secret

最新推荐文章于 2024-06-04 07:15:00 发布
最新推荐文章于 2024-06-04 07:15:00 发布
阅读量185 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JiaGouDan/article/details/107610400
版权

Kubenetes的加密管理:
第一种:
SECRET会以密文的方式存储,容器通过文件或者变量访问数据
Secret的创建:
第一种:
[root@k8smaster ~]# kubectl create secret generic mysecret --from-literal=username=test --from-literal=password=123456

generic 从本地 file, directory 或者 literal value 创建一个 secret
–from-literal=username=test --from-literal 对应一个键值对 。 键值对 username 值 test
–from-literal=password=123456 键值对 password 值 123456

查看:
[root@k8smaster ~]# kubectl get secrets mysecret
NAME TYPE DATA AGE
mysecret Opaque 2 5m8s

详细查看:
[root@k8smaster ~]# kubectl describe secrets mysecret
Name: mysecret
Namespace: default
Labels:
Annotations:

Type: Opaque

Data

password: 6 bytes
username: 4 bytes

第二种:
[root@k8smaster ~]# mkdir 7-24
[root@k8smaster ~]# cd 7-24/

[root@k8smaster 7-24]# echo -n test > username
[root@k8smaster 7-24]# echo -n 123456 > password
把密码和用户名写进文件里

创建secret:
[root@k8smaster 7-24]# kubectl create secret generic mysecret1 --from-file=username --from-file=password

–from-file=username 对应一个文件 每个文件都有一个信息条目

查看:
[root@k8smaster 7-24]# kubectl get secrets mysecret1
NAME TYPE DATA AGE
mysecret1 Opaque 2 117s

详细查看:
[root@k8smaster 7-24]# kubectl describe secrets mysecret1
Name: mysecret1
Namespace: default
Labels:
Annotations:

Type: Opaque

Data

password: 6 bytes
username: 4 bytes

第三种方法:
[root@k8smaster 7-24]# cat << EOF > envsecret.txt
username=test
password=123456
EOF

[root@k8smaster 7-24]# cat envsecret.txt
username=test
password=123456

创建:
[root@k8smaster 7-24]# kubectl create secret generic mysecret2 --from-env-file=envsecret.txt

–from-env-file=envsecret.txt 指定一个文件
查看:
[root@k8smaster 7-24]# kubectl get secrets mysecret2
NAME TYPE DATA AGE
mysecret2 Opaque 2 22s

第四种方法yml文件:
[root@k8smaster 7-24]# kubectl create secret generic mysecret3 --from-literal=username=test --from-literal=password=123456 --dry-run -o yaml > mysecret.yml

查看文件:
[root@k8smaster 7-24]# cat mysecret.yml
apiVersion: v1
data:
password: MTIzNDU2
username: dGVzdA==
kind: Secret
metadata:
creationTimestamp: null
name: mysecret3

这两个是通过base64编码后的结果
如:
[root@k8smaster 7-24]# echo -n 123456|base64
MTIzNDU2

执行文件:
[root@k8smaster 7-24]# kubectl apply -f mysecret.yml

查看:
[root@k8smaster 7-24]# kubectl get secrets
NAME TYPE DATA AGE
default-token-vmm27 kubernetes.io/service-account-token 3 16d
mysecret Opaque 2 20m
mysecret1 Opaque 2 11m
mysecret2 Opaque 2 7m3s
mysecret3 Opaque 2 18s

详细查看:
[root@k8smaster 7-24]# kubectl describe secrets mysecret3
Name: mysecret3
Namespace: default
Labels:
Annotations:
Type: Opaque

Data

password: 6 bytes
username: 4 bytes
可以看到键的名字

想查看值的话:
[root@k8smaster 7-24]# kubectl edit secrets mysecret3

再通过base64反编码查看到密码:
[root@k8smaster 7-24]# echo -n MTIzNDU2|base64 --decode
123456

Pod通过volume的方式使用secret:
[root@k8smaster 7-24]# vim mypodsec.yml

apiVersion: v1
kind: Pod
metadata:
name: mypod
spec:
containers:

  • name: mypod
    image: busybox
    args:
    • /bin/sh
    • -c
    • sleep 3000000000
      volumeMounts:
    • mountPath: /etc/fff
      name: aaa
      readOnly: true
      volumes:
    • name: aaa
      secret:
      secretName: mysecret3

定义volume的名字为aaa 使用那个secret
执行文件:
[root@k8smaster 7-24]# kubectl apply -f mypodsec.yml

确定pod运行了之后登陆容器查看:
[root@k8smaster 7-24]# kubectl exec -it mypod sh
/ # cd /etc/fff/
/etc/fff # ls
password username
/etc/fff # cat password
123456
/etc/fff # cat username
Test

可以看到就是前面我们定义的键值对 也就是用户名和密码 /etc/fff我们前面编写yml文件时指定volume挂载到/etc/fff下

也可以自定义存放数据的文件名:
[root@k8smaster 7-24]# cp mypodsec.yml mypodsec1.yml
[root@k8smaster 7-24]# vim mypodsec1.yml

apiVersion: v1
kind: Pod
metadata:
name: mypod
spec:
containers:

  • name: mypod
    image: busybox
    args:
    • /bin/sh
    • -c
    • sleep 3000000000
      volumeMounts:
    • mountPath: /etc/fff
      name: aaa
      readOnly: true
      volumes:
    • name: aaa
      secret:
      secretName: mysecret3
      items:
      • key: username
        path: aaa/user
      • key: password
        path: aaa/pas

删除前面的pod并执行文件:
[root@k8smaster 7-24]# kubectl delete pod mypod
[root@k8smaster 7-24]# kubectl apply -f mypodsec1.yml

查看:
[root@k8smaster 7-24]# kubectl exec -it mypod sh

用户名和密码被存放在了 /etc/fff/aaa 分别叫pas 和user
Secret还支持动态更新 :
我们修改密码:
[root@k8smaster 7-24]# echo -n abcde |base64
YWJjZGU=
[root@k8smaster 7-24]# vim mysecret.yml

apiVersion: v1
data:
password: YWJjZGU=
username: dGVzdA==
kind: Secret
metadata:
creationTimestamp: null
name: mysecret3

执行文件 :
[root@k8smaster 7-24]# kubectl apply -f mysecret.yml

登入容器查看密码:
[root@k8smaster 7-24]# kubectl exec -it mypod sh
/ # cat /etc/fff/aaa/pas
Abcde
可以看到密码由原来的123465 变成了abcde

Pod通过环境变量的方式使用secret:
[root@k8smaster 7-24]# vim msec.yml

apiVersion: v1
kind: Pod
metadata:
name: mypod
spec:
containers:

  • name: mypod
    image: busybox
    args:
    • /bin/sh
    • -c
    • sleep 3000000000
      env:
      • name: myuser
        valueFrom:
        secretKeyRef:
        name: mysecret3
        key: username
      • name: mypas
        valueFrom:
        secretKeyRef:
        name: mysecret3
        key: password

执行文件:
[root@k8smaster 7-24]# kubectl apply -f msec.yml

查看:
[root@k8smaster 7-24]# kubectl exec -it mypod sh
/ # echo $myuser
test
/ # echo $mypas
abcde
环境变量的方式不支持动态更新,但是读取很方便

Secret主要保存的是一些密码 等加密的信息,像一些配置文件则可以用configmap

创建方式和secret很像都有四种方式:
第一种:
[root@k8smaster 7-24]# kubectl create configmap myconmap --from-literal=test=1 --from-literal=test1=2

第二种:
[root@k8smaster 7-24]# echo -n 1 >test
[root@k8smaster 7-24]# echo -n 2 >test1
[root@k8smaster 7-24]# kubectl create configmap myconmap1 --from-file=test --from-file=test1

第三种:
[root@k8smaster 7-24]# cat < envp.txt
test=1
test1=2
EOF

[root@k8smaster 7-24]# kubectl create configmap myconmap2 --from-env-file=envp.txt

第四种yml文件:
[root@k8smaster 7-24]# kubectl create configmap myconmap2 --from-env-file=envp.txt --dry-run -o yaml > myconmap.yml

查看 :
[root@k8smaster 7-24]# cat myconmap.yml
apiVersion: v1
data:
test: “1”
test1: “2”
kind: ConfigMap
metadata:
creationTimestamp: null
name: myconmap3

执行文件:
[root@k8smaster 7-24]# kubectl apply -f myconmap.yml
查看:
[root@k8smaster 7-24]# kubectl get configmaps
NAME DATA AGE
myconmap 2 6m8s
myconmap1 2 4m55s
myconmap2 2 3m21s
myconmap3 2 18s

详细查看一个:
[root@k8smaster 7-24]# kubectl describe configmaps myconmap3
Name: myconmap3
Namespace: default
Labels:
Annotations: kubectl.kubernetes.io/last-applied-configuration:
{“apiVersion”:“v1”,“data”:{“test”:“1”,“test1”:“2”},“kind”:“ConfigMap”,“metadata”:{“annotations”:{},“creationTimestamp”:null,“name”:"myconm…

Data

test:

1
test1:

2
Events:

可以看都都明文显示出来了

Pod通过volume或者环境变量使用configmap:

volume:
[root@k8smaster 7-24]# cp mypodsec.yml myconf.yml
[root@k8smaster 7-24]# vim myconf.yml

apiVersion: v1
kind: Pod
metadata:
name: mypod
spec:
containers:

  • name: mypod
    image: busybox
    args:
    • /bin/sh
    • -c
    • sleep 3000000000
      volumeMounts:
    • mountPath: /etc/fff
      name: aaa
      readOnly: true
      volumes:
    • name: aaa
      configMap:
      name: myconmap3

执行文件:
[root@k8smaster 7-24]# kubectl apply -f myconf.yml
[root@k8smaster 7-24]# kubectl exec -it mypod sh
/ # cat /etc/fff/test1
2/ #
/ # cat /etc/fff/test
1/ #

环境变量的方式:
[root@k8smaster 7-24]# cp msec.yml mcmp.yml
[root@k8smaster 7-24]# vim mcmp.yml

apiVersion: v1
kind: Pod
metadata:
name: mypod
spec:
containers:

  • name: mypod
    image: busybox
    args:
    • /bin/sh
    • -c
    • sleep 3000000000
      env:
      • name: myuser
        valueFrom:
        configMapKeyRef:
        name: myconmap3
        key: test
      • name: mypas
        valueFrom:
        configMapKeyRef:
        name: myconmap3
        key: test1

执行文件:
[root@k8smaster 7-24]# kubectl apply -f mcmp.yml
[root@k8smaster 7-24]# kubectl exec -it mypod sh
/ # echo $myuser
1
/ # echo $mypas
2

一般情况下 配置信息都是文件形式的,用yaml或者 --from-file比较好

测试一个:
给pod传一个记录日志的配置信息:

[root@k8smaster 7-24]# vim logging.conf
[root@k8smaster 7-24]# cat logging.conf
class: logging.handlers.RotatingFileHandler
formatter: precise
level: INFO
filename: %hostname-%timestamp.log

用–from-file或者yaml:
[root@k8smaster 7-24]# kubectl create configmap myconmap4 --from-file=logging.conf

[root@k8smaster 7-24]# kubectl create configmap myconmap5 --from-file=logging.conf --dry-run -o yaml > myconmap5.yml

[root@k8smaster 7-24]# cat myconmap5.yml
apiVersion: v1
data:
logging.conf: |
class: logging.handlers.RotatingFileHandler
formatter: precise
level: INFO
filename: %hostname-%timestamp.log
kind: ConfigMap
metadata:
creationTimestamp: null
name: myconmap5

执行文件:
[root@k8smaster 7-24]# kubectl apply -f myconmap5.yml

查看:

在pod中使用这个configmap:
[root@k8smaster 7-24]# vim myconf.yml

apiVersion: v1
kind: Pod
metadata:
name: mypod
spec:
containers:

  • name: mypod
    image: busybox
    args:
    • /bin/sh
    • -c
    • sleep 3000000000
      volumeMounts:
    • mountPath: /etc/fff
      name: aaa
      readOnly: true
      volumes:
    • name: aaa
      configMap:
      name: myconmap5
      items:
      - key: logging.conf
      path: aaa/log.conf

这个键需要kubectl describe configmaps myconmap5 来查看
Data

logging.conf:

class: logging.handlers.RotatingFileHandler
formatter: precise
level: INFO
filename: %hostname-%timestamp.log

Events:

就是这个对应下面的值

执行文件:
[root@k8smaster 7-24]# kubectl apply -f myconf.yml
查看:
[root@k8smaster 7-24]# kubectl exec -it mypod sh
/ # cat /etc/fff/aaa/log.conf
class: logging.handlers.RotatingFileHandler
formatter: precise
level: INFO
filename: %hostname-%timestamp.log

Configmap也支持动态更新:

[root@k8smaster 7-24]# vim myconmap5.yml

重新执行文件:
[root@k8smaster 7-24]# kubectl apply -f myconmap5.yml

查看:
[root@k8smaster 7-24]# kubectl exec -it mypod sh
/ # cat /etc/fff/aaa/log.conf
class: logging.handlers.RotatingFileHandler
formatter: precise
level: INFO
filename: %hostname-%timestamp.log
labels:
name: test
/ #

JiaGouDan
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Top Secret
10-24
【标题】:“Top Secret”——深入探讨字体设计与信息安全 在数字时代,字体不仅关乎美学,更涉及到信息的安全性。标题“Top Secret”暗示了我们今天要探讨的是隐藏在字体背后的秘密,特别是在信息安全领域的应用。...
secret详解
wq1205750492的博客
06-17 2757
注意:secret主要为三大类型:创建 Secret 三种方式 基于指定文件创建 基于指定目录创建 基于环境变量键值对文件 1.2 创建 secret-tiger-docker 类型 1.3 创建tls类型 2. 基于yaml文件创建 三. Secret使用 1.容器环境变量中使用 将 Secret 中的所有键值对配置为容器环境变量 2.存储卷(volume)中使用 2.1 使用存储在 ConfigMap 中的数据填充卷 2.2 将 ConfigMap
Secret 基本使用方法
小五
04-09 662
在 Pod 规约中,将 Secret 中定义的值 backend-username 赋给 SECRET_USERNAME 环境变量。kind: Podmetadata:spec:env:valueFrom:在Pod 中使用kind: Podmetadata:spec:env:valueFrom:valueFrom:使用 envFrom 来将 Secret 中的所有数据定义为环境变量。
Kubernetes Secret简介
驰兔的博客
03-10 770
Secret用来保存敏感信息,例如密码、OAuth 令牌和 ssh key等等,将这些信息放在Secret中比放在Pod的定义中或者docker镜像中来说更加安全和灵活。
OpenShift 4 - 了解Secret
多恩斯基的博客
09-30 1219
文章目录关于Secret对象三种途径创建Secret对象Secret对象的结构创建Secret对象一般结构Secret通过命令创建Secret通过YAML创建Secret属于dockerconfigjson或dockercfg类型的pull-secretbasic-auth类型secretssh-auth类型secret引用或使用Secret中内容在Pod中通过挂载存储使用Secret在Pod中通过环境变量使用Secret在Pod中使用pull_secret在ServiceAccount中使用secret和
kubernetes secret 管理
爱死亡机器人
09-15 4487
Secret 概览 Secret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 这样的信息可能会被放在 Pod 规约中或者镜像中。 用户可以创建 Secret,同时系统也创建了一些 Secret。 要使用 Secret,Pod 需要引用 Secret。 Pod 可以用三种方式之一来使用 Secret: 作为挂载到一个或多个容器上的 卷 中的文件。 作为容器的环境变量 由 kubelet 在为 Pod 拉取镜像时使用 使用 kubectl 创建 Secret # 创建本例中要使用的文件 echo -
secret的认识
weixin_46837396的博客
03-14 2516
文章目录一、secret的认识1、serviceaccount2.Opaque Secret1)创建secret2)将secret挂载到volume中3)将secret挂载到环境变量中4)Secre存储私有docker registry的认证使用kubectl创建docker regiestry认证的secret4、kubernetes.io/dockerconfigjson5、kubernetes.io/service-account-token6、kubernetes.io/service-accoun
每日一博 - App key和App Secret
小工匠
12-18 3145
App Key和App Secret是API接口调用中常用的身份验证机制,确保只有合法的应用程序可以访问API。
secret的知识
weixin_46837396的博客
03-26 1080
Secret 我们说ConfigMap这个资源对象是Kubernetes当中非常重要的一个对象,一般情况下ConfigMap是用来存储一些非安全的配置信息,如果涉及到一些安全相关的数据的话用ConfigMap就非常不妥了,因为ConfigMap是名为存储的,我们说这个时候我们就需要用到另外一个资源对象了:Secret,Secret用来保存敏感信息,例如密码、OAuth 令牌和 ssh key等等,将这些信息放在Secret中比放在Pod的定义中或者docker镜像中来说更加安全和灵活。 Secret有三种类
secret学习笔记
rendongxingzhe的博客
04-19 1201
Secret是用来保存敏感信息的,比如密码、令牌或者key,redis、mysql密码。 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 这样的信息可能会被放在Pod规约中或者镜像中。 使用 Secret 意味着你不需要在应用程序代码中包含机密数据。 Secret 类似于ConfigMap但专门用于保存机密数据。 每个 Secret 的尺寸最多为 1MiB。施加这一限制是为了避免用户创建非常大的 Secret, 进而导致 API 服务器和 kubelet 内存耗尽。不过创建很多小的 ...
【云原生】kubernetes中secret原理详解与应用实战
热门推荐
景天科技苑
06-04 2万+
对于一些敏感数据,如密码、私钥等数据时,要用secret类型。 Secret解决了密码、token、秘钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。 Secret可以以Volume或者环境变量的方式使用。 要使用 secret,pod 需要引用 secret。Pod 可以用两种方式使用 secret: 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里, 或者当 kubelet 为 pod 拉取镜像时使用。
file_secret.rar_secret
09-21
标题中的"file_secret.rar_secret"暗示了这是一个关于文件加密的压缩包,可能包含了源代码或工具,用于加密和解密文件,特别适合初学者学习和实践。这个压缩包的命名方式可能是为了强调其“秘密”属性,意味着它涉及...
Qt-Secret-master_QT_secret_cryptography_
10-04
**Qt-Secret-master** 是一个基于QT框架的加密库项目,专为QT应用程序设计,用于实现安全的数据加密和解密功能。在QT平台上开发时,这个库可以提供强大的加密算法支持,确保敏感信息的安全存储和传输。 **QT Secret...
xgboost4j-2.12-1.7.6.jar
最新发布
07-08
xgboost4j-2.12-1.7.6.jar
048N06L-VB TO263一款N-Channel沟道TO263的MOSFET晶体管参数介绍与应用说明
07-08
048N06L-VB TO263;Package:TO263;Configuration:Single-N-Channel;VDS:60V;VGS:20(±V);Vth:3V;RDS(ON)=4mΩ@VGS=10V;ID:150A;Technology:Trench;
基于Arduino的LED亮度控制系统与ESP32开发板控制舵机.docx
07-07
工作原理解释 ledcSetup()函数:ESP32的ledcSetup()函数用于配置LED PWM通道的参数,包括PWM信号的频率和分辨率。 ledcAttachPin()函数:将PWM通道与指定的引脚(这里是舵机的信号线引脚)关联起来。 rotateServo()函数:该函数接受一个角度参数,并通过ledcWrite()函数将映射后的PWM占空比写入PWM通道,从而控制舵机旋转到指定角度。
ChatGPT Resources.pdf
07-08
### 内容概要 这份全面的ChatGPT资源合集是为那些渴望利用人工智能提升工作效率和创造力的人士准备的宝藏。它汇集了从基础教程、商业应用、生产力提升、内容创作到特定场景下的工具使用等一系列资源链接和指导。此外,还包含了针对不同社交媒体平台如Twitter的内容优化技巧,以及如何通过ChatGPT进行SEO、设计、销售、编程等多方面的实践指导。 ### 适用人群 这份资源合集适用于企业家、内容创作者、营销专家、设计师、程序员、产品经理以及任何希望在日常工作或特定项目中利用AI技术提高效率和产出质量的专业人士。 ### 使用场景及目标 1. **学习与提升**:新手可以通过基础教程快速了解ChatGPT的使用方法,而经验丰富的用户则可以通过高级指南进一步挖掘其潜力。 2. **商业应用**:企业家和商业分析师可以探索如何将ChatGPT集成到商业策略中,实现自动化和增强决策。 3. **生产力增强**:忙碌的专业人士可以通过生产力工具和提示,找到节省时间、提高工作流程效率的方法。 4. **内容创作**:作家、博主和社交媒体经理可以利用ChatGPT生成创意内容,提升内容营销的效果
《A股十倍股群像》(1).pdf
07-08
《A股十倍股群像》(1)
docker secret
06-07
Docker secret是一种Docker提供的用于管理敏感数据的机制,它可以用于存储和传输敏感数据,比如密码、证书等,而不需要将这些数据暴露在Docker镜像或容器的文件系统中。Docker secret是加密存储的,只有Docker守护...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值