kubernetes资源--secret和ServiceAccount

最新推荐文章于 2024-08-18 20:53:03 发布
最新推荐文章于 2024-08-18 20:53:03 发布
阅读量1.1k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Michaelwubo/article/details/80707288
版权

secret

https://blog.csdn.net/u010278923/article/details/72857928

https://www.cnblogs.com/cf532088799/p/7977083.html


概念

secret对象类型主要目的是保存和处理敏感信息/私密数据,比如密码,OAuth tokens,ssh keys等信息。将这些信息放在secret对象中比 直接放在pod或docker image中更安全,也更方便使用。

一个已经创建好的secrets对象有两种方式被pod对象使用,其一,在container中的volume对象里以file的形式被使用,其二,在pull images时被kubelet使用。

类型

Opaque任意字符串,默认类型

kubernetes.io/dockercfg:作用于Docker registry,用户下载docker镜像认证使用

kubernetes.io/service-account-token:作用于ServiceAccount


第一种使用方式的使用流程如下:
(1)执行login命令,登录私有Registry
#docker login 10.30.30.126:8123(输入账户及密码,如果是第1次登录则会创建新用户,并把相关信息写入~/.docker/config.json 文件中)
(2)用BASE64编码dockercfg的内容
#cat ~/.docker/config.json |base64
(3)将上一步命令的输出结果作为Secret的“data.dockercfg”域的内容,由此来创建一个Secret。 我试验不好用,之后我该用:

1、kubectl create secret docker-registry kubesystemsecret -n kube-system --docker-server=10.30.30.126:8123   --docker-username=admin --docker-password=admin123 --docker-email=wu_bo3@hoperun.com(本身就可以使用)
2、kubectl get secret kubesystemsecret -n kube-system  -o yaml 来获取data.dockercfg的值
image-pull-secret.yaml:
apiVersion: v1
kind: Secret
metadata: 
  name: kubesystemsecret
  namespace: default
data:
 .dockercfg: eyIxMC4zMC4zMC4xMjY6ODEyMyI6eyJ1c2VybmFtZSI6ImFkbWluIiwicGFzc3dvcmQiOiJhZG1pbjEyMyIsImVtYWlsIjoid3VfYm8zQGhvcGVydW4uY29tIiwiYXV0aCI6IllXUnRhVzQ2WVdSdGFXNHhNak09In19
type: kubernetes.io/dockercfg

# kubectl create -f image-pull-secret.yaml
(4)在创建Pod的时候引用该Secret
pods.yaml
apiVersion: v1
kind: Pod
metadata:
  #namespace: kube-system
  namespace: default
  labels:
    name: busybox
    role: master
  name: busybox
spec:
  containers:
    - name: busybox
      image: 10.30.30.126:8123/docker.io/busybox:latest
      command:
      - sleep
      - "360000"
  imagePullSecrets:
    - name: kubesystemsecret

# kubectl create -f pods.yaml


(5)pod和 Secret合在一起写
pods.yaml
apiVersion: v1
kind: Secret
metadata:
  name: kubesystemsecret
  namespace: default
data:
    .dockercfg: eyIxMC4zMC4zMC4xMjY6ODEyMyI6eyJ1c2VybmFtZSI6ImFkbWluIiwicGFzc3dvcmQiOiJhZG1pbjEyMyIsImVtYWlsIjoid3VfYm8zQGhvcGVydW4uY29tIiwiYXV0aCI6IllXUnRhVzQ2WVdSdGFXNHhNak09In19
type: kubernetes.io/dockercfg
---
apiVersion: v1
kind: Pod
metadata:
  #namespace: kube-system
  namespace: default
  labels:
    name: busybox
    role: master
  name: busybox
spec:
  containers:
    - name: busybox
      image: 10.30.30.126:8123/docker.io/busybox:latest
      command:
      - sleep
      - "360000"
  imagePullSecrets:
    - name: kubesystemsecret

# kubectl create -f pods.yaml


第二种使用方式的使用流程如下:

(1)
实现加密:

echo -n admin| base64   >>YWRtaW4=

echo -n admin123 | base64  >> YWRtaW4xMjM=

secret.yaml
apiVersion: v1
kind: Secret
metadata:
    name: mysecret
type: Opaque
data:
    password: YWRtaW4xMjM=
    username: YWRtaW4=

kubectl create -f secret.yaml

或者

命令行方式:

kubectl create secret generic mysecret --from-literal=username=test --from-literal=password=test123

(2)pod引用。 在使用的时候可以选择已volume方式或者是已环境变量的方式放到容器内使用
参考:https://www.jianshu.com/p/530b3642c642

         http://docs.kubernetes.org.cn/548.html

volume:
#cat nginx-mount.yaml
apiVersion: v1
kind: Pod
metadata:
  name: secret-test-pod
spec:
  containers:
    - name: test-container
      image: 10.30.30.126:8123/library/nginx:latest
      volumeMounts:
          # name must match the volume name below
          - name: secret-volume
            mountPath: /etc/secret-volume
  imagePullSecrets:
    - name: kubesystemsecret 
  volumes:
    - name: secret-volume
      secret:
        secretName: mysecret

这里讲secret作为一个volume挂载到pod容器得/etc/secret-volume 实际上Secret中的值会以文件生成到/etc/secret-volume下(文件名是key,此处是password和username ,文件内容是value,此处是admin123和admin),待pod运行后查看 
$ kubectl exec secret-test-podls /etc/secret-volume/
password
username
$ kubectl exec secret-test-pod cat /etc/secret-volume/password
admin123
$ kubectl exec secret-test-pod cat /etc/secret-volume/username
admin

环境变量

cat nginx-env.yaml
apiVersion: v1
kind: Pod
metadata:
  name: secret-envars-test-pod
spec:
  containers:
  - name: envars-test-container
    image: 10.30.30.126:8123/library/nginx:latest
    env:
    - name: SECRET_USERNAME
      valueFrom:
        secretKeyRef:
          name: opaque
          key: username
    - name: SECRET_PASSWORD
      valueFrom:
        secretKeyRef:
          name: opaque
          key: password
  imagePullSecrets:
  - name: kubesystemsecret
查看环境变量信息:kubectl exec -it secret-envars-test-pod -- /bin/bash
printenv
SECRET_USERNAME=admin
SECRET_PASSWORD=admin123

kubernetes.io/service-account-token:作用于ServiceAccount 不会用!!!


Michaelwubo
关注
kubernetes-handbook
10-11
- **目标**:该手册旨在为用户提供一个全面且深入理解Kubernetes资源集合,包括概念、实践、案例分析等,帮助读者更好地掌握Kubernetes的核心技术和应用场景。 #### 二、概念原理 - **设计理念**:Kubernetes的...
kubernetes集群配置serviceaccount;Service Account和RBAC授权
码农崛起
04-17 1889
https://blog.51cto.com/ylw6006/2067326 Kubernetes API的其它服务。Service Account它并不是给kubernetes集群的用户使用的,而是给pod里面的进程使用的,它为pod提供必要的身份认证。 Kubernetes提供了Secret来处理敏感信息,目前Secret的类型有3种: Opaque(default): 任意字符串...
Kubernetes客户端认证—— 基于ServiceAccount的JWTToken认证
2301_77342543的博客
08-04 399
Kubernetes 官方手册中给出了 “用户” 的概念,Kubernetes 集群中存在的用户包括 “普通用户” 与 “ServiceAccount”, 但是 Kubernetes 没有普通用户的管理方式,通常只是将使用集群根证书签署的有效证书的用户都被视为合法用户。那么对于使得 Kubernetes 集群有一个真正的用户系统,就可以根据上面给出的概念将 Kubernetes 用户分为“内部用户”与“外部用户”。如何理解内部与外部用户呢?
ServiceAccount 详解
最新发布
Lzcsfg的博客
08-18 740
Kubernetes 中,是一种用于在 Pod 中提供身份验证和授权的机制。ServiceAccount 允许应用程序在集群内以特定身份运行,并且可以访问 Kubernetes API。
kubernetes配置dashboard
szuhuanggang的博客
04-23 623
参考: https://github.com/kubernetes/dashboard https://github.com/kubernetes/dashboard/wiki/Creating-sample-user 首先执行以下命令,创建dashboard服务: kubectl apply -f https://raw.githubusercontent.com/kubernetes...
Kubernetes Service Account如何生成Token
weixin_30399797的博客
04-10 1192
Service Account是运行pods用到的帐号,默认是default。如果apiserver启动配置--admission-control=ServiceAccountService Account就要生成Token才能启动pods或者连接apiserver进行操作。下面讲讲如何把默认Service Account(default)生成Token。 1,生成serviceaccount...
Kubernetes_认证授权_ServiceAccount_服务账号全解析
毛毛的专栏
10-23 2113
梳理出ServiceAccount服务账号一条线
如何配置kubernetes-dashboard.zip
06-12
你可以使用`kubectl create serviceaccount`和`kubectl get secret`命令生成一个临时的token,然后在登录页面输入。 如果你的环境要求更高的安全性,你可能需要配置OAuth2代理或者其他认证机制,如使用Google或...
kubernetes-handbook-jimmysong-v1.4-20180903.pdf
12-08
对于安全性,ServiceAccount和RBAC(基于角色的访问控制)确保了资源的访问权限。NetworkPolicy允许精细的网络流量控制,Secret和ConfigMap则用于管理敏感信息和配置数据。持久化存储通过Persistent Volume和Storage...
kubernetes-使用文档.pdf
10-18
Kubernetes支持多种资源对象,如ConfigMap(存储非敏感配置数据)、CronJob(定时任务)、CustomResourceDefinition(自定义资源)、DaemonSet(确保每个Node上至少运行一个Pod)、Deployment(声明式更新Pod)、...
2、Kubernetes 集群安全 - 认证1
08-04
为了管理ServiceAccount和相关的Secret,可以使用`kubectl get secret --all-namespaces`命令查看所有命名空间的Secret,以及`kubectl describe secret default-token-5gm9r --namespace=kube-system`命令来详细描述...
kubernetes配置管理:cm,sercret,sa
阿白,
04-25 2859
可变配置管理前面我们学习了一些常用的资源对象的使用,但是单纯依靠这些资源对象,还不足以满足我们的日常需求,一个重要的需求就是应用的配置管理、敏感信息的存储和使用(如:密码、Token 等)、容器运行资源的配置、安全管控、身份认证等等。对于应用的可变配置在 Kubernetes 中是通过一个 ConfigMap 资源对象来实现的,我们知道许多应用经常会有从配置文件、命令行参数或者环境变量中读取一些配置信息的需求,这些配置信息我们肯定不会直接写死到应用程序中去的,比如你一个应用连接一个 redis 服务,下一次
kuberneteskubernetes中的应用配置(ConfigMap和Secret)
追寻梦想的青春
10-06 458
为了能够让应用程序从统一的地方加载配置文件,同时,能够一次性修改Deployment或者DaemonSet的所有Pod的配置项,k8s提供了两种保存配置的方式,ConfigMap和Secret(ConfigMap是直接以键值对的方式保存配置项,Secret则是会对配置项的值进行加密存储),Pod可以将它们作为卷挂载到容器中。,最终的ConfigMap中的配置项的值会将多行变成一行,这当然不是我们预期的,因此,为了让配置文件能够以原本的样子保存到ConfigMap中,一般都可以带上。
蓝易云:配置k8s的一个serviceaccount具有管理员权限并获取他的token教程
高性价比服务器就选:蓝易云
10-15 506
首先,我们需要创建一个ServiceAccount和一个ClusterRoleBinding,将ClusterRole(集群角色)绑定到ServiceAccount上。现在,你已经成功配置了一个拥有管理员权限的ServiceAccount,并获取了它的Token。ServiceAccount的Token是用于身份验证的凭证。注意:ServiceAccount的Token具有管理员权限,因此请妥善保管和使用。字段的那一行,后面的长字符串就是ServiceAccount的Token。
如何在不同 Kubernetes 版本中管理 ServiceAccount Token
easylife206的专栏
12-25 619
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !ServiceAccount 为 Pod 中运行的进程提供了一个身份,Pod 内的进程可以使用其关联服务账号的身份,向集群的 APIServer 进行身份认证。当创建 Pod 的时候规范下面有一个spec.serviceAccount的属性用来指定该 Pod 使用哪个 ServiceAccount,如果没有指定的...
k8s创建用户(serviceaccount)没有token
weixin_65951291的博客
11-16 662
新版本的k8s需要手动生成。
Kubernetes身份认证和授权操作全攻略:访问控制之Service Account
Rancher
09-06 882
这是本系列的最后一篇文章,前面我们了解了访问控制中的基本概念以及身份认证和授权的具体操作,本文我们将进一步了解访问控制中的service accountKubernetes中有用户和service account的概念,可用于访问资源。用户与密钥和证书相关联用于验证API请求,使用其中一个配置方案对在集群外部发起的任何请求进行身份验证。最常见的方案是通过X.509证书进行身份认证请求。有关创建...
k8s--基础--23.2--认证-授权-准入控制--认证
zhou920786312的博客
08-15 418
客户端对apiserver发起请求,apiserver要识别这个用户是否有请求的权限,要识别用户本身能否通过apiserver执行相应的操作,那么需要哪些信息才能识别用户信息来完成对用户的相关的访问控制呢?kubectl explain pods.spec.serviceAccountName(服务账号名称),这个就是我们pod连接apiserver时使用的账号,因此整个kubernetes集群中的账号有两类1. ServiceAccount(服务账号)...
KubernetesSecret使用详解
热门推荐
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
10-26 1万+
Secret解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。 Secret类型 Secret有三种类型: Opaque:base64编码格式的Secret,用来存储密码、密钥等;但数据也通过base64 –decode解码得到原始数据,所有加密性很弱。 kubernetes.io/doc...
k8s 中的service account只能是secret-based吗?
02-07
Kubernetes 中,Service Account 是一种特殊的用户帐户,它与每个...密钥文件和令牌都存储在 Secret 中,所以可以说 Service Account 是基于 Secret 的。但这并不意味着 Service Account 只能使用 Secret 进行认证。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值