k8s创建secret并在container中获取secret

已于 2024-08-06 18:12:05 修改
阅读量140 收藏 3
点赞数 3
文章标签: kubernetes 容器 云原生
于 2024-08-06 17:34:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HELLOWORLD2424/article/details/140961168
版权

k8s创建secret并在container中获取secret

本文使用的deployment和service与我的上一篇文章一样。link也放在下面了,如果不懂什么事deployment和service,可以先看我的上一篇文章。
k8s使用kustomize来部署应用

下面我们将通过创建secret开始。secret是我们自己收到创建的,我们需要先通过下面的命令来创建分别存放username和password的文件。

echo -n 'admin' > ./username.txt
echo -n 'S!B\*d$zDsb=' > ./password.txt

下面我们通过一个命令把secret绑定到我们需要部署的命名空间,即dev-api中,secret的名字叫db-user-pass,存放有两对keypairs。

kubectl create -n dev-api secret generic db-user-pass \
    --from-file=username=./username.txt \
    --from-file=password=./password.txt

我们通过下面命令查看secret是否创建成功,如果有secret的详细信息,说明已经创建成功了。

# 查看secret
kubectl get secret -n dev-api
kubectl describe secret -n dev-api db-user-pass

也可以使用下面命令解码secret看看。

kubectl get secret -n dev-api db-user-pass -o jsonpath='{.data.password}' | base64 --decode

方法一:使用挂载访问secret

下面我们更改deployment.yaml是的container中可以访问这个secret。

apiVersion: apps/v1
kind: Deployment
metadata:
  name: api-helloworld # 部署的名称
  # namespace: dev-api # 部署到哪个命名空间, 使用kustomize的话这里不能出现,需要在overlays/dev/kustomization.yaml 指定
spec:
  replicas: 2  # 设置副本数量为2
  selector:
    matchLabels:
      app: api-helloworld # 用于选择匹配的Pod标签
  template:
    metadata:
      labels:
        app: api-helloworld # Pod的标签
    spec:
      containers:
      - name: api-helloworld-c # 容器名称
        # image: docker.io/library/restfulapi:latest # For image in container, use ctr -n k8s.io images import restfulapi.tar to import images
        image: restfulapi:1  # For image in docker
        imagePullPolicy: IfNotPresent # 镜像拉取策略,如果本地没有就拉取
        ports:
        - containerPort: 80 # 容器内部监听的端口
        volumeMounts:
        - name: secret-volume
          mountPath:  "/etc/secrets"
          readOnly: true
      volumes:
      - name: secret-volume
        secret:
          secretName: db-user-pass

想对于没有修改之前的版本,这里主要加入了对volume以及volumeMounts的描述,volume把secret定义在volume上面了,volumeMount则是把volume挂载到Pod.

主要变化。

      containers:
      - name: api-helloworld-c # 容器名称
        # image: docker.io/library/restfulapi:latest # For image in container, use ctr -n k8s.io images import restfulapi.tar to import images
        image: restfulapi:1  # For image in docker
        imagePullPolicy: IfNotPresent # 镜像拉取策略,如果本地没有就拉取
        ports:
        - containerPort: 80 # 容器内部监听的端口
        volumeMounts:
        - name: secret-volume
          mountPath:  "/etc/secrets"
          readOnly: true
      volumes:
      - name: secret-volume
        secret:
          secretName: db-user-pass

最后,我们重新部署一下。

cd overlay/dev
kubectl kustomize | kubectl apply -f -

在这里插入图片描述
当确定好Pod已经起来以后,我们就可以进去Pod里面看看我们的secret了。

kubectl exec -it -n dev-api api-helloworld-6c7c74fcbd-22prm -- bash
ls /etc/secrets/

在这里插入图片描述
可以看得到secret已经可以成功范围了,并且值得注意的是,当作为volume挂载进来Pod的时候,secret会自动的进行base64解码,这里直接就可以访问明文了。

方法二:使用环境变量方式访问secret

deployment.yaml如下:

apiVersion: apps/v1
kind: Deployment
metadata:
  name: api-helloworld # 部署的名称
  # namespace: dev-api # 部署到哪个命名空间, 使用kustomize的话这里不能出现,需要在overlays/dev/kustomization.yaml 指定
spec:
  replicas: 2  # 设置副本数量为2
  selector:
    matchLabels:
      app: api-helloworld # 用于选择匹配的Pod标签
  template:
    metadata:
      labels:
        app: api-helloworld # Pod的标签
    spec:
      containers:
      - name: api-helloworld-c # 容器名称
        # image: docker.io/library/restfulapi:latest # For image in container, use ctr -n k8s.io images import restfulapi.tar to import images
        image: restfulapi:1  # For image in docker
        imagePullPolicy: IfNotPresent # 镜像拉取策略,如果本地没有就拉取
        ports:
        - containerPort: 80 # 容器内部监听的端口
        env:
        - name: SECRET_USERNAME
          valueFrom: 
            secretKeyRef:
              name: db-user-pass
              key: username
        - name: SECRET_PASSWORD
          valueFrom:
            secretKeyRef:
              name: db-user-pass
              key: password

上面主要是加入了env的相关描述,绑定到Pod里面的环境变量名分别为SECRET_USERNAME,SECRET_PASSWORD。同样,我们把deployment的变化直接apply到集群。

cd overlay/dev
kubectl kustomize | kubectl apply -f -

Pod确定起来以后,我们进去里面看看我们新绑定的env.

kubectl get pods -n dev-api
kubectl exec -it -n dev-api api-helloworld-797679c6c-5wk72 -- bash
env | grep SECRET

在这里插入图片描述
同样我们也可以在env中看到我们新绑定的secret,并且和卷绑定一样,可以看到是明文形式来存储的。

好了以上是本期分享的全部内容了,如果你觉得对你还有帮助,建议点赞分享并收藏哦。如果大家想对我表示肯定,扫描下面的二维码即可哦,原创不易,一分钱也是爱哦。
在这里插入图片描述

HELLOWORLD2424
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
k8s学习-CKS真题-secret创建、使用
关注网络安全、云原生安全
03-12 654
Task 在 namespace istio-system 获取名为 db1-test 的现有 secret 的内容 将 username 字段存储在名为 /cks/sec/user.txt 的文件,并将 password 字段存储在名为 /cks/sec/pass.txt 的文件。 注意:你必须创建以上两个文件,他们还不存在。 注意:不要在以下步骤使用/修改先前创建的文件,如果需要,可以创建新的临时文件。 在 istio-system namespace 创建一个名为 db2-test 的新
k8s学习-Secret(创建、使用、更新、删除等)
关注网络安全、云原生安全
08-20 8689
注意:Base64只是一种编码,不含密钥的,并不安全。任何拥有 API 访问权限的人都可以检索或修改 Secret,任何有权访问 etcd 的人也可以。此外,任何有权限在命名空间创建 Pod 的人都可以使用该访问权限读取该命名空间的任何 Secret;使用该 ServiceAccount 创建的任何 Pod 和默认使用该 ServiceAccount 的 Pod 将会将其的 imagePullSecret 字段设置为服务帐户的 imagePullSecret 值。的安全部分详细展开。
k8ssecret里导入证书_k8ssecret解析
weixin_39928801的博客
12-22 917
概览Secret是用来保存小片敏感数据的k8s资源,例如密码,token,或者秘钥。这类数据当然也可以存放在Pod或者镜像,但是放在Secret是为了更方便的控制如何使用数据,并减少暴露的风险。用户可以创建自己的secret,系统也会有自己的secret。Pod需要先引用才能使用某个secret,Pod有2种方式来使用secret:作为volume的一个域被一个或多个容器挂载;在拉取镜像的时候...
k8ssecret里导入证书_k8ssecret
weixin_33268464的博客
12-31 1536
secret介绍1、configmap都是明文存数据的,所以我们不能用它来访问,所以我们使用secret,但它比configmap要麻烦一点,只有敏感数据采用secrt来存放,比如你的私钥和证书,这个时候私钥和证书要放在secret,其它内容应该放在configmap,另外还有,比如我们连接mysql是我们打算把密码写在配置文件,这个时候我们要把密码写成secret,而不能定义成config...
k8s——secret配置资源管理
sea_bunch的博客
06-07 1445
Secret类似,区别在于ConfigMap保存的是不需要加密配置的信息。
k8ssecret里导入证书_Kubernetes K8S之存储Secret详解
weixin_39604598的博客
12-22 930
K8S之存储Secret概述与类型说明,并详解经常使用Secret示例html主机配置规划服务器名称(hostname)系统版本配置内网IP外网IP(模拟)k8s-masterCentOS7.72C/4G/20G172.16.1.11010.0.0.110k8s-node01CentOS7.72C/4G/20G172.16.1.11110.0.0.111k8s-node02CentOS7.72C/...
k8sConfigMap、Secret创建使用演示、配置文件存储介绍
树下一少年的博客
12-17 1273
Kubernetes,ConfigMap是一种用于存储配置数据的对象,它提供了一种将配置数据与容器分离的方式,使得容器的配置可以独立于容器镜像进行管理和修改。将配置信息存储在Secret,可以将容器镜像与配置数据分离,并在部署时注入到容器,从而使容器的配置更加灵活和安全。这些证书可以被挂载到Pod,并用于与其他服务进行安全的HTTPS通信。(2)多个容器共享配置数据:将多个容器所需的公共配置数据存储到ConfigMap,从而避免了重复存储和管理配置数据的问题,同时也方便了对配置的修改和更新。
k8ssecret里导入证书_K8SSecret
weixin_39805998的博客
12-22 1214
简介secret顾名思义,用于存储一些敏感的需要加密的数据。这些数据可能是要保存在pod的定义文件或者docker的镜像。把这些数据通过加密的方式存放到secrets对象,可以降低信息泄露的风险。在secret存储的数据都需要通过base64进行转换加密后存放。创建secret1、加密用户名密码假设有两个敏感数据,分别是用户名breeze,密码:123456。首先需要使用base64来转换数...
k8s上使用ConfigMap 和 Secret
清瞳清的博客
06-16 1008
展示如何在 Kubernetes 使用 ConfigMap 和 Secret 来管理一个 web 应用的配置和数据库凭证。
k8ssecret里导入证书_K8s 安全抽象:Secret
weixin_39852491的博客
12-22 317
# K8s 安全抽象:Secret> [K8s Secret](https://kubernetes.io/zh/docs/concepts/configuration/secret/)> [为 Pod 配置服务账户](https://kubernetes.io/zh/docs/tasks/configure-pod-container/configure-service-accoun...
k8s容器集群讲义.zip
11-29
5. **网络模型**:K8s的CNI(Container Network Interface)允许插件自定义网络,例如Flannel、Calico等,确保每个Pod都有一个唯一的IP地址,并能够跨节点通信。 6. **存储管理**:K8s支持多种存储类型,包括本地...
阿里Kubernetesk8s)详解
09-02
通过阅读“阿里k8s文档.pdf”和参考“k8s间件.jpg”,你可以更深入了解阿里云在Kubernetes实践的具体案例、最佳实践以及间件在K8s环境的应用。不断学习和掌握Kubernetes,将有助于你在云原生时代构建高效、...
K8S(kubernetes)学习指南
03-19
K8s以其强大的功能和易用性在云原生领域占据了核心地位。以下是一份详细的K8S学习指南,涵盖多个关键知识点。 **1. 容器容器编排** 在理解K8s之前,你需要了解容器容器编排的基本概念。容器是一种轻量级的...
K8S部署流程和配置文件
03-13
7. **设置kubectl访问集群**:在需要管理K8S的机器上,使用`kubeadm config view`命令获取kubeconfig文件,然后将其配置到kubectl。 二、K8S配置文件详解 K8S的配置文件通常为YAML格式,包含了定义各种对象的...
六、k8s-基础_k8s_
10-01
1. **Pod**:在k8s,Pod是最小的可部署的单元,它可以包含一个或多个紧密耦合的容器。Pod提供了共享存储和网络资源的能力,并为容器提供了一个唯一的网络IP。 2. **Service**:Service是k8s定义的一组Pod的逻辑...
K8SContainerd之ctr和crictl简介以及常见操作
xu710263124的博客
08-06 149
containerd之ctr和crictl
4.k8s:cronJob计划任务,初始化容器,污点、容忍,亲和力,身份认证和权限
鹏哥哥Aaa
08-06 43
cronJob计划任务,初始化容器,污点、容忍,亲和力,身份认证和权限
从0开始安装一个本地K8s环境
最新发布
追求幸福,探索未知的博客
08-06 451
在一个节点上快速部署搭建本地k8s集群
k8s持久化存储PV和PVC
qinxue722的博客
08-06 607
PS: 1)accessModes 指定访问模式为 ReadWriteOnce ,⽀持的访问模式有: 3.创建PVC 1)编写yaml文件 2)应用并查看 4.创建pod 1)编写pod的yaml文件并应用 5.验证 三、PV的回收 1.Retain回收策略 四、PV&PVC应用在MySQL的持久化存储 1.创建pv和pvc 1)创建pv,mysql-pv.yaml文件 2)创建PVC,mysql-pvc.yaml文件
k8ssecret有什么作用,怎么创建 引用
05-25
KubernetesSecret是一种用于存储敏感数据的资源对象,如API密钥、数据库密码等。它可以被挂载到Pod的Volume,也可以通过环境变量或者命令行参数传递给容器,以便容器可以安全地访问这些敏感数据。 Secret可以被创建和更新,并且可以由Kubernetes管理员管理。创建一个Secret有两种方式:命令行和YAML文件。 1. 命令行方式 ``` $ kubectl create secret generic <secret_name> --from-literal=<key>=<value> ``` 其,`<secret_name>`是你想要创建Secret的名称,`<key>`是密钥名称,`<value>`是密钥的值。 例如,要创建一个包含API密钥的Secret: ``` $ kubectl create secret generic my-api-key --from-literal=api-key=1234567890 ``` 2. YAML文件方式 创建一个包含API密钥的Secret的YAML文件,例如: ``` apiVersion: v1 kind: Secret metadata: name: my-api-key type: Opaque data: api-key: MTIzNDU2Nzg5MA== ``` 然后,使用以下命令创建Secret: ``` $ kubectl apply -f secret.yaml ``` 引用Secret: 你可以在Pod的spec声明Volume并将Secret挂载到其。 例如,在以下Pod配置,将my-api-key Secret挂载到/my-secrets目录下: ``` apiVersion: v1 kind: Pod metadata: name: my-pod spec: containers: - name: my-container image: my-image volumeMounts: - name: my-secrets mountPath: /my-secrets readOnly: true volumes: - name: my-secrets secret: secretName: my-api-key ``` 这样,容器就可以通过访问/my-secrets/api-key文件来获取API密钥。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值