k8s--Kubernetes存储--Secret配置管理

Gong_yz

已于 2023-04-07 16:09:41 修改

阅读量898

点赞数 2

分类专栏： k8s 文章标签： kubernetes docker 容器

于 2023-03-13 00:11:31 首次发布

本文链接：https://blog.csdn.net/Gong_yz/article/details/129483467

版权

k8s 专栏收录该内容

21 篇文章 5 订阅

订阅专栏

文章目录

一、简介
二、配置

一、简介

官方网址：https://kubernetes.io/zh-cn/docs/concepts/configuration/secret/
在这里插入图片描述

- Secret 对象类型用来保存敏感信息，例如密码、OAuth 令牌和 ssh key。 
- 敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。	
- Pod 可以用两种方式使用 secret：
		作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里。	
		当 kubelet 为 pod 拉取镜像时使用。
- Secret的类型：
	Service Account：Kubernetes 自动创建包含访问 API 凭据的 secret，并自动修改 pod 以使用此类型的 secret。		
	Opaque：使用base64编码存储信息，可以通过base64 --decode解码获得原始数据，因此安全性弱。		
	kubernetes.io/dockerconfigjson：用于存储docker registry的认证信息。

二、配置

1.默认secret

每个namespace下有一个名为default的默认的ServiceAccount对象
ServiceAccount里有一个名为Tokens的可以作为Volume一样被Mount到Pod里的Secret，当Pod启动时这个Secret会被自动Mount到Pod的指定目录下，用来协助完成Pod中的进程访问API Server时的身份鉴权过程。

2.从文件创建

[root@k8s2 secret]# echo -n 'admin' > ./username.txt           ## -n表示不换行
[root@k8s2 secret]# echo -n 'westos' > ./password.txt
[root@k8s2 secret]# kubectl create secret generic db-user-pass --from-file=./username.txt --from-file=./password.txt

在这里插入图片描述

3.编写yaml文件

[root@k8s2 secret]# echo -n 'admin' | base64
YWRtaW4=
[root@k8s2 secret]# echo -n 'westos' | base64
d2VzdG9z

[root@k8s2 secret]# vim mysecret.yaml
apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  username: YWRtaW4=			#必须编码后的值
  password: d2VzdG9z

[root@k8s2 secret]# kubectl apply -f mysecret.yaml

4.将Secret挂载到Volume中

[root@k8s2 secret]# vim pod1.yaml
apiVersion: v1
kind: Pod
metadata:
  name: mysecret
spec:
  containers:
  - name: nginx
    image: nginx
    volumeMounts:
    - name: secrets
      mountPath: "/secret"         ##创建/secret目录，挂接上面创建的mysecret
      readOnly: true
  volumes:
  - name: secrets
    secret:
      secretName: mysecret

[root@k8s2 secret]# kubectl apply  -f pod1.yaml

[root@k8s2 secret]# kubectl get pod
NAME       READY   STATUS    RESTARTS   AGE
mysecret   1/1     Running   0          13s
[root@k8s2 secret]# kubectl exec  mysecret -- ls /secret ##查看pod内/secret目录
password
username
[root@k8s2 secret]# kubectl delete  -f pod1.yaml

5.向指定路径映射 secret 密钥

[root@k8s2 secret]# vim pod2.yaml
apiVersion: v1
kind: Pod
metadata:
  name: mysecret
spec:
  containers:
  - name: nginx
    image: nginx
    volumeMounts:
    - name: secrets
      mountPath: "/secret"               ##根路径
      readOnly: true
  volumes:
  - name: secrets
    secret:
      secretName: mysecret
      items:
      - key: username                     ##从上面取key
        path: my-group/my-username        ##相对路径
 
[root@k8s2 secret]# kubectl apply -f pod2.yaml
[root@k8s2 secret]# kubectl exec  mysecret -- cat /secret/my-group/my-username     ##设置后，路径变为多层
admin
[root@k8s2 secret]# kubectl delete  -f pod2.yaml

6.将Secret设置为环境变量

[root@k8s2 secrets]# vim pod3.yaml
apiVersion: v1
kind: Pod
metadata:
  name: secret-env
spec:
  containers:
  - name: pod3
    image: busybox
    command: ["/bin/sh", "-c", "env"]            ##env和cm一样用法（上篇）
    env:                                         ##取出来变量
      - name: SECRET_USERNAME 
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: username
      - name: SECRET_PASSWORD
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: password
  restartPolicy: Never

[root@k8s2 secrets]# kubectl apply -f pod3.yaml

在这里插入图片描述

7.存储docker registry的认证信息

[root@k8s2 secret]# kubectl create secret docker-registry myregistrykey --docker-server=reg.westos.org --docker-username=admin --docker-password=westos --docker-email=hello@westos.org
类型：docker-registry
名字：myregistrykey
源：–docker-server=reg.westos.org
仓库用户名：–docker-username=admin
仓库密码：–docker-password=westos
用户邮箱：–docker-email=hello@westos.org

新建私有仓库
在这里插入图片描述

[root@k8s2 secret]# vim pod4.yaml
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
    - name: game2048
      image: reg.westos.org/westos/game2048
  imagePullSecrets:                          ##没有这一部分是拉取不成功的
    - name: myregistrykey                    ##把registrykey绑定到sa

[root@k8s2 secret]# kubectl apply -f pod4.yaml
pod/mypod created
[root@k8s2 secret]# kubectl  get pod
NAME    READY   STATUS    RESTARTS   AGE
mypod   1/1     Running   0          3s

[root@k8s2 secret]# kubectl  describe pod mypod    ##查看是否拉取成功的详细信息

推荐把registrykey绑定到sa，这样yaml文件中就可以不用指定，更加安全。
[root@k8s2 secrets]# kubectl patch serviceaccount default -p ‘{“imagePullSecrets”: [{“name”: “myregistrykey”}]}’
在这里插入图片描述
注意：

Gong_yz

关注

2
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
k8s--Kubernetes存储--Secret配置管理

- Secret 对象类型用来保存敏感信息，例如密码、OAuth 令牌和 ssh key。 - 敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。 - Pod 可以用两种方式使用 secret：作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里。当 kubelet 为 pod 拉取镜像时使用。
复制链接

扫一扫

专栏目录