Kubernetes练习<10>---储存管理(Secret配置管理)

最新推荐文章于 2022-04-01 22:58:32 发布
最新推荐文章于 2022-04-01 22:58:32 发布
阅读量234 收藏
点赞数
分类专栏: 运维实战 文章标签: 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YiSean96/article/details/105911516
版权

Secret配置管理
Secret对象与ConfigMap对象类似,但它主要用于存储以下敏感信息,例如密码,OAuth token和SSH key等等。将这些信息存储在secret中,和直接存储在Pod的定义中,或Docker镜像定义中相比,更加安全和灵活。
pod可以用两种方式使用secret:

1、查看卷的挂载

[wjjk8s@server1 cm]$ kubectl run test --image=busybox --restart=Never
[wjjk8s@server1 ~]$ kubectl describe sa default 
[wjjk8s@server1 ~]$ kubectl run test --image=busybox -it
If you don't see a command prompt, try pressing enter.
/ # cd /var/run/secrets/kubernetes.io/
/var/run/secrets/kubernetes.io # cd serviceaccount/
/var/run/secrets/kubernetes.io/serviceaccount # ls
ca.crt     namespace  token

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

2、每个namespace下有一个名为default的默认的serviceaccount对象

[wjjk8s@server1 ~]$ kubectl get secret
[wjjk8s@server1 ~]$ kubectl get pod -o yaml
volumeMounts:
      - mountPath: /var/run/secrets/kubernetes.io/serviceaccount
        name: default-token-l7p69
        readOnly: true

#serviceaccount里有一个名为tokens的可以作为volume一样被mount到pod里的secret,当pod启动时这个secret会被自动mount到pod的指定目录下,用来协助完成pod中的进程访问api server时的身份鉴权过程
opaque secret其value为base64编码后的值

4、创建secret
4.1 从文件中创建secret

[wjjk8s@server1 ~]$ echo -n 'admin' > ./username.txt
[wjjk8s@server1 ~]$ echo -n 'westos' > ./password.txt
[wjjk8s@server1 ~]$ kubectl create secret generic my-secret --from-file=username.txt --from-file=password.txt

在这里插入图片描述

[wjjk8s@server1 ~]$ kubectl get secret
[wjjk8s@server1 ~]$ kubectl describe secrets my-secret

在这里插入图片描述

如果密码具有特殊字符,则需要使用\字符对其进行转义,执行一下命令

[wjjk8s@server1 ~]$ echo d2VzdG9z|base64 -d 
westos
[wjjk8s@server1 ~]$ kubectl create secret generic dev-db-secret --from-literal=username=devuser --from-literal=password=S\!B\\*d\$zDsb^C
[wjjk8s@server1 ~]$ kubectl get secret
dev-db-secret         Opaque                                2      20s
[wjjk8s@server1 ~]$ kubectl get secrets dev-db-secret -o yaml
apiVersion: v1
data:
  password: UyFCXCpkJHpEc2JeQw==
  username: ZGV2dXNlcg==

在这里插入图片描述

[wjjk8s@server1 ~]$ echo UyFCXCpkJHpEc2JeQw== | base64 -d
S!B\*d$zDsb^C

在这里插入图片描述

4.2编写yaml文件创建

[wjjk8s@server1 ~]$ cat mysecret.yaml
apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  password: UyFCXCpkJHpEc2JeQw==
  username: ZGV2dXNlcg==
[wjjk8s@server1 ~]$ kubectl create -f mysecret.yaml

在这里插入图片描述

4.3 将secret挂载到volume中

[wjjk8s@server1 serect]$ cat pod.yaml 

apiVersion: v1 
kind: Pod 
metadata: 
  name: mysecret 
spec: 
  containers: 
  - name: nginx 
    image: nginx 
    volumeMounts: 
    - name: secrets 
      mountPath: "/secret" 
      readOnly: true 
  volumes: 
  - name: secrets 
    secret: 
      secretName: mysecret 

[wjjk8s@server1 serect]$ kubectl apply -f pod.yaml

在这里插入图片描述
在这里插入图片描述

4.4 向指定路径映射secret密钥

[wjjk8s@server1 serect]$ vim pod2.yaml
  volumes: 
  - name: secrets 
    secret: 
      secretName: mysecret 
      items:
      - key: username
        path: my-group/my-username

在这里插入图片描述

[wjjk8s@server1 serect]$ kubectl create -f pod2.yaml
[wjjk8s@server1 serect]$ kubectl exec -it mysecret -- bash
root@mysecret:/# cd /secret
root@mysecret:/secret# ls
my-group
root@mysecret:/secret# cd my-group
root@mysecret:/secret/my-group# ls
my-username

在这里插入图片描述

4.5 将secret设置为环境变量,但是无法支持动态更新

[wjjk8s@server1 serect]$ vim pod3.yaml 
[wjjk8s@server1 serect]$ kubectl apply -f pod3.yaml 
[wjjk8s@server1 serect]$ kubectl exec -it secret-env -- bash
SECRET_USERNAME=devuser
SECRET_PASSWORD=S!B\*d$zDsb

在这里插入图片描述

在这里插入图片描述

4.6 kubernetes.io/dockerconfigjson用于存储docker registry的认证信息

vim pod.yaml
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: game2048
    image: reg.westos.org/westos/game2048
  imagePullSecrets:
    - name: myregistrykey

 kubectl create secret docker-registry myregistrykey --docker-server=reg.westos.org --docker-username=admin --docker-password=Westos+001 --docker-email=**********@qq.com
kubectl describe secrets myregistrykey
kubectl get secrets myregistrykey -o yaml
kubectl apply -f pod.yaml
YiSean96
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kubernetes-server-linux-amd64.tar.gz
11-29
- **ConfigMap**与**Secret**:用于存储非敏感敏感的应用配置数据,提供安全的环境变量注入方式。 - **Ingress**:定义外部网络到服务内部的访问规则,支持负载均衡和路由。 2. **Kubernetes 1.21.0新特性**: ...
容器编排技术 -- Kubernetes kubectl create secret 命令详解
YunWisdom
08-28 4028
容器编排技术 -- Kubernetes kubectl create secret 命令详解 1kubectl create secret 2语法 3参考: kubectl create secret 使用指定的子命令创建secret。 语法 $ secret 参考: create docker-registry 命令 create secret generic...
Kubernetes(五)Kubernetes Volume详解
liu_weiliang10405的博客
04-01 1256
Volume的作用 一切container和它之中的数据都是临时的。如果container重启,这些数据会丢失。Volume用于container保存需要持久化的数据。这些数据也可以用于container共享。 Volume的概念 Docker中有volume的概念。在Docker中,volume是container中的一个目录。Volume没有生命周期的概念,volume中的数据只有储存在本地磁盘这一种形式。 Kubernetes的volume具有明确的生命空间。Volume生命周期比pod中运行
mysql源码安装
热门推荐
zengzehui的专栏
10-03 68万+
1、安装依赖            在安装mysql之前需要安装的依赖有make、bison、gcc-c++、cmake、ncurses            以上下载地址如下:             make编译器下载地址:http://www.gnu.org/software/make/             bison下载地址:http://www.gnu.org/softwar
kubernetes-secret-manager:使用Kubernetes集群中的Vault管理秘密
02-03
目标该项目的主要目的是允许从MySQL数据库请求动态机密,并使Kubernetes集群中的Pod能够使用这些动态密码。 机密应与租约相关联,以使它们在预定义的ttl之后过期,并且应在满足最大ttl之前旋转机密。 应当执行该实现...
secret-backup-operator:Kubernetes运算符用于备份机密
05-04
备份数据存储在另一个秘密<secret>-backup ,该<secret>-backup具有单个密钥BACKUP其中包含JSON编码列表中的秘密版本。设置为了能够在群集上运行此程序,您需要部署一个运行使用提供的Dockerfile构建的映像的...
terraform-kubernetes-docker-secret:创建Kubernetes Docker机密的Terraform模块
04-01
source = " bendrucker/docker-secret/kubernetes name = " dockerhub " namespace = " default " registries = { " https : // index.docker.io/v1/" = { username = " user " password = " password " } ...
HaProxy的配置方法(frontend和backend配置块、listen配置块)
YiSean96的博客
03-07 3429
一、listen模式 1、做反向代理 vim haproxy.cfg #listen模式 网页测试页面: 172.25.1.1:8080/status 代理测试页面: curl 172.25.1.1 2、haproxy没有单独提供日志。做一个监控日志 cat /var/log/haproxy vim /etc/rsyslog.conf systemctl restart rsys...
Docker<4>---公有仓库及私有仓库
YiSean96的博客
04-07 2190
Docker仓库 1、什么是仓库 Docker仓库是用来存放镜像的位置,Docker提供一个注册服务器(Register)来保存多个仓库,每个仓库又可以包含多个具备不同tag的镜像。 Docker运行中使用的默认仓库是Docker Hub公共仓库,可以i免费使用,也购买私有仓库。 在官方网站注册创建公共仓库并登陆网页创建 上传镜像 docker login #登陆帐号 docker...
Kubernetes练习<13>---动态存储分配器(NFS Client Provisioner)
YiSean96的博客
05-11 1552
官方文档: https://kubernetes.io/zh/docs/concepts/storage/storage-classes/ PV是运维人员来创建的,开发操作PVC,可是大规模集群中可能会有很多PV,如果这些PV都需要运维手动来处理这也是一件很繁琐的事情,所以就有了动态供给概念,也就是Dynamic Provisioning。而我们上面的创建的PV都是静态供给方式,也就是Static Provisioning。而动态供给的关键就是StorageClass,它的作用就是创建PV模板。 每个 St
Kubernetes练习<1>---k8s的安装部署
YiSean96的博客
04-16 1415
kubernetes,简称K8s,是用8代替8个字符“ubernete”而成的缩写。是一个开源的,用于管理云平台中多个主机上的容器化的应用,Kubernetes的目标是让部署容器化的应用简单并且高效(powerful),Kubernetes提供了应用部署,规划,更新,维护的一种机制。 1、传统的应用部署方式是通过插件或脚本来安装应用。这样做的缺点是应用的运行、配置管理、所有生存周期将与当前操作系...
Kubernetes练习<7>---Ingress 安装部署
YiSean96的博客
04-29 1125
一、Ingress 安装部署 官方网站地址: https://kubernetes.io/zh/docs/concepts/services-networking/ingress-controllers/ https://kubernetes.github.io/ingress-nginx/deploy/ 1、下载镜像 sudo wget https://raw.githubusercontent...
linux保持会话连接
YiSean96的博客
03-02 1028
linux保持会话连接 omcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP 程序的首选。对于一个初学者来说,可以这样认为,当在一台机器上配置好Apache 服务器,可利用它响应HTML(标准通用标记语言下的一个应用)页面的访问请求。实际上Tomcat是Apache 服务器的扩展,但运行时它是独...
ansible常用模块之文件操作
YiSean96的博客
03-28 961
ansible常用模块之文件操作 ansible-doc -l #获取所有模块 ansible-doc -s ping (1)fetch模块: dest:指定拉取受管主机文件到本地后存放的位置(必须) src:指定从受管主机中拉取哪个文件(必须) ansible testA -m fetch -a "src=/etc/fstab dest=/testdir/ansible" #从/etc/f...
持续集成与持续交付--通过dockerfile构建镜像,使用jenkins将镜像推送到gitlab仓库中(本机调用)
YiSean96的博客
07-13 920
一、docker+jenkins+gitlab–通过dockerfile构建镜像,使用jenkins将镜像推送到gitlab仓库中 1、先用本地docker主机== 在server3(jenkins主机上)安装docker wget https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo #添加软件源信息 vim docker-ce.repo yum -y install docker-ce #通常会有软件依赖性 cat /
Docker基础<11>---自定义网络共享本地yum源
YiSean96的博客
04-20 898
真机做一台属于自己的自定义yum源并通过http发布 在真机上配置搭建共享yum源,开启apache服务,关闭防火墙 (1)将自己需要的所有安装包放在一个目录里 mv /var/ftp/pub/docs/docker/docker-ce/* /var/www/html/docker/ cd docker/ [root@foundation1 docker]# ls containerd.io-1....
zibbx监控之API
YiSean96的博客
03-17 852
zibbx:API 官方网站介绍:https://www.zabbix.com/documentation/4.0/zh/manual/api API(Application Programming Interface,应用程序接口)是一些预先定义的函数,或指软件系统不同组成部分衔接的约定。 [1] 目的是提供应用程序与开发人员基于某软件或硬件得以访问一组例程的能力,而又无需访问原码,或理解内部...
zibbx自定义监控项-HTTP,Nginx
YiSean96的博客
03-17 813
*zibbx:自定义监控项 server2定义httpd监控项 yum install httpd -y systemctl start httpd server3定义Nginx监控项 1、安装编译nginx 2、更改配置文件 vim nginx.conf location /status{ stub_status on; access_log off; allow 127.0.0.1; de...
saltstack开源应用---自动化运维平台-SOMS
YiSean96的博客
06-03 734
六、用saltstack部署-saltstack自动化运维平台-SOMS https://github.com/binbin91/oms https://github.com/binbin91/oms/blob/master/deploy/saltapi.py [root@server1 ~]# vim saltapi.py [root@server1 ~]# python saltapi.py #出现错误 import ssl ssl._create_default_https_context
<artifactId>spring-cloud-starter-oauth2</artifactId> <version>2.2.5.RELEASE</version>如何配置
最新发布
06-09
其中,`<client-registration-id>` 是您为客户端应用程序分配的唯一标识符,`<client-id>` 和 `<client-secret>` 是您为客户端应用程序分配的 OAuth2 凭证,`<scope>` 是客户端应用程序请求的访问范围,`<provider-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值