleted
pod "seret-test" deleted
[root@k8s-master01 config]# kubectl apply -f env.yaml 
deployment.extensions/pod-deployment1 created
[root@k8s-master01 config]# kubectl get pod
NAME                               READY   STATUS    RESTARTS   AGE
my-nginx-7b55868ff4-5f7g8          1/1     Running   0          2m24s
pod-deployment1-579cf7f865-49dxf   1/1     Running   0          19s
pod-deployment1-579cf7f865-jpxmx   1/1     Running   0          18s
[root@k8s-master01 config]# kubectl exec pod-deployment1-579cf7f865-49dxf -it -- /bin/sh
/ # echo $TEST_USER
admin
/ # echo $TEST_PASSWORD
1f2d1e2e67df

在这里插入图片描述
打开浏览器访问:https://hub.atguigu.com/账户:admin,密码:Harbor12345
在这里插入图片描述
创建私有仓库
在这里插入图片描述
复制格式hub.atguigu.com/test/IMAGE[:TAG]
在这里插入图片描述
推送镜像过来

[root@k8s-master01 ~]# docker images
REPOSITORY                                                       TAG                 IMAGE ID            CREATED             SIZE
perl                                                             5.36.0              f9596eddf06f        5 months ago        890MB
nginx                                                            latest              04661cdce581        6 months ago        141MB
rethinkdb                                                        latest              2a54dcb95502        7 months ago        131MB
hello-world                                                      latest              feb5d9fea6a5        8 months ago        13.3kB
192.168.111.129:5000/demo                                        latest              40fc65df2cf9        14 months ago       660MB
demo                                                             1.0-SNAPSHOT        40fc65df2cf9        14 months ago       660MB
registry                                                         latest              678dfa38fcfa        17 months ago       26.2MB
openstf/ambassador                                               latest              938a816f078a        22 months ago       8.63MB
openstf/stf                                                      latest              91d0ab894aff        22 months ago       958MB
quay.io/coreos/flannel                                           v0.12.0-amd64       4e9f801d2217        2 years ago         52.8MB
k8s.gcr.io/kube-scheduler                                        v1.15.1             b0b3c4c404da        2 years ago         81.1MB
k8s.gcr.io/kube-controller-manager                               v1.15.1             d75082f1d121        2 years ago         159MB
k8s.gcr.io/kube-proxy                                            v1.15.1             89a062da739d        2 years ago         82.4MB
k8s.gcr.io/kube-apiserver                                        v1.15.1             68c3eb07bfc3        2 years ago         207MB
quay.io/kubernetes-ingress-controller/nginx-ingress-controller   0.25.0              02149b6f439f        2 years ago         508MB
k8s.gcr.io/coredns                                               1.3.1               eb516548c180        3 years ago         40.3MB
k8s.gcr.io/etcd                                                  3.3.10              2c4adeb21b4f        3 years ago         258MB
sorccu/adb                                                       latest              7123ee61b746        4 years ago         30.5MB
wangyanglinux/myapp                                              v1                  d4a5e0eaa84f        4 years ago         15.5MB
k8s.gcr.io/pause                                                 3.1                 da86e6ba6ca1        4 years ago         742kB
java                                                             8                   d23bdf5b1b1b        5 years ago         643MB
[root@k8s-master01 ~]# docker tag wangyanglinux/myapp:v1 hub.atguigu.com/test/myapp:v2
[root@k8s-master01 ~]# docker images
REPOSITORY                                                       TAG                 IMAGE ID            CREATED             SIZE
perl                                                             5.36.0              f9596eddf06f        5 months ago        890MB
nginx                                                            latest              04661cdce581        6 months ago        141MB
rethinkdb                                                        latest              2a54dcb95502        7 months ago        131MB
hello-world                                                      latest              feb5d9fea6a5        8 months ago        13.3kB
192.168.111.129:5000/demo                                        latest              40fc65df2cf9        14 months ago       660MB
demo                                                             1.0-SNAPSHOT        40fc65df2cf9        14 months ago       660MB
registry                                                         latest              678dfa38fcfa        17 months ago       26.2MB
openstf/ambassador                                               latest              938a816f078a        22 months ago       8.63MB
openstf/stf                                                      latest              91d0ab894aff        22 months ago       958MB
quay.io/coreos/flannel                                           v0.12.0-amd64       4e9f801d2217        2 years ago         52.8MB
k8s.gcr.io/kube-proxy                                            v1.15.1             89a062da739d        2 years ago         82.4MB
k8s.gcr.io/kube-scheduler                                        v1.15.1             b0b3c4c404da        2 years ago         81.1MB
k8s.gcr.io/kube-apiserver                                        v1.15.1             68c3eb07bfc3        2 years ago         207MB
k8s.gcr.io/kube-controller-manager                               v1.15.1             d75082f1d121        2 years ago         159MB
quay.io/kubernetes-ingress-controller/nginx-ingress-controller   0.25.0              02149b6f439f        2 years ago         508MB
k8s.gcr.io/coredns                                               1.3.1               eb516548c180        3 years ago         40.3MB
k8s.gcr.io/etcd                                                  3.3.10              2c4adeb21b4f        3 years ago         258MB
sorccu/adb                                                       latest              7123ee61b746        4 years ago         30.5MB
wangyanglinux/myapp                                              v1                  d4a5e0eaa84f        4 years ago         15.5MB
hub.atguigu.com/test/myapp                                       v2                  d4a5e0eaa84f        4 years ago         15.5MB
k8s.gcr.io/pause                                                 3.1                 da86e6ba6ca1        4 years ago         742kB
java                                                             8                   d23bdf5b1b1b        5 years ago         643MB
[root@k8s-master01 ~]# docker push hub.atguigu.com/test/myapp:v2
The push refers to repository [hub.atguigu.com/test/myapp]
a0d2c4392b06: Preparing 
05a9e65e2d53: Preparing 
68695a6cfd7d: Preparing 
c1dc81a64903: Preparing 
8460a579ab63: Preparing 
d39d92664027: Waiting 
denied: requested access to the resource is denied

报错权限拒绝,需要登录harbor

[root@k8s-master01 ~]# docker login hub.atguigu.com
Username: admin 
Password: 
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store

Login Succeeded
[root@k8s-master01 ~]# docker push hub.atguigu.com/test/myapp:v2
The push refers to repository [hub.atguigu.com/test/myapp]
a0d2c4392b06: Pushed 
05a9e65e2d53: Pushed 
68695a6cfd7d: Pushed 
c1dc81a64903: Pushed 
8460a579ab63: Pushed 
d39d92664027: Pushed 
v2: digest: sha256:9eeca44ba2d410e54fccc54cbe9c021802aa8b9836a0bcf3d3229354e4c8870e size: 1569

在这里插入图片描述
在这里插入图片描述
node01下载镜像成功

[root@k8s-node01 ~]# docker pull hub.atguigu.com/test/myapp:v2
v2: Pulling from test/myapp
Digest: sha256:9eeca44ba2d410e54fccc54cbe9c021802aa8b9836a0bcf3d3229354e4c8870e
Status: Downloaded newer image for hub.atguigu.com/test/myapp:v2

[root@k8s-node01 ~]# docker rmi hub.atguigu.com/test/myapp:v2
Untagged: hub.atguigu.com/test/myapp:v2
Untagged: hub.atguigu.com/test/myapp@sha256:9eeca44ba2d410e54fccc54cbe9c021802aa8b9836a0bcf3d3229354e4c8870e

master01、node01、node02三台主机,下载镜像成功,有可能以前登录过harbor,退出后再次下载镜像就会报错

[root@k8s-node01 ~]# docker logout hub.atguigu.com
Removing login credentials for hub.atguigu.com
[root@k8s-node01 ~]# docker pull hub.atguigu.com/test/myapp:v2
Error response from daemon: pull access denied for hub.atguigu.com/test/myapp, repository does not exist or may require 'docker login'

vi foo.yaml

apiVersion: v1
kind: Pod
metadata:
  name: foo
spec:
  containers:
  - name: foo
    image: hub.atguigu.com/test/myapp:v2

[root@k8s-master01 ~]# kubectl create -f foo.yaml 
pod/foo created
[root@k8s-master01 ~]# kubectl get pod
NAME                               READY   STATUS             RESTARTS   AGE
foo                                0/1     ImagePullBackOff   0          14s
my-nginx-7b55868ff4-5f7g8          1/1     Running            1          21h
pod-deployment1-579cf7f865-49dxf   1/1     Running            1          21h
pod-deployment1-579cf7f865-jpxmx   1/1     Running            1          21h

[root@k8s-master01 ~]# kubectl describe pod foo
Name:         foo
Namespace:    default
Priority:     0
Node:         k8s-node01/192.168.192.130
Start Time:   Tue, 07 Jun 2022 14:35:35 +0800
Labels:       <none>
Annotations:  <none>
Status:       Pending
IP:           10.244.1.127
Containers:
  foo:
    Container ID:   
    Image:          hub.atguigu.com/test/myapp:v2
    Image ID:       
    Port:           <none>
    Host Port:      <none>
    State:          Waiting
      Reason:       ErrImagePull
    Ready:          False
    Restart Count:  0
    Environment:    <none>
    Mounts:
      /var/run/secrets/kubernetes.io/serviceaccount from default-token-2k8kw (ro)
Conditions:
  Type              Status
  Initialized       True 
  Ready             False 
  ContainersReady   False 
  PodScheduled      True 
Volumes:
  default-token-2k8kw:
    Type:        Secret (a volume populated by a Secret)
    SecretName:  default-token-2k8kw
    Optional:    false
QoS Class:       BestEffort
Node-Selectors:  <none>
Tolerations:     node.kubernetes.io/not-ready:NoExecute for 300s
                 node.kubernetes.io/unreachable:NoExecute for 300s
Events:
  Type     Reason     Age                From                 Message
  ----     ------     ----               ----                 -------
  Normal   Scheduled  65s                default-scheduler    Successfully assigned default/foo to k8s-node01
  Normal   Pulling    19s (x3 over 64s)  kubelet, k8s-node01  Pulling image "hub.atguigu.com/test/myapp:v2"
  Warning  Failed     19s (x3 over 64s)  kubelet, k8s-node01  Failed to pull image "hub.atguigu.com/test/myapp:v2": rpc error: code = Unknown desc = Error response from daemon: pull access denied for hub.atguigu.com/test/myapp, repository does not exist or may require 'docker login'
  Warning  Failed     19s (x3 over 64s)  kubelet, k8s-node01  Error: ErrImagePull
  Normal   BackOff    7s (x4 over 63s)   kubelet, k8s-node01  Back-off pulling image "hub.atguigu.com/test/myapp:v2"
  Warning  Failed     7s (x4 over 63s)   kubelet, k8s-node01  Error: ImagePullBackOff

下载镜像失败,下面进行改正

kubernetes.io/dockerconfigjson(镜像下载策略)

使用Kuberctl创建docker registry认证的secret
格式:

$ kubectl create secret docker-registry myregistrykey --docker-server=DOCKER_REGISTRY_SERVER --docker-username=DOCKER_USER --docker-password=DOCKER_PASSWORD --docker-email=DOCKER_EMAIL secret "myregistrykey" created

实际操作:

[root@k8s-master01 ~]# kubectl create secret docker-registry myregistrykey --docker-server=hub.atguigu.com --docker-username=admin --docker-password=Harbor12345 --docker-email=396700196@qq.com
secret/myregistrykey created

在创建Pod的时候,通过 imagePullsecrets 来引用刚创建的myregistrykey
vi foo.yaml

apiVersion: v1
kind: Pod
metadata:
  name: foo
spec:
  containers:
  - name: foo
    image: hub.atguigu.com/test/myapp:v2
  imagePullSecrets:
    - name: myregistrykey

[root@k8s-master01 ~]# kubectl get pod
NAME                               READY   STATUS             RESTARTS   AGE
foo                                0/1     ImagePullBackOff   0          9m8s
my-nginx-7b55868ff4-5f7g8          1/1     Running            1          21h
pod-deployment1-579cf7f865-49dxf   1/1     Running            1          21h
pod-deployment1-579cf7f865-jpxmx   1/1     Running            1          21h
[root@k8s-master01 ~]# kubectl delete pod --all
pod "foo" deleted
pod "my-nginx-7b55868ff4-5f7g8" deleted
pod "pod-deployment1-579cf7f865-49dxf" deleted
pod "pod-deployment1-579cf7f865-jpxmx" deleted
[root@k8s-master01 ~]# kubectl get pod
NAME                               READY   STATUS    RESTARTS   AGE
my-nginx-7b55868ff4-tpftx          1/1     Running   0          15s
pod-deployment1-579cf7f865-fdgpw   1/1     Running   0          15s
pod-deployment1-579cf7f865-ln5q8   1/1     Running   0          15s
[root@k8s-master01 ~]# kubectl delete deployment --all
deployment.extensions "my-nginx" deleted
deployment.extensions "pod-deployment1" deleted
[root@k8s-master01 ~]# kubectl get pod
No resources found.

[root@k8s-master01 ~]# kubectl create -f foo.yaml 
pod/foo created
[root@k8s-master01 ~]# kubectl get pod
NAME   READY   STATUS    RESTARTS   AGE
foo    1/1     Running   0          10s
已无测试机
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
kubernetes-server-linux-amd64.tar.gz
11-29
Kubernetes(简称K8s)是Google开源的一款容器编排系统,它为应用提供了部署、扩展和管理的强大工具。在这个名为“kubernetes-server-linux-amd64.tar.gz”的压缩包中,包含了在Linux AMD64架构上运行Kubernetes ...
K8S 部署资源文件,包含kube-flannel+kubernetes-dashboard+ingress
06-26
在Kubernetes(K8S)集群中,部署资源文件是管理和操作微服务的关键步骤。本压缩包提供的资源文件包括了`kube-flannel.yml`、`kubernetes-dashboard.yaml`和`kubernetes-dashboard-ingress.yml`,它们分别对应于...
k8s之Secret详细理解及使用
热门推荐
skh2015java的博客
10-22 3万+
Secret介绍 k8s secrets用于存储和管理一些敏感数据,比如密码,token,密钥等敏感信息。它把 Pod 想要访问的加密数据存放到 Etcd 中。然后用户就可以通过在 Pod 的容器里挂载 Volume 的方式或者环境变量的方式访问到这些 Secret 里保存的信息了。 Secret有三种类型 Opaque:base64 编码格式的 Secret,用来存储密码、密钥等;但数据也可以通过base64 –decode解码得到原始数据,所有加密性很弱。 Service Account:.
k8s学习-Secret(创建、使用、更新、删除等)
关注网络安全、云原生安全
08-20 8591
注意:Base64只是一种编码,不含密钥的,并不安全。任何拥有 API 访问权限的人都可以检索或修改 Secret,任何有权访问 etcd 的人也可以。此外,任何有权限在命名空间中创建 Pod 的人都可以使用该访问权限读取该命名空间中的任何 Secret;使用该 ServiceAccount 创建的任何 Pod 和默认使用该 ServiceAccount 的 Pod 将会将其的 imagePullSecret 字段设置为服务帐户的 imagePullSecret 值。中的安全部分详细展开。
【K8s】专题五(2):Kubernetes 配置之 Secret
最新发布
行者Sun1989的博客
06-14 527
Kubernetes 专题 - 配置之 Secret
k8s编排、Secret加密文件详解,configmap文件详解,基本操作
mingqing的博客
11-27 3808
文章目录总结Secret详解yaml方式创建Secret使用Secret,挂载方式映射secret key到指定的路径被挂载的secret内容自动更新环境变量的形式使用SecretYAML 文件的方式创建SecretConfigMap详解创建ConfigMap使用ConfigMap1 通过环境变量使用环境变量引用文件所有值2 作为volume挂载使用 总结 数据卷 1.secret:保存敏感信息,比如用户名、密码、token 创建方式2种: 命令行 yaml文件 引用3种: volume挂载 secret
K8S Secret 一文详解, 全面覆盖 Secret 使用场景 | 全家桶
aifeier的博客
01-10 3365
Secret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 这样的信息可能会被放在 Pod 规约中或者镜像中。 使用 Secret 意味着你不需要在应用程序代码中包含机密数据。由于创建 Secret 可以独立于使用它们的 Pod, 因此在创建、查看和编辑 Pod 的工作流程中暴露 Secret(及其数据)的风险较小。 Kubernetes 和在集群中运行的应用程序也可以对 Secret 采取额外的预防措施, 例如避免将敏感数据写入非易失性存储
k8s-Secret
qq_39122387的博客
12-31 454
k8s 中的 secret 介绍,以及在各种场景中的应用。
kubernetes-learning.pdf
06-04
k8s学习 介绍 序⾔ 课程介绍 Docker 基础 Docker 简介 镜像和容器的基本操作 Dockerfile 定制镜像 私有镜像仓库 数据共享与持久化 Docker 的⽹络模式 Docker 三架⻢⻋ Docker Compose Docker Machine Docker Swarm ...
k8s-coredns-1.8.6镜像包和安装文件
12-01
在容器编排领域,Kubernetes(简称k8s)是一个广泛应用的开源系统,用于自动化容器化应用程序的部署、扩展和管理。在这个场景中,我们关注的是k8s的一个关键组件——CoreDNS,它是一个高性能、插件化的DNS服务器,被...
k8s Configmap配置与Secret加密
MrLee的博客
07-28 1908
ConfigMap功能在Kubernetes1.2版本中引入,许多应用程序会从配置文件、命令行参数或环境变量中读取配置信息。ConfigMapAPI给我们提供了向容器中注入配置信息的机制,ConfigMap可以被用来保存单个属性,也可以用来保存整个配置文件或者JSON二进制大对象。将配置信息放到configmap对象中,然后在pod的对象中导入configmap对象,实现导入配置的操作。ConigMap是一种API对象,用来将非机密性的数据保存到键值对中。......
k8s配置资源管理|secret|configmap
m0_75015568的博客
05-26 1801
k8s配置资源管理|secret|configmap
k8s私有镜像仓库secret创建
司隶校尉博客
07-07 3754
一、 opaque类型的secret k8s常见常用的secret 类型opaque,通过base64 decode解码获得秘钥信息,安全性这块较弱,创建例子如下: apiVersion: v1 kind: Secret metadata: name: secret_userinfo type: Opaque data: name: 5bCP5piO age: Ng== 创建的secret的使用方法有挂载和环境变量两种,以下只介绍在环境变量中的使用方法: env: - name:
k8s配置管理——secret与configmap
qq_21305943的专栏
08-11 1082
Secret 解决了密码、token、秘钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Spec 中。Secret 可以以 Volume 或者环境变量的方式使用。Secret:保存加密文件;加密数据并存放在Etcd中,让Pod的容器以挂载Volume方式访问secret 可选参数有三种:generic: 通用类型,通常用于存储密码数据。tls:此类型仅用于存储私钥和证书。docker-registry: 若要保存 docker 仓库的认证信息的话,就必须使用此种类型来创建。
k8s实践(7)- k8s Secrets
黄规速博客:学如逆水行舟,不进则退
06-16 1110
Secrets是Kubernetes中一种对象类型,用来保存密码、私钥、口令等敏感信息。与直接将敏感信息嵌入image、pod相比,Secrets更安全、更灵活,用户对敏感信息的控制力更强。同Docker对敏感信息的管理类似,首先用户创建Secrets将敏感信息加密后保存在集群中,创建pod时通过volume、环境变量引用Secrets。 1. Secret类型 Secret有三种类型: O...
k8s学习(十五)Secret的使用
码易的博客
12-29 1967
目录前言一、创建Secret二、使用Secret 前言 。 一、创建Secret 1、base64加密 [root@k8s-master k8s]# echo -n "root" | base64 cm9vdA== [root@k8s-master k8s]# echo -n "root123" | base64 cm9vdDEyMw== 2、secret.yaml [root@k8s-master k8s]# cat secret.yaml apiVersion: v1 kind: Secr..
k8s --使用secret
IT艺术家-rookie的博客
04-20 4002
为什么要使用secret 官网说明 以前一些数据库密码可能会写在配置文件中springboot工程中一般是application.yaml。有的会直接写明文,有的加密之后把密文写在配置文件中。 k8s中secret是一种包含少量敏感信息例如密码、令牌或密钥的对象。 这样的信息可能会被放在 Pod 规约中或者镜像中。 使用 Secret 意味着你不需要在应用程序代码中包含机密数据。 Secret 类似于 ConfigMap 但专门用于保存机密数据。 Pod使用Secret Pod有用三种方式来使用 Sec
Kubernetes中Secret使用详解
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
10-26 1万+
Secret解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。 Secret类型 Secret有三种类型: Opaque:base64编码格式的Secret,用来存储密码、密钥等;但数据也通过base64 –decode解码得到原始数据,所有加密性很弱。 kubernetes.io/doc...
k8s如何配置secret保存harbor仓库账号密码、pod中怎么使用harbor仓库镜像
MssGuo的博客
10-14 4059
k8s如何配置secret保存harbor仓库账号密码、pod中怎么使用harbor仓库镜像
k8s(kubernetes)相关重要知识点运维笔记
07-24
### 回答1: k8s(Kubernetes)是一个开源的容器编排平台,用于自动化容器部署、扩展和管理。下面是一些与k8s相关的重要知识点运维笔记。 1. 容器化技术:k8s基于容器化技术,可以将应用程序及其依赖项封装到容器中,实现隔离和轻量级部署。熟悉Docker等容器化工具是使用k8s的先决条件。 2. 集群架构:k8s由Master和Worker节点组成,Master节点负责管理和控制集群,而Worker节点负责承载应用程序容器。了解集群架构和组件的功能是进行k8s运维的重要基础。 3. 资源管理:k8s通过Pod、Deployment、ReplicaSet等资源对象实现应用程序的管理。Pod是最小的可部署单元,可以包含一个或多个容器。Deployment用于定义和控制Pod的副本数和版本更新等。 4. 服务发现和负载均衡:k8s提供了Service对象用于服务发现和负载均衡。Service定义了一组Pod的访问入口,并通过ClusterIP、NodePort或LoadBalancer等方式实现内部和外部的访问。 5. 存储管理:k8s支持各种存储卷插件,包括本地存储、NFS、AWS EBS等。使用存储卷可以将应用程序中的数据持久化,并实现数据的共享和迁移。 6. 配置管理:k8s提供了ConfigMap和Secret等对象用于管理应用程序的配置和敏感信息。ConfigMap用于存储配置数据,而Secret用于存储敏感信息如密码和API密钥。 7. 监控和日志:k8s集成了多种监控和日志工具,如Prometheus、Grafana和EFK(Elasticsearch、Fluentd、Kibana)等。通过这些工具可以实时监控和分析应用程序的性能和日志信息。 8. 自动扩展:k8s可以根据应用程序的负载情况自动进行扩展。通过Horizontal Pod Autoscaler(HPA)等机制,可以根据CPU利用率或其他指标自动调整Pod的副本数。 9. 更新和回滚:k8s支持应用程序的版本更新和回滚。通过Deployment的滚动升级策略,可以实现应用程序的无缝更新,并在出现问题时快速回滚到之前的版本。 10. 故障排除和调试:k8s提供了一些工具和命令行工具,如kubectl、kubectl logs等,用于进行故障排查和调试。掌握这些工具的使用方法对于运维k8s集群是必要的。 以上是一些与k8s相关的重要知识点和运维笔记,对于熟练掌握k8s的运维人员来说,这些知识点是必备的。当然,k8s是一个非常广泛且庞大的平台,还有很多其他方面的知识和技能需要进一步学习和掌握。 ### 回答2: Kubernetes(简称K8s)是一种用于自动化容器化应用程序部署、扩展和管理的开源容器编排工具。以下是关于Kubernetes相关重要知识点的运维笔记: 1. 集群架构:Kubernetes由Master和Node组成。Master负责集群管理,包括调度、监控、管理配置等,而Node是运行容器的主机。 2. Pod:Pod是Kubernetes最小的可调度和管理的单元,它可以包含一个或多个容器。Pod共享网络和存储资源,可以通过共享文件和通信进行协作。 3. 命名空间(Namespace):命名空间用于将集群内的资源进行隔离,可以避免不同应用程序之间的冲突。 4. 控制器(Controller):控制器用于实现自动化操作和管理,如应用部署、副本数监控、故障恢复等。常见的控制器包括ReplicaSet、Deployment、StatefulSet等。 5. 服务(Service):Service是一种抽象,用于定义一组Pod的访问方式。它为一组Pod分配固定的虚拟IP,并提供负载均衡和服务发现功能。 6. 存储卷(Volume):存储卷用于持久化数据,确保数据在容器重启或迁移时不丢失。Kubernetes支持多种存储类型,如本地存储、网络存储、云存储等。 7. 扩展机制:Kubernetes提供了多种扩展机制,如水平Pod自动伸缩(HPA)、自定义资源定义(CRD)、自定义控制器等,可以根据需求灵活扩展和定制。 8. 监控和日志:Kubernetes提供了丰富的监控和日志功能,可以通过Prometheus、Elasticsearch等工具对集群中的资源和应用进行监视和记录。 9. 网络和服务发现:Kubernetes为容器提供了多种网络模型,并集成了服务发现机制。可以通过Ingress、LoadBalancer等方式将容器暴露到集群外部。 10. 安全和认证授权:Kubernetes提供了多种安全机制,如RBAC、TLS等,用于认证和授权用户的访问权限,确保集群的安全性。 这些是Kubernetes运维中的重要知识点,掌握了这些知识对于有效管理和运维Kubernetes集群至关重要。 ### 回答3: 1. k8s是一种开源的容器编排和管理平台,用于自动化应用程序的部署、扩展和管理。 2. k8s中的基本组件包括Master节点和Worker节点。Master节点负责管理整个集群的状态和配置信息,Worker节点负责运行容器。 3. k8s中的最小调度单位为Pod,一个Pod是一个或多个相关容器的组合,它们共享存储、网络和名称空间。 4. Replication Controller是k8s中用于复制和扩展Pod的机制,它可以确保指定数量的Pod在任何时间都运行在集群中。 5. Service是k8s中用于将Pod组织成服务的机制,提供一个稳定的IP地址和DNS名称,使得其他Pod或外部用户可以访问服务。 6. Volume是k8s中用于持久化数据的机制,允许容器访问与它们的生命周期无关的存储。 7. k8s支持多种网络插件,如Flannel、Calico和Weave等,用于在集群中实现容器之间的网络通信。 8. k8s可以通过Horizontal Pod Autoscaler实现根据负载自动进行Pod的扩缩容。它根据定义的指标监控集群的负载,并在负载过高或过低时自动调整Pod数量。 9. k8s支持滚动更新,可以在不中断服务的情况下逐步更新应用程序的版本。 10. k8s提供了丰富的监控和日志收集机制,如Heapster和ELK Stack等,帮助用户监控和分析集群的状态和性能。 11. k8s还支持命名空间的概念,可以将集群划分为多个逻辑上独立的区域,以实现更好的资源隔离和管理。 12. k8s支持灵活的部署方式,可以在公有云、私有云或裸机上部署,同时支持自建集群和托管集群。 13. k8s有丰富的命令行工具和API,方便用户进行集群的管理和操作。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值