k8s的加密配置secret和应用配置configmap

已于 2024-09-18 16:21:45 修改
阅读量1k 收藏 28
点赞数 12
文章标签: kubernetes 容器 云原生
于 2024-09-09 14:58:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Hai990218/article/details/142045624
版权

目录

加密配置

secret的三种类型

创建opaque类型的两种方式

方法一

方法二

如何把secret挂载到pod当中

把secret作为环境变量传到pod当中

指定harbor私有仓库加密的secret配置

应用配置

configmap

创建configmap的方式

在pod里面用configmap做pod的环境变量

**用configmap把配置文件传到应用容器中

**configmap的热更新

**configmap的滚动更新

加密配置

加密配置:就是用来保存密码、token密钥对,以及其他敏感信息的k8s资源

secret的三种类型

1.service-account-token:k8s集群自建的,用来访问apiserver的secret,pod默认使用这种secret和apiserver进行通信。自动挂载到pod的目录 /run/secrets/kubernetes.io/serviceaccount目录

2.opaque:用户自定义的密码、密钥等等,默认类型就是opaque,语法是generic

3.kubernetes.io/dockerconfigjson:配置docker私有仓库的认证信息。

4.TLS:用来存储TLS或者SSL证书和私钥

创建opaque类型的两种方式

方法一

kubectl create secret generic secret1 --from-file=username.txt --from-file=password.txt

方法二

vim secret.yaml

如何把secret挂载到pod当中

把secret作为环境变量传到pod当中

查看变量

指定harbor私有仓库加密的secret配置

kubectl create secret docker-reqistry harbor1 --docker-server=192.168.233.55 --docker-username=admin --docker-password=123456      创建docker-reqistry私有仓库加密的secret

应用配置

应用配置:我们需要定制化的给应用进行配置,我们需要把定制好的配置文件同步到pod当中的容器。

configmap

语法和secret一样,但是configmap保存的不是加密的信息,就是用于应用的配置信息。

创建configmap的方式

方法一:kubectl create configmap conf1 --from-file=/opt/configmap/

方法二:

查看configmap:kubectl get cm

在pod里面用configmap做pod的环境变量

**用configmap把配置文件传到应用容器中

首先准备好一个配置文件

worker_processes  2;
events {
    worker_connections  1024;
}
http {
    default_type  application/octet-stream;
    sendfile        on;
    keepalive_timeout  65;
    server {
        listen       8081;
        server_name  localhost;
        charset utf-8;
        location / {
            root   html;
            index  index.html index.php;
        }
        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   html;
        }
}
}

命令行:kubectl create configmap nginx-con --from-file=/opt/configmap/nginx.conf

apiVersion: apps/v1
kind: Deployment
metadata:
  name: nginx11
  labels:
    app: test
spec:
  replicas: 1
  selector:
    matchLabels:
      app: test
  template:
    metadata:
      labels:
        app: test
    spec:
      containers:
      - name: nginx
        image: nginx:1.22
        ports:
        - containerPort: 8081
        volumeMounts:
        - name: nginx-con1
          mountPath: /etc/nginx/
        - name: html-1
          mountPath: /usr/share/nginx/html/
      volumes:
      - name: nginx-con1
        configMap:
          name: nginx-con
      - name: html-1
        hostPath:
          path: /opt/html11
          type: DirectoryOrCreate

**configmap的热更新

先修改configmap

kubectl edit cm nginx-con

kubectl exec -it nginx11-5dc65d85d-hxkmw -- cat /etc/nginx/nginx.conf

此时就更新好了

**configmap的滚动更新

kubectl patch deployment.apps nginx11 --patch '{"spec": {"template": {"metadata": {"annotations": {"version/config": "20240116" }}}}}'

configmap的挂载点目录,权限是只读模式

Hai990218
关注
K8S中的Secret创建和使用
分享式获得也是一种学习的态度
01-08 905
每个人都有惰性,但不断学习是好好生活的根本,共勉!
十二、K8S-配置管理ConfigMapSecret
爱吃西红柿的博客
01-24 1279
如果引用Secret数据的应用,会随着secret资源对象内保存的数据的更新,而实时更新,那么应该使用volumes挂载的方式引用资源,因为环境变量的方式引用不会实时更新数据。ConfigMapSecret的区别:
k8s——加密管理 (secret,configmap
weixin_44848382的博客
07-27 3403
k8s——加密管理Kubenetes的加密管理:SecretPod通过volume的方式使用secretPod通过环境变量的方式使用secretconfigmapPod通过volume使用configmap:Pod通过环境变量使用configmap Kubenetes的加密管理: Secret Secret 解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Spec 中。Secret 可以以 Volume 或者环境变量的方式使用,SECRET会以密文的方式存储,
k8s-secret 配置使用secret
weixin_44204737的博客
04-27 1726
kubernetes.io/basic-auth:用于使用基本认证(账号密码)的Secret,可以使用Opaque取代;secret的使用方式和configmap很像,secret使用加密的方式更加安全,configmap更适合传递配置文件。◆ kubernetes.io/tls:用于存储HTTPS域名证书文件的Secret,可以被Ingress使用;◆ kubernetes.io/dockerconfigjson:下载私有仓库镜像使用的Secret,◆Opaque:通用型Secret,默认类型;
K8S 创建 Secret
一直被模仿,从未被超越
12-09 9233
secret用于存储和管理一些敏感数据,比如密码,token,密钥等敏感信息。它把 Pod 想要访问的加密数据存放到 Etcd 中。然后用户就可以通过在 Pod 的容器里挂载 Volume 的方式或者 环境变量 的方式访问到这些 Secret 里保存的信息 Secret 有三种类型 Opaque:base64 编码格式的 Secret,用来存储密码、密钥等;但数据也可以通过base64 –decode解码得到原始数据,所有加密性很弱。 Service Account:用来访问Kubernetes ..
k8s学习-Secret(创建、使用、更新、删除等)
关注网络安全、云原生安全
08-20 9201
注意:Base64只是一种编码,不含密钥的,并不安全。任何拥有 API 访问权限的人都可以检索或修改 Secret,任何有权访问 etcd 的人也可以。此外,任何有权限在命名空间中创建 Pod 的人都可以使用该访问权限读取该命名空间中的任何 Secret;使用该 ServiceAccount 创建的任何 Pod 和默认使用该 ServiceAccount 的 Pod 将会将其的 imagePullSecret 字段设置为服务帐户的 imagePullSecret 值。中的安全部分详细展开。
k8s系列-03-认证的密码学原理之对称加密和非对称加密
ouyangzhenxin的博客
03-06 474
声明:本文乃“运维家”原创,转载请注明出处,更多内容请关注公众号“运维家”。主旨本文主要介绍下密码学中的对称加密、非对称加密、以及在k8s中是怎样进行的认证。密码学密码学是研究编制密码和破译密码的技术科学。研究密码变化的客观规律,应用于编制密码以保守通信秘密的,称为编码学;应用于破译密码以获取通信情报的,称为破译学,总称密码学。对称加密和非对称加密是最常用的两种,下面我们来介绍一下他们的原理。对称和非对称优缺点优点缺点对称加密1、效率高2、算法简单3、系统开销小1、秘钥交换的时候,存在不安全因素,容易被第三
k8sConfigMapsecret
wang0907的博客
01-07 1167
我们知道k8s的数据都是存储到kv数据库etcd中的,那么我们程序中使用到各种配置信息是否可以也存储到etcd,然后在pod中使用呢?是可以的,k8s为了实现将自定义的数据存储到etcd,定义了ConfigMapsecret两种API对象。其中ConfigMap用来保存明文数据,如端口号,普通配置参数等,Secret用来配置需要加密的数据,如密码,秘钥等。本文就一起来看下这两个对象的定义以及如何在pod中使用。
[Kubernetes]6. k8s Pod配置管理ConfigMap & Secret以及传递环境变量的使用,k8s的命名空间以及使用kubens管理命名空间
zhoupenghui168的博客
01-09 1186
k8s Pod配置管理ConfigMap & Secret以及传递环境变量的使用,k8s借助命令行配置管理ConfigMap & Secret,以及借助腾讯云面板配置管理ConfigMap & Secret,k8s的命名空间以及使用kubens管理命名空间
k8ssecret里导入证书_k8s之安全信息(Secret)及配置信息(ConfigMap
weixin_39841825的博客
12-22 426
Secretsecret也是k8s中的一个资源对象,主要用于保存轻量的敏感信息,比如数据库用户名和密码,令牌,认证密钥等。我们可以将这类敏感信息放在secret对象中,如果把它们暴露到镜像或者pod spec中稍显不妥,将其放在secret对象中可以更好地控制及使用,并降低意外暴露的风险。Secret可以使用volume或者环境变量的方式来使用这些轻量级数据。Secret有三种类型:Service...
学习k8s配置信息(configmap)和安全信息(secret)管理啦
下一个艺术家
01-29 1323
secret和configmap可以理解为特殊的存储卷,但是它们不是给Pod提供存储功能的,而是提供了从集群外部向集群内部的应用注入配置信息的功能。 Secret:Base64的编码机制
云原生 | Kubernetes 实战】17、K8s 配置管理中心 Secret 实现加密数据配置管理
Stars.Sky 的博客
12-29 1886
K8s 配置管理中心 Secret 实现加密数据配置管理
k8s创建secret并在container中获取secret
HELLOWORLD2424的博客
08-06 568
可以看得到secret已经可以成功范围了,并且值得注意的是,当作为volume挂载进来Pod的时候,secret会自动的进行base64解码,这里直接就可以访问明文了。本文使用的deployment和service与我的上一篇文章一样。下面我们通过一个命令把secret绑定到我们需要部署的命名空间,即dev-api中,secret的名字叫db-user-pass,存放有两对keypairs。secret是我们自己收到创建的,我们需要先通过下面的命令来创建分别存放username和password的文件。
K8S Etcd设置加密配置
多头注意力探索Now
07-07 1005
k8s 组件加密通信
k8s之安全
最新发布
qq_64057406的博客
09-05 1091
总之,Kubernetes 的安全是一个多方面的问题,需要综合考虑认证、授权、安全策略、加密和保密性、安全监控和审计等方面。管理员应该采取适当的措施来保护 Kubernetes 集群的安全,以确保应用程序和数据的安全性。同时,随着 Kubernetes 的不断发展和演进,安全也需要不断地进行评估和改进。
理论+实操:k8S配置参数管理——secret与configmap
Lfwthotpt的博客
05-17 924
文章目录一:secret概述1.1 创建secret的方法1.2 使用secret的方法二:创建Secret2.1 基于文件创建2.2 基于参数手动创建2.2.1 编辑yaml文件2.3 总结三:使用secret3.1 作为环境变量暴露出来3.2 以volume的形式挂载到pod的某个目录下四:configmap4.1 创建方式4.2 使用kubectl创建4.3 创建yaml文件4.4 使用变量参数形式 secret 安全配置参数 configmap 配置文件参数 一:secret概述 加密数据并存放在e
K8S存储之Secret
weixin_45625174的博客
06-21 893
Secret解决了密码、token、密钥等敏感数据配置的问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。
k8s创建secret加密数据并使用
qq_18629653的博客
03-09 1448
创建加密数据保存在etcd中,使其他容器可以读取到这个加密数据 创建secret 加密数据的yaml文件 secret.yaml apiVersion: v1 kind: Secret metadata: name: mysecret type: Opaque data: username: YWRtaW4= password: MWYyZDFlMmU2N2Rm ​创建pod kubectl create -f secret.yaml 查看创建的secret kubectl get
k8s configmap secret
07-27
Kubernetes (k8s) provides two types of resources for managing configuration data: ConfigMaps and Secrets. ConfigMaps are used to store non-sensitive configuration data, such as environment variables, command-line arguments, or configuration files. They can be created from literal values, directories, or files. On the other hand, Secrets are used to store sensitive information, such as usernames, passwords, or API keys. They are base64-encoded and can be mounted as files or used as environment variables in pods. To create a ConfigMap, you can use the `kubectl create configmap` command and provide the data using flags or a configuration file. For example: ```bash kubectl create configmap my-config --from-literal=key1=value1 --from-file=path/to/file ``` To create a Secret, you can use the `kubectl create secret` command and provide the sensitive data using flags or a configuration file. For example: ```bash kubectl create secret generic my-secret --from-literal=username=admin --from-file=path/to/file ``` Both ConfigMaps and Secrets can be mounted as volumes or used as environment variables in pods. You can reference them in the pod's YAML file using the `env` or `volumes` sections. I hope this helps! Let me know if you have any more questions.
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值