k8s-存储-Secret

最新推荐文章于 2024-08-18 01:07:30 发布
最新推荐文章于 2024-08-18 01:07:30 发布
阅读量200 收藏
点赞数
分类专栏: k8s
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Rio520/article/details/116086363
版权

Secret 存在意义

Secret 解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Spec中。Secret 可以以 Volume 或者环境变量的方式使用

Secret 有三种类型:
Service Account :用来访问 Kubernetes API,由 Kubernetes 自动创建,并且会自动挂载到 Pod 的/run/secrets/kubernetes.io/serviceaccount 目录中
Opaque :base64编码格式的Secret,用来存储密码、密钥等
kubernetes.io/dockerconfigjson :用来存储私有 docker registry 的认证信息

Service Account

Service Account 用来访问 Kubernetes API,由 Kubernetes 自动创建,并且会自动挂载到 Pod的/run/secrets/kubernetes.io/serviceaccount 目录中

[root@k8s-master01 ~]# kubectl run nginx --image nginx
[root@k8s-master01 ~]# kubectl  exec nginx-7bb7cd8db5-w8gfr  -it  -- /bin/sh
# cd /run/secrets/kubernetes.io/serviceaccount
# ls
ca.crt	namespace  token

Opaque Secret

创建说明
Opaque 类型的数据是一个 map 类型,要求 value 是 base64 编码格式:

[root@k8s-master01 ~]# echo -n "admin" | base64
YWRtaW4=
[root@k8s-master01 ~]# echo -n "1f2d1e2e67df" | base64
MWYyZDFlMmU2N2Rm

[root@k8s-master01 ~]# base64 --help
Usage: base64 [OPTION]... [FILE]
Base64 encode or decode FILE, or standard input, to standard output.

Mandatory arguments to long options are mandatory for short options too.
  -d, --decode		解码数据
  -i, --ignore-garbag	解码时忽略非字母字符
  -w, --wrap=字符数	在指定的字符数后自动换行(默认为76),0 为禁用自动换行

      --help		显示此帮助信息并退出
      --version		显示版本信息并退出

如果没有指定文件,或者文件为"-",则从标准输入读取。

数据以 RFC 3548 规定的 Base64 字母格式进行编码。 解码时,输入数据(加密流)可能包含一些非有效 Base64 字符的新行字符。可以尝试用 --ignore-garbage 选项来恢复加密流中任何非 base64 字符。

GNU coreutils online help: http://www.gnu.org/software/coreutils/
请向http://translationproject.org/team/zh_CN.html 报告base64 的翻译错误
要获取完整文档,请运行:info coreutils ‘base64 invocation’

apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  password: MWYyZDFlMmU2N2Rm
  username: YWRtaW4=

[root@k8s-master01 ~]# kubectl apply -f secret.yaml 
secret/mysecret created


[root@k8s-master01 ~]# kubectl  get secret
NAME                  TYPE                                  DATA   AGE
default-token-l2627   kubernetes.io/service-account-token   3      7h24m
mysecret              Opaque                                2      29s

、使用方式
1、将 Secret 挂载到 Volume 中

apiVersion: v1
kind: Pod
metadata:
  labels:
    name: seret-test
  name: seret-test
spec:
  volumes:
  - name: secrets
    secret:
      secretName: mysecret
  containers:
  - image: at.harbor.com/library/nginx:v1
    name: db
    volumeMounts:
    - name: secrets
      mountPath: "/etc/secrets"
      readOnly: true

[root@k8s-master01 ~]# kubectl  apply -f seret.yaml
[root@k8s-master01 ~]# kubectl  get pod
seret-test                  1/1     Running   0          16s

[root@k8s-master01 ~]# kubectl  exec seret-test -it -- /bin/sh
/ # cd /etc/secrets
/etc/secrets # ls
password  username
/etc/secrets # cat username
admin/etc/secrets #

将 Secret 导出到环境变量中

apiVersion: extensions/v1beta1
kind: Deployment
metadata:
  name: pod-deployment
spec:
  replicas: 2
  template:
    metadata:
      labels:
        app: pod-deployment
    spec:
      containers:
      - name: pod-1
        image: at.harbor.com/library/nginx:v1
        ports:
        - containerPort: 80
        env:
        - name: TEST_USER
          valueFrom:
            secretKeyRef:
              name: mysecret
              key: username
        - name: TEST_PASSWORD
          valueFrom:
            secretKeyRef:
              name: mysecret
              key: password

[root@k8s-master01 ~]# kubectl  apply -f servt.yaml 
deployment.extensions/pod-deployment created


[root@k8s-master01 ~]# kubectl get pod
NAME                             READY   STATUS    RESTARTS   AGE
pod-deployment-8965575c6-d9bxs   1/1     Running   0          25s
pod-deployment-8965575c6-nfcp6   1/1     Running   0          25s


[root@k8s-master01 ~]# kubectl exec pod-deployment-8965575c6-d9bxs -it -- /bin/sh
/ # echo $TEST_USER
admin
/ # echo $TEST_PASSWORD
1f2d1e2e67df
/ #

要想实验的准确性,把每个节点的镜像删除,把仓库设置为私有仓库。
在这里插入图片描述

退出

[root@k8s-master01 ~]# docker logout at.harbor.com/
Removing login credentials for at.harbor.com

尝试下载镜像

[root@k8s-master01 ~]# docker pull at.harbor.com/library/nginx:v1
Error response from daemon: pull access denied for at.harbor.com/library/nginx, rep

开始创建一个pod

在创建 Pod 的时候,通过 imagePullSecrets 来引用刚创建的 myregistrykey

apiVersion: v1
kind: Pod
metadata:
  name: foo
spec:
  containers:
  - name: foo
    image: at.harbor.com/library/nginx:v1
    #引用认证
  imagePullSecrets:
  - name: myregistrykey

[root@k8s-master01 ~]# kubectl create -f pod.yaml 
pod/foo created

[root@k8s-master01 ~]# kubectl  get pod
NAME             READY   STATUS             RESTARTS   AGE
foo              0/1     ImagePullBackOff   0          20s

[root@k8s-master01 ~]# kubectl  describe pod foo

....
error: code = Unknown desc = Error response from daemon: pull access denied for at.harbor.com/library/nginx, repository does not exist or may require 'docker login': denied: requested access to the resource is denied
  Warning  Failed     35s (x4 over 2m1s)  kubelet, k8s-node01  Error: ErrImagePull
  Warning  Failed     12s (x6 over 2m)    kubelet, k8s-node01  Error: ImagePullBackOff
  Normal   BackOff    0s (x7 over 2m)     kubelet, k8s-node01  Back-off pulling image "at.harbor.com/library/nginx:v1"

下载镜像失败

必须要认证之后才能下载

使用 Kuberctl 创建 docker registry 认证的 secret

[root@k8s-master01 ~]# kubectl create secret docker-registry myregistrykey --docker-server=at.harbor.com --docker-username=admin --docker-password=Harbor12345 --docker-email=admin@example.com
secret/myregistrykey created

docker-server:私有仓库地址
docker-username:用户名
docker-password:密码
docker-email:邮箱

重新创建pod

[root@k8s-master01 ~]# kubectl  delete pod --all
[root@k8s-master01 ~]# kubectl  create  -f pod.yaml 
pod/foo created
[root@k8s-master01 ~]# kubectl  get pod
NAME             READY   STATUS    RESTARTS   AGE
foo              1/1     Running   0          7s

认证成功

k8s存储方式的介绍及应用 (持久化,mysql对数据持久化的应用)
xgp666的博客
07-10 1517
k8s存储: (持久化) docker容器是有生命周期的。 volume 1,存储类(Storage class)是k8s资源类型的一种,它是有管理员为管理PV更加方便创建的一个逻辑组,可以按照存储系统的性能高低,或者综合服务质量,备份策略等分类。不过k8s本身不知道类别到底是什么,它这是作为一个描述。 2,存储类的好处之一就是支持PV的动态创建,当用户用到持久性存储时,不必再去提前创建PV,而是直接创建PVC就可以了,非常的方便。 3,存储类对象的名称很重要,并且出了名称之外,还有3个关键字段 Provi
k8s-二进制yaml.zip
09-15
Kubernetes,简称k8s,是Google开源的一种容器编排系统,用于自动化容器化的应用程序部署、扩展和管理。在“k8s-二进制yaml.zip”这个压缩包中,我们很显然关注的是Kubernetes的YAML配置文件,这些文件是k8s集群中...
Kubernetes如何选择存储以及什么方式使用存储
weixin_33929309的博客
08-01 1691
问题 目前阿里云的Kuberntes服务可以提供多种形式的存储对接,包括云盘、NAS以及OSS。在Kubernetes的控制台就可以直接创建对应的PV(存储卷)/PVC(存储声明): 但是对于使用那种存储,或许大家还不是太清晰,对于其中是否有什么约束也不是太清楚。另外Kubernetes使用存储的方式相对来说还是比较复杂的,哪种方式才是最佳的实践?期望...
k8s存储
花&败
05-16 1459
1.k8s-volumes 1)为什么要用volumes? k8s中容器中的磁盘的生命周期是短暂的, 这就带来了一些列的问题: 当一个容器损坏之后, kubelet会重启这个容器, 但是容器中的文件将丢失----容器以干净的状态 重新启动 当很多容器运行在同一个pod中时, 很多时候需要数据文件的共享 在 k8s 中,由于 pod 分布在各个不同的节点之上,并不能实现不同节点之间持久性数据的共 享,并且,在节点故障时,可能会导致数据的永久性丢失。 volumes就是用来解决以上问题...
k8s 存储secret
leechm的博客
09-04 771
目录 Service Account Opaque Secret Ⅰ、创建说明 Ⅱ、使用方式 1、将 Secret 挂载到 Volume 中 2、将 Secret 导出到环境变量中 kubernetes.io/dockerconfigjson Secret 存在意义 Secret 解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Spec中。Secret 可以以 Volume 或者环境变量的方式使用。也就意味着我们有一些密码被我们的pod去使用
k8s-存储-secret
渐行渐远的博客
04-15 49
k8s-存储-secret 一 secret三种类型 Service Account :用来访问 Kubernetes API,由 Kubernetes 自动创建,并且会自动挂载到 Pod 的/run/secrets/kubernetes.io/serviceaccount 目录中 Opaque :base64编码格式的Secret,用来存储密码、密钥等 kubernet...
k8s --使用secret
IT艺术家-rookie的博客
04-20 4131
为什么要使用secret 官网说明 以前一些数据库密码可能会写在配置文件中springboot工程中一般是application.yaml。有的会直接写明文,有的加密之后把密文写在配置文件中。 k8ssecret是一种包含少量敏感信息例如密码、令牌或密钥的对象。 这样的信息可能会被放在 Pod 规约中或者镜像中。 使用 Secret 意味着你不需要在应用程序代码中包含机密数据。 Secret 类似于 ConfigMap 但专门用于保存机密数据。 Pod使用Secret Pod有用三种方式来使用 Sec
k8s--Kubernetes存储--Secret配置管理
Gong_yz的博客
03-13 1083
- Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 ssh key。 - 敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。 - Pod 可以用两种方式使用 secret: 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里。 当 kubelet 为 pod 拉取镜像时使用。
K8S - Secret 的简介和使用
最新发布
nvd11的专栏
08-18 929
Kubernetes(k8s)中的 Secret 是一种用于存储敏感信息的 Kubernetes 资源对象,如密码、API 密钥、证书等。Secret 被设计为用于安全地存储和管理敏感数据,并且可以通过 Volume 或环境变量的方式将这些数据提供给 Pod 中的容器。简单来讲, K8Ssecret 和 configmap 的作用都是存放configuration 配置数据但是 configmap 不适合存放证书, 密码等敏感数据。
k8s-secret 配置使用secret
weixin_44204737的博客
04-27 1768
◆ kubernetes.io/basic-auth:用于使用基本认证(账号密码)的Secret,可以使用Opaque取代;secret的使用方式和configmap很像,secret使用加密的方式更加安全,configmap更适合传递配置文件。◆ kubernetes.io/tls:用于存储HTTPS域名证书文件的Secret,可以被Ingress使用;◆ kubernetes.io/dockerconfigjson:下载私有仓库镜像使用的Secret,◆Opaque:通用型Secret,默认类型;
k8s-dashboardv2.0.3.zip
10-08
`k8s-dashboard-configmap-secret.yaml` 文件可能包含了 Dashboard 的配置映射(ConfigMap)和秘密(Secret)。ConfigMap 用于存储非敏感的配置数据,如设置或配置文件,而 Secret 则用于安全地存储密码、密钥等敏感...
云原生-基于k8s部署-分布式底层存储-Rook-Ceph
06-13
Rook作为一款开源的存储编排器,使得Ceph和其他存储解决方案能更好地融入Kubernetes生态系统,简化了在K8s集群中的部署和管理。 在本教程中,我们将详细介绍如何使用Rook v1.8.1来部署和管理Ceph分布式存储系统。...
六、k8s-基础_k8s_
10-01
理解k8s的基础知识后,可以进一步学习如何部署应用、使用存储、实施网络策略、监控和日志收集,以及故障排查等实践技能。同时,熟悉社区工具如Helm(应用包管理)、Istio(服务网格)等将有助于提升运维效率。 总之...
k8s学习--k8s与私有仓库链接使用
Rio520的博客
04-18 2795
仓库地址为https://at.harbor.com 该仓库是我在本地搭建的一个私有仓库,配置了域名,配置了证书 登录本地仓库 [root@k8s-master01 ~]# docker login https://at.harbor.com Username: admin Password: WARNING! Your password will be stored unencrypted in /root/.docker/config.json. Configure a credential help
docker: Error response from daemon
Rio520的博客
04-28 1374
这个报错主要就是进程冲突了,已经有一个名字叫 HAProxy-K8S 的进程在运行,如果想要运行,可以把正在运行的进程关闭。a1c9a9e3035d是进程ID。
k8s初始化报错
Rio520的博客
04-20 1138
[root@k8s-master01 ~]# kubeadm init --config=kubeadm-config.yaml --upload-certs | tee kubeadm-init.log [init] Using Kubernetes version: v1.14.0 [preflight] Running pre-flight checks [WARNING SystemVerification]: this Docker version is not on the list of v
Error response from daemon: OCI runtime create failed
Rio520的博客
04-28 982
3530e24d28767e3e06734fad9c160748fbe94b730c3b353048fd4a4da48bc721 docker: Error response from daemon: OCI runtime create failed: container_linux.go:367: starting container process caused: process_linux.go:495: container init caused: rootfs_linux.go:60: moun
k8s-资源类型
Rio520的博客
04-18 648
K8s 中所有的内容都抽象为资源, 资源实例化之后,叫做对象 资源类型 名称空间级别 工作负载型资源( workload ): Pod、ReplicaSet、Deployment、StatefulSet、DaemonSet、Job、 CronJob ( ReplicationController 在 v1.11 版本被废弃 ) 服务发现及负载均衡型资源( ServiceDiscovery LoadBalance ): Service、Ingress、… 配置与存储型资源: Volume( 存储卷 )、CSI
k8s证书可用年限的修改
Rio520的博客
04-28 613
证书可用时间 查看当前集群使用证书的时间 [root@k8s-master01 kibana]# cd /etc/kubernetes/pki [root@k8s-master01 pki]# openssl x509 -in apiserver.crt -text -noout ... ... Validity Not Before: Apr 27 01:19:41 2021 GMT Not After : Apr 27 01:19:41 2022 GMT
Kubernetes配置管理库:k8s-config
资源摘要信息:"k8s-config:配置库" 知识点1: Kubernetes配置管理基础 Kubernetes (k8s) 是一个开源的容器编排平台,它能够自动化部署、扩展和管理容器化的应用程序。配置管理是Kubernetes生态系统中的关键组成部分...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Rio520

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值
>