【Kubernetes 012】Secret原理和实际操作详解

最新推荐文章于 2025-04-30 17:49:05 发布
最新推荐文章于 2025-04-30 17:49:05 发布
阅读量1.1k 收藏
点赞数
分类专栏: Devops - Kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Victor2code/article/details/106042691
版权

上一节我们学习了ConfigMap,k8s集群的配置中心。但是因为采用明文存储,ConfigMap并不适合用来存储私密信息,例如密钥等。这一节我们来学习k8s中专门存储私密信息的组件:Secret。

我是T型人小付,一位坚持终身学习的互联网从业者。喜欢我的博客欢迎在csdn上关注我,如果有问题欢迎在底下的评论区交流,谢谢。

文章目录

Secret

很多场景都会用到敏感信息,例如OAuth的token,各种密码,私钥文件。但是k8s采用声明式(Declarative)来定义各种资源,也就是说资源的一些配置信息都存储在定义的yaml或者json文件中。如果直接将这些敏感信息放在yaml文件中,很显然是非常不安全的。于是,k8s引入了Secret组件。

Secret和ConfigMap一样也是k8s中单独的资源,专门用来存储一些敏感信息。把Secret想象成更安全的ConfigMap,就不难理解接下来要学习的对其创建和使用了。

创建Secret

和ConfigMap一样,也是可以通过文件或文件夹来将较长内容加入Secret,或者是通过yaml文件和命令行来将较短内容加入Secret。

下面分开来进行演示。

文件或文件夹创建Secret

用下面的格式来根据文件或者文件夹创建secret

kubectl create secret generic NAME --from-file=xxx

例如有下面两个文件

[root@k8s-master Secret]# ll
total 8
-rw-r--r--. 1 root root 68 May 10 16:40 secret1
-rw-r--r--. 1 root root 58 May 10 16:40 secret2
[root@k8s-master Secret]# cat secret1
d23hehuye8rq340p98du312rpur9er3eru038dfh3ry2098iuerewriu32987er98er
[root@k8s-master Secret]# cat secret2
jp3oiur98sd7re=er=23r-sdf13i4%(eiru2p398(eur1p8u+o3iru2o3

创建两个secret,分别是根据文件和文件夹

[root@k8s-master Secret]# kubectl create secret generic test-secret-1 --from-file=secret1
secret/test-secret-1 created
[root@k8s-master Secret]# kubectl create secret generic test-secret-2 --from-file=.
secret/test-secret-2 created

直接用describe查看是看不到secret的内容的

[root@k8s-master Secret]# kubectl describe secret test-secret-1
Name:         test-secret-1
Namespace:    default
Labels:       <none>
Annotations:  <none>

Type:  Opaque

Data
====
secret1:  68 bytes

可以用下面的方法来查看内容

[root@k8s-master Secret]# kubectl get secret test-secret-1 -o yaml
apiVersion: v1
data:
  secret1: ZDIzaGVodXllOHJxMzQwcDk4ZHUzMTJycHVyOWVyM2VydTAzOGRmaDNyeTIwOThpdWVyZXdyaXUzMjk4N2VyOThlcgo=
kind: Secret
metadata:
  creationTimestamp: "2020-05-10T08:41:18Z"
  name: test-secret-1
  namespace: default
  resourceVersion: "1416449"
  selfLink: /api/v1/namespaces/default/secrets/test-secret-1
  uid: 2e43bebe-dda8-485a-9592-b7ecb32852f6
type: Opaque

有几点要注意下:

  • 自己创建的secret类型都是Opaque
  • secret中还是以键值对存储信息,key是文件名,value是文件的内容
  • 但是value却并不是文件中原始内容,而是经过了某种编码的转换

k8s中通过Base64的方式对原始数据进行了一次编码,注意是编码而不是加密,编码通常意味着很容易就能解码得到原始数据。

我们也可以用Base64命令来解码看看

[root@k8s-master Secret]# echo ZDIzaGVodXllOHJxMzQwcDk4ZHUzMTJycHVyOWVyM2VydTAzOGRmaDNyeTIwOThpdWVyZXdyaXUzMjk4N2VyOThlcgo= | base64 -d -
d23hehuye8rq340p98du312rpur9er3eru038dfh3ry2098iuerewriu32987er98er
最低0.47元/天 解锁文章
【云原生】kubernetessecret原理详解与应用实战
景天科技苑
06-04 2万+
对于一些敏感数据,如密码、私钥等数据时,要用secret类型。 Secret解决了密码、token、秘钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。 Secret可以以Volume或者环境变量的方式使用。 要使用 secret,pod 需要引用 secret。Pod 可以用两种方式使用 secret: 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里, 或者当 kubelet 为 pod 拉取镜像时使用。
Kubernetes 013】Volume原理实际操作详解
T型人小付的博客
05-11 1211
一个pod内有多个容器,我们知道这些容器是共享网络栈的,但是文件系统却似乎还不能共享?如果一个容器运行了一段时间,崩溃重启了,里面保存的内容都丢失了,这又该如何解决?带着这些疑问我们一起来学习k8s中负责数据存储的组件:volume。 我是T型人小付,一位坚持终身学习的互联网从业者。喜欢我的博客欢迎在csdn上关注我,如果有问题欢迎在底下的评论区交流,谢谢。 文章目录Docker中的数据保存K8s中的数据保存k8s中的volume实际操作emptyDir操作hostPath操作总结 Docker中的数据
Kubernetes Secrets 详解
奋斗菜鸟
09-08 504
Kubernetes Secrets 详解
【网址收藏】k8s Secret详解
学亮编程手记
03-01 253
https://zhuanlan.zhihu.com/p/115227381
K8S Secret 快速开始
最新发布
matrixlzp的博客
04-30 1109
Kubernetes(K8s)中的是一种用于存储管理敏感信息(如密码、令牌、证书、API 密钥等)的资源对象。它避免了将敏感数据明文写入配置文件、镜像或代码中,提供了一种更安全的方式来处理机密信息。
Secret概述与操作
weixin_49888547的博客
06-06 1331
Configmap 一般是用来存放明文数据的,如配置文件,对于一些敏感数据,如密码、私钥等数据时,要用 secret 类型。Secret 解决了密码、token、秘钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Spec 中。Secret 可以以 Volume 或者环境变量的方式使用。要使用 secret,pod 需要引用 secret。Pod 可以用两种方式使用 secret:作为volume 中的文件被挂载到 pod 中的一个或者多个容器里,或者当 kubelet 为 pod 拉取
14.Secret资源深度剖析
LQ的博客
10-18 946
14.Secret资源深度剖析 Secret解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。 1.什么是Secret? kubernetessecret对象可以让你存储管理敏感信息,如密码、oauth tokenssh keys。把这些信息配置到secret里面会比在pod spec中定义更安全灵活。 如果有兴趣,你还可以参考阅读secret的设计目的(https://git.k8s.io/community/contributors/
k8s的Secret(密文)configmap(明文)的使用
很多时候犯错都是在不知情的情况下发生的
08-13 5489
执行一下。
Kubernetes 011】ConfigMap原理实际操作详解
T型人小付的博客
05-10 1859
相信很多朋友都听说过配置中心这种东西,应用在运行的时候会从配置中心读取不同环境的配置信息,以达到相同的应用在不同环境运行的目的。这种低耦合的应用运行方式也在k8s中得到了应用。这一节我们就来学习k8s中的配置中心:ConfigMap。 我是T型人小付,一位坚持终身学习的互联网从业者。喜欢我的博客欢迎在csdn上关注我,如果有问题欢迎在底下的评论区交流,谢谢。 文章目录ConfigMap生成ConfigMap根据文件或者文件夹生成ConfigMap根据yaml文件或命令行生成ConfigMap容器使用Co
Kubernetes核心组件Ingress详解
weixin_72583321的博客
05-27 1751
Kubernetes集群中,Ingress作为集群内服务对外暴露的访问接入点,几乎承载着集群内服务访问的所有流量。Ingress是Kubernetes中的一个资源对象,用来管理集群外部访问集群内部服务的方式。您可以通过Ingress资源来配置不同的转发规则,从而实现根据不同的规则设置访问集群内不同的Service所对应的后端Pod。 Ingress资源仅支持配置HTTP流量的规则,无法配置一些高级特性,例如负载均衡的算法、Sessions Affinity等,这些高级特性都需要在Ingress Cont
k8s之Secret详细理解及使用
热门推荐
skh2015java的博客
10-22 3万+
Secret介绍 k8s secrets用于存储管理一些敏感数据,比如密码,token,密钥等敏感信息。它把 Pod 想要访问的加密数据存放到 Etcd 中。然后用户就可以通过在 Pod 的容器里挂载 Volume 的方式或者环境变量的方式访问到这些 Secret 里保存的信息了。 Secret有三种类型 Opaque:base64 编码格式的 Secret,用来存储密码、密钥等;但数据也可以通过base64 –decode解码得到原始数据,所有加密性很弱。 Service Account:.
secret_hub:通过支持批量操作组织机密管理GitHub机密
02-04
SecretHub-GitHub秘密CLI SecretHub使您可以从命令行轻松管理GitHub机密,并支持批量操作组织机密。 安装 使用Ruby: $ gem install secret_hub 或使用Docker: $ alias secrethub= ' docker run --rm -it -e GITHUB_ACCESS_TOKEN -v "$PWD:/app" dannyben/secrethub ' 先决条件 SecretHub是的包装。 要使用它,您需要使用设置环境: $ export GITHUB_ACCESS_TOKEN= < your access to
kubernetes资源原理解读
m0_73950916的博客
10-14 647
服务发起方的envoy通过pilot-agent获取的pilot地址,实现服务发现获取目标服务的实例列表,frontend 服务侧的 Envoy 通过 Pilot 的服务发现接口得到 forecast 服务各个实例的地址。pilot将配置内容下发给envoy,根据pilot指令,将路由,服务,监听,集群等信息转换为本地的配置,完成控制行为的落地。动态的创建pv,通过供应商自动的创建pv,动态存储类与供应商进行绑定,并且pvc进行绑定后,就会自动的创建出pv。
Kubernetes(K8S2020)从入门到实践(3)
02-17
Kubernetes,简称K8S,是一个开源,用于管理多个容器化的应用,提供了应用部署,规划,更新维护的一种机制。 学习要求:本课程学习需要具有一定的Linux基础,并掌握Docker相关知识点。 知识讲解:1. Kubernetes配置密钥管理2. Kubernetes对象管理3. Kubernetes StatefulSet应用4. Kubernetes资源管理Pod自动扩容5. Kubernetes调度器6. Kubernetes集群管理更多K8s课程:ü  Kubernetes(k8s2020)从入门到实践(1)ü  Kubernetes(k8s2020)从入门到实践(2)
k8s --使用secret
IT艺术家-rookie的博客
04-20 4200
为什么要使用secret 官网说明 以前一些数据库密码可能会写在配置文件中springboot工程中一般是application.yaml。有的会直接写明文,有的加密之后把密文写在配置文件中。 k8s中secret是一种包含少量敏感信息例如密码、令牌或密钥的对象。 这样的信息可能会被放在 Pod 规约中或者镜像中。 使用 Secret 意味着你不需要在应用程序代码中包含机密数据。 Secret 类似于 ConfigMap 但专门用于保存机密数据。 Pod使用Secret Pod有用三种方式来使用 Sec
K8S:配置资源管理 SecretconfigMap
Katie_ff的博客
10-07 1557
本文主要是对K8S的配置资源管理 SecretconfigMap两者的介绍,Secret 主要是用来保存密码、token、密钥等敏感数据的 k8s 资源,这类数据虽然也可以存放在 Pod 或者镜像中,但是放在 secret 中是为了更方便的控制如何使用数据,并减少暴露的风险ConfigMap与Secret类似,区别在于configMap保存的是不需要加密配置的信息。并且对ConfigMapSecret两者如何创建及应用场景、案例使用列举
k8s学习-Secret(创建、使用、更新、删除等)
关注网络安全、云原生安全
08-20 1万+
注意:Base64只是一种编码,不含密钥的,并不安全。任何拥有 API 访问权限的人都可以检索或修改 Secret,任何有权访问 etcd 的人也可以。此外,任何有权限在命名空间中创建 Pod 的人都可以使用该访问权限读取该命名空间中的任何 Secret;使用该 ServiceAccount 创建的任何 Pod 默认使用该 ServiceAccount 的 Pod 将会将其的 imagePullSecret 字段设置为服务帐户的 imagePullSecret 值。中的安全部分详细展开。
k8s学习--Secret详细解释与应用
lwxvgdv的博客
05-31 1430
类似与ConfigMap 区别在于ConfigMap存储明文Secret存储密文ConfigMap可以用作配置文件管理,Secret用于密码、密钥、token等敏感数据配置管理##Secret特性1非敏感数据:专门用于存储非敏感的配置信息。2.多种数据源:数据可以从命令行、文件、目录等多种来源创建。3.动态更新:更新 ConfigMap 后,Pod 可以动态加载新的配置信息(需要应用支持热加载)
k8s学习(十五)Secret的使用
码易的博客
12-29 2045
目录前言一、创建Secret二、使用Secret 前言 。 一、创建Secret 1、base64加密 [root@k8s-master k8s]# echo -n "root" | base64 cm9vdA== [root@k8s-master k8s]# echo -n "root123" | base64 cm9vdDEyMw== 2、secret.yaml [root@k8s-master k8s]# cat secret.yaml apiVersion: v1 kind: Secr..
Kubernetes原理与实践详解
这本《深入浅出Kubernetes》文档,通过系统的介绍详尽的案例分析,旨在帮助读者从入门到精通,掌握Kubernetes的核心概念与实际应用技能。 在开始学习之前,先要了解Kubernetes究竟是什么。Kubernetes是一个开源的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值