(9)Kubernetes之Secret & Configmap

最新推荐文章于 2022-10-03 22:26:35 发布
最新推荐文章于 2022-10-03 22:26:35 发布
阅读量160 收藏
点赞数
分类专栏: # kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/allensandy/article/details/103515378
版权

 

Secret

应用启动过程中可能需要一些敏感信息,比如访问数据库的用户名、密码或者密钥。将这 些信息直接保存在容器镜像中显然不妥,Kubemetes提供的解决方案是Secret

Secret会以密文的方式存储数据,避免了直接在配置文件中保存敏感信息。Secret会以 Volume的形式被mountPod,容器可通过文件的方式使用Secret中的敏感数据;此外, 容器也可以环境变量的方式使用这些数据。

Secret可通过命令行或YAML创建。比如希望Secret中包含如下信息:用户名admin、 密码 123456

有四种方法创建Secret

(1) 通过 -from-literal 

(2) 通过 -from-file 

(3) 通过 -from-env-file 

(4) 通过 YAML

文件中的敏感数据必须是通过base64编码后的结果。

 

查看

# kubectl get secret
NAME                  TYPE                                  DATA   AGE
default-token-7zxpn   kubernetes.io/service-account-token   3      64d
mysecret              Opaque                                2      87s

--------------------------------------------------------------------------
# kubectl get secret mysecret
NAME       TYPE     DATA   AGE
mysecret   Opaque   2      3m56s
--------------------------------------------------------------------------

# kubectl describe  secret mysecret
Name:         mysecret
Namespace:    default
Labels:       <none>
Annotations:  <none>

Type:  Opaque

Data
====
password:  12 bytes
username:  5 bytes
--------------------------------------------------------------------------

# kubectl get secret mysecret -o yaml
apiVersion: v1
data:
  password: MWYyZDFlMmU2N2Rm
  username: YWRtaW4=
kind: Secret
metadata:
  creationTimestamp: "2019-12-12T12:01:08Z"
  name: mysecret
  namespace: default
  resourceVersion: "1807327"
  selfLink: /api/v1/namespaces/default/secrets/mysecret
  uid: a74b1683-fd2e-4b7c-983a-86e8e57939de
type: Opaque

 

在pod中使用Secret

1、volume方式

1.1、将Secret挂载到Volume中

apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: mypod
    image: redis
    volumeMounts:
    - name: foo
      mountPath: "/etc/foo"
      readOnly: true
  volumes:
  - name: foo
    secret:
      secretName: mysecret

进入Pod查看挂载的Secret:

# ls /etc/secrets
password  username
# cat  /etc/secrets/username
admin
# cat  /etc/secrets/password
1f2d1e2e67df

也可以只挂载Secret中特定的key:

apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: mypod
    image: redis
    volumeMounts:
    - name: foo
      mountPath: "/etc/foo"
      readOnly: true
  volumes:
  - name: foo
    secret:
      secretName: mysecret
      items:
      - key: username
        path: my-group/my-username

在这种情况下:

  • username 存储在/etc/foo/my-group/my-username中
  • password未被挂载

1.2、将Secret设置为环境变量

apiVersion: v1
kind: Pod
metadata:
  name: secret-env-pod
spec:
  containers:
  - name: mycontainer
    image: redis
    env:
      - name: SECRET_USERNAME
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: username
      - name: SECRET_PASSWORD
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: password
  restartPolicy: Never

 需要注意的是,环境变量读取Secret很方便,但无法支撑Secret动态更新。

ConfigMap

Secret可以为Pod提供密码、Token私钥等敏感数据;对于一些非敏感数据,比如应用的配置信息,则可以用ConfigMap。

ConfigMap的创建和使用方式与Secret非常类似,主要的不同是数据以明文的形式存放。

(1) 通过 -from-literal 

(2) 通过 -from-file 

(3) 通过 -from-env-file 

(4) 通过 YAML

apiVersion: v1
kind: ConfigMap
metadata:
  name: special-config
data:
  config1: xxx
  config2: yyy

1.1 volume方式使用

1.2 环境变量方式使用

 

^果然好^
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kubernetessecretconfigmap
coisini-ye
07-25 283
一、用kubernetes管理机密信息 应用启动过程中可能需要一些敏感信息,比如访问数据库的用户名密码或者秘钥,将这些信息直接保存在容器镜像中显然不妥,kubernetes提供了解决方案是secret secret资源对象:解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。 secret可通过命令行或YAML创建。比如希望secret包含如下信息: ...
Kubernetes详解(四十)——SecretConfigMap
永远是少年
05-06 607
今天继续给大家介绍Linux运维相关知识,本文主要内容是SecretConfigMap。 一、背景 二、Secret详解 三、ConfigMap详解
kubernetes ConfigMapSecret
weixin_34177064的博客
04-10 523
1 容器化应用配置方式概述 1 启动时直接向命令传递参数 docker 容器可用来运行单个应用程序,在制作docker镜像时,Dockerfile中的ENTRYPOINT 和 CMD 指令可用于指定容器启动时要运行的程序及相关的参数,CMD 指令以列表的形式指定要运行的程序及相关的参数,但若同时存在ENTRYPOINT指令,则CMD指令列表中的所有元素都被视为是ENTRYPOINT中程序的命令...
KubernetesSecretConfigMap实践
bright的博客
03-08 367
1.SecretSecret解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。1.1Secret类型Secret有三种类型:Opaque:base64编码格式的Secret,用来存储密码、密钥等;但数据也通过base64 –decode解码得到原始数据,所有加密性很弱。kubernetes...
Kubernetes进阶实战》第八章《配置容器应用:ConfigMapSecret
紫色飞猪
01-19 833
configmapsecret PV和PVC是借助于StorageClass来分配磁盘的如何给Pod传配置信息: 两种方式: 1.把configmap关联到一个pod上,传递给pod内部的一个变量,注入的方式给容器传配置信息 2.配置卷,将配置文件映射到外面的路径 configmapkubernetes上扮演了kubernetes的配置中心的功能 Pod启动时候讲configmap打包为...
synator:Synator Kubernetes SecretConfigMap同步器
04-23
Synator Kubernetes SecretConfigMap同步器 有时,我们想在不同的名称空间中使用机密,不幸的是,我们不能没有任何辅助运算符或手动复制,因为在kubernetes中,机密和configmaps是名称空间。 当我们有几个命名空间...
ConfigMapSecret
01-20
ConfigMapSecret 为什么有这两个东西: 我们在kubernetes上部署应用的时候,经常会需要传一些配置给我们的应用,比如数据库地址啊,用户名密码啊之类的。我们要做到这个,有好多种方案,比如: 我们可以直接在打包...
kube-configmap-secret-update:Kubernetes滚动更新ConfigMap和秘密更改
05-08
Kubernetes滚动更新ConfigMap和秘密更改 的了使用此存储库的详细说明。 通过运行./nginx-config-example.sh部署nginx-config-example.yml 在以下URL上查看两个网站: 前端网站: 后端网站: 用户名: admin ...
023 Kubernetes的pv、pvc、configmapsecret.mp4
05-07
023 Kubernetes的pv、pvc、configmapsecret.mp4
k8s-resource-replicator:Kubernetes运算符可通过可选的JSON Patch自定义转换在名称空间之间复制资源(例如ConfigMapSecret等)
04-10
Kubernetes资源复制器 一个非常精简和快速的Kubernetes运算符,它允许跨命名空间复制资源(例如ConfigMapSecret等)。 它还支持操作,以轻松转换有效负载。 CRD实例的示例: apiVersion : shopstic....
kubernetesConfigMapSecret
qq_41619571的博客
10-03 2161
1. Secret 是一种包含少量敏感信息,例如密码、token 或 key 的对象这样的信息可能会被放在Pod spec 中或者镜像中;将其放在一个secret 对象中可以更好地控制它的用途,并降低意外暴露的风险2.ConfigMap 主要解决配置文件的存储问题,而Secret 主要用来解决密码、token、秘钥等敏感数据①在创建、查看和编辑Pod的流程中Secret 暴露风险较小②系统会对Secret 对象采取额外的预防措施,例如避免将其写入磁盘中可能的位置③。
关于 Kubernetessecretconfigmap实操的一些笔记
山河已无恙
12-12 1863
我不再装模作样地拥有很多朋友,而是回到了孤单之中,以真正的我开始了独自的生活。有时我也会因为寂寞而难以忍受空虚的折磨,但我宁愿以这样的方式来维护自己的自尊,也不愿以耻辱为代价去换取那种表面的朋友。 ——余华《在细雨中呼喊》
KubernetesConfigMapSecret
每天都要开心呀(#^.^#)
05-24 359
一文搞懂kubernetes中两种特殊类型的卷ConfigMapSecret
kubernetessecretconfigmap
syztoo
09-12 518
在日常单机甚至集群状态下,我们需要对一个应用进行配置,只需要修改其配置文件即可。那么在容器中又该如何提供配置信息呢???例如,为Nginx配置一个指定的server_name或worker进程数,为Tomcat的JVM配置其堆内存大小。 传统的实践过程中通常有以下几种方式: 启动容器时,通过命令传递参数; 将定义好的配置文件通过镜像文件进行写入; 通过环境变量的方式传递配置数据; 挂载D...
k8s之configmapsecret向Pod注入配置数据
yrx420909的博客
04-27 2381
1.configmap configmapsecret是两种特殊的存储卷,它们不是给pod提供存储空间用的,而是给管理员或者用户提供了从外部向pod内部注入信息的方式. configmap:把配置文件放在配置中心上,然后多个pod读取配置中心的配置文件,不过,configmap中的配置信息都是明文的,所以不安全; secret:功能和configmap一样,只不过配置中心存储的配置文件不是明文的...
Kubernetes-Configmap配制映射、Secret用法及示例
Step by Step...
11-29 1821
1、ConfigMap 几乎所有应用程序都会涉及到配置问题,configmap的作用就是方便管理应用配置 创建configmap可以从目录,文件或者字符,格式: kubectl create configmap 从目录创建configmap:game-config 目录中的每一个文件名:内容,在这个configmap下是一对k:v 创建 mkdir configmap wget https:/...
[置顶] kubernetes资源对象--ConfigMap
ddk4044的博客
08-11 295
原理 很多生产环境中的应用程序配置较为复杂,可能需要多个config文件、命令行参数和环境变量的组合。使用容器部署时,把配置应该从应用程序镜像中解耦出来,以保证镜像的可移植性。尽管Secret允许类似于验证信息和秘钥等信息从应用中解耦出来,但在K8S1.2前并没有为了普通的或者非secret配置而存在的对象。在K8S1.2后引入ConfigMap来处理这种类型的配置数...
(2.1)kubeadm部署k8s(原创)
allensandy的博客
10-09 8099
目录 1、kubernetes 官方提供的三种部署方式 2、安装前的准备 2.1、查看centos版本 2.2、关闭防火墙 2.3、关闭setlinux 2.4、关闭swap 2.5、master与node创建密钥 2.6、安装同步时钟 2.7、内核调整,将桥接的IPv4流量传递到iptables的链 3、安装kubernetes和docker 4、启动kubernet...
(6.1)Kubernetes的Sevice服务间调用
allensandy的博客
03-05 5200
1、场景1 选择器(selector) 在k8s上运行了两个pod(replicas: 2),我们通过Service来整合这两个pod。在创建 Service 时,就要通过选择器(selector)来获取符合条件的 Pod 进行整合。同过Service整合不仅能成功访问,而且还提供了负载均衡的功能。 step1:创建两个pod apiVersion: v1 kind: Service m...
Kubernetes中的ConfigMapSecret有什么区别
最新发布
02-17
Kubernetes中,ConfigMapSecret都是用来存储应用程序或容器所需的配置信息的对象。它们的区别在于: 1. 数据类型:ConfigMap存储的是纯文本数据,而Secret存储的是加密后的数据。 2. 安全性:ConfigMap存储的数据是明文的,因此不适合存储敏感数据,如密码和证书等。而Secret存储的数据是加密的,可以安全地存储敏感数据。 3. 使用场景:ConfigMap适合存储应用程序的配置信息,如环境变量和配置文件等。Secret则适合存储敏感的配置信息,如数据库密码、API密钥和TLS证书等。 4. 访问控制:ConfigMapSecret都可以通过Kubernetes中的RBAC机制进行访问控制。但是,Secret可以更细粒度地控制访问权限,允许不同的用户或应用程序访问不同的Secret对象。 总之,ConfigMapSecret都是用来存储配置信息的对象,但它们适用于不同的场景和数据类型,具有不同的安全性和访问控制方式。在使用它们时,需要根据实际需求进行选择。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值