kubernetes-如何解决环境变量中敏感信息带来的安全隐患

最新推荐文章于 2023-02-04 15:00:00 发布
最新推荐文章于 2023-02-04 15:00:00 发布
阅读量502 收藏
点赞数
分类专栏: kubernates 文章标签: kubernetes 容器 运维 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/apple_56973763/article/details/127777398
版权

1.统一环境变量的优点

  1. 环境变量中存在很多的敏感信息,比如账号密码,直接存在放yaml文件中存在很大的安全性问题
  2. 方便维护管理环境变量
  3. 对于开发、测试、生成环境,由于配置的不同。如果不进行管理就需要修改部署yaml,就将带来额外的开销

2.kubernetes提供configMap与Secret实现业务配置的统一管理

配置统一管理的思想:将配置文件与镜像文件分离,使得容器化的应用程序具有可移植性

在这里插入图片描述

2.1 configMap,通常用来管理应用的配置文件或者环境变量

定义configMap

apiVersion: v1
kind: ConfigMap
metadata:
  name: myblog
  namespace: shi
data:
  MYSQL_HOST: "127.0.0.1"
  MYSQL_PORT: "3306"

创建与查看configmap

$ kubectl create -f configmap.yaml
$ kubectl -n luffy get cm myblog -oyaml

使用txt文件创建configmap,注意创建命令的不同

$ cat configmap.txt
MYSQL_HOST=127.0.0.1
MYSQL_PORT=3306
$ kubectl create configmap myblog --from-env-file=configmap.txt

2.2 Secret,管理敏感类的信息,默认会base64编码存储,有三种类型

  • Service Account :用来访问Kubernetes API,由Kubernetes自动创建,并且会自动挂载到Pod的/run/secrets/kubernetes.io/serviceaccount目录中;创建ServiceAccount后,Pod中指定serviceAccount后,自动创建该ServiceAccount对应的secret;
  • Opaque : base64编码格式的Secret,用来存储密码、密钥等;
  • kubernetes.io/dockerconfigjson :用来存储私有docker registry的认证信息。

定义Secret

apiVersion: v1
kind: Secret
metadata:
  name: myblog
  namespace: shi
type: Opaque
data:
  MYSQL_USER: cm9vdA==        #注意加-n参数, echo -n root|base64
  MYSQL_PASSWD: MTIzNDU2

创建并查看Secret

$ kubectl create -f secret.yaml
$ kubectl -n luffy get secret

使用txt文件创建Secret

$ cat secret.txt
MYSQL_USER=root
MYSQL_PASSWD=123456
$ kubectl -n luffy create secret generic myblog --from-env-file=secret.txt

3.configMap与Secret在yaml中的使用

configMap

 - name: MYSQL_HOST
      valueFrom:
        configMapKeyRef:
          name: myblog
          key: MYSQL_HOST

Secret

- name: MYSQL_ROOT_PASSWORD
      valueFrom:
        secretKeyRef:
          name: myblog
          key: MYSQL_PASSWD

完整yaml

apiVersion: v1
kind: Pod
metadata:
  name: mysql
  namespace: shi2
  labels:
    component: mysql
spec:
  hostNetwork: true    # 声明pod的网络模式为host模式,效果同docker run --net=host
  volumes: 
  - name: mysql-data
    hostPath: 
      path: /opt/mysql/data
  nodeSelector:   # 使用节点选择器将Pod调度到指定label的节点
    component: mysql
  containers:
  - name: mysql
    image: mysql:5.7
    args:
    - --character-set-server=utf8mb4
    - --collation-server=utf8mb4_unicode_ci
    ports:
    - containerPort: 3306
    env:
    - name: MYSQL_USER
      valueFrom:
        secretKeyRef:
          name: myblog
          key: MYSQL_USER
    - name: MYSQL_ROOT_PASSWORD
      valueFrom:
        secretKeyRef:
          name: myblog
          key: MYSQL_PASSWD
    - name: MYSQL_DATABASE
      valueFrom:
        configMapKeyRef:
          name: myblog
          key: MYSQL_DATABASE
    resources:
      requests:
        memory: 100Mi
        cpu: 50m
      limits:
        memory: 500Mi
        cpu: 100m
    readinessProbe:
      tcpSocket:
        port: 3306
      initialDelaySeconds: 5
      periodSeconds: 10
    livenessProbe:
      tcpSocket:
        port: 3306
      initialDelaySeconds: 15
      periodSeconds: 20
    volumeMounts:
    - name: mysql-data
      mountPath: /var/lib/mysql
lookNo施
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot整合Jasypt实现配置文件敏感信息加密
weixin_59930657的博客
01-25 449
Jasypt是一个专门用于为属性文件的属性提供加密功能的工具。在应用程序开发,我们通常需要在配置文件存储一些敏感信息,如数据库密码等。若这些信息被不良分子窃取,将会带来严重的安全风险。
PHP安全 [环境变量]
weixin_45253622的博客
05-25 479
超全局变量 PHP的许多预定义变量都是“超全局的”,这意味着它们在一个脚本的全部作用域都可用。在函数或方法无需执行global $variable;就可以访问它们∶ $GLOBALS ,$_SERVER,$_GET,$_POST ,$_FILES , $_COOKIE,$_SESSION ,$_REQUEST、$_ENV 它们受到variables_order变量的控制。 $_SERVER PHP环境变量允许开发者的脚本从服务器动态收集某些类型的数据。保证PHP程序在不同服务器正确运行。例
软件安全(二)通过环境变量实现攻击
qq_44109982的博客
12-15 749
环境变量是存储在进程内存的键值对(name-value pair),用户可以在运行程序前设置环境变量,程序运行时,环境变量会被程序隐式或显示地使用,这为用户通过改变环境变量来影响程序行为提供了可能性 2.1环境变量 访问环境变量: void main(int argc,char * argv[ ],char * envp[]) main函数的第三个参数就指向了环境变量数组,在main函数,可以使用的envp[ ]数组来获取环境变量值。 此外,还可以通过environ(char * *)这个全局变量来
Ubuntu环境变量添加的安全方法
std::cout"helloworld"std::endl
09-02 182
vim /etc/profile文件(尾部) export PATH=/home/azheng/application/appxxxxxx:$PATH 别的方式容易引起问题...     当然也可以不通过添加环境变量的方法解决问题: 在/usr/bin目录添加文件: 文件名:sublime_text #!/bin/sh exec /opt/sublime_text/subl...
蚂蚁是如何改进 K8s 集群敏感信息的安全防护的?
javagty6778的博客
02-04 149
Kubernetes ,Secret 显得尤其重要。因为它是 K8s 存储所有敏感信息的对象。据悉,这些敏感信息包含密码、集群的证书、OAuth token、ssh key 以及其他用户自定义的敏感文件等。因此,一旦 K8s Secret 出现安全问题,后果将非常严重。此外,虽然社区提供了一定的安全防护方案,但是依然存在诸多问题。K8s Secret 面临着哪些安全问题?这些安全问题会带来什么影响?社区提供的解决方案存在哪些不足?
linux安全
qq_23435961的博客
04-12 526
linux安全
kubernetes-server-linux-amd64.tar
最新发布
01-17
在实际应用,"kubernetes-server-linux-amd64.tar"的部署并不止于基本的安装,还包括配置自定义的存储解决方案(如持久卷)、服务发现、负载均衡、自动扩展、安全策略等。Kubernetes的生态系统丰富,包括Ingress、...
kubernetes-server-linux-amd64.tar.gz 安装包
08-28
这个"**kubernetes-server-linux-amd64.tar.gz**"安装包包含了在基于Linux的AMD64架构系统上部署Kubernetes集群所需的核心组件。该版本是v1.20.15,这是一款稳定版本,提供了大量的修复和优化。 Kubernetes主要由...
kubernetes-server-linux-amd64.tar.gz
08-28
在这个场景,我们关注的是针对Linux AMD64架构的Kubernetes 1.25.10服务器二进制安装包——"kubernetes-server-linux-amd64.tar.gz"。这个压缩包包含了在AMD64平台上运行Kubernetes集群所需的所有核心组件。 首先...
kubernetes-oom-event-generator:当Pod的容器被OOMKilled后,生成Kubernetes事件
02-03
kubernetes-oom-event-generator 容器启动时生成Kubernetes事件,并指示该容器先前已被杀死。设计控制器侦听Kubernetes API的新事件和事件更改。 每次收到有关事件的通知时,它都会根据事件的Reason和所涉及对象的...
kubernetes-event-exporter:通过路由和过滤将Kubernetes事件导出到多个目标
02-03
kubernetes-event-exporter 该工具在上。 该工具允许将经常错过的Kubernetes事件导出到各种输出,以便可以将它们用于可观察性或警报目的。 您不会相信所缺少的。 部署方式 继续deploy/文件夹并以给定的文件名顺序...
DevSecOps 需要知道的十大 K8s 安全风险及建议
分享平台工程、应用部署的最佳实践
12-28 639
Kubernetes (K8s)是现代云原生世界容器管理平台。它实现了灵活、可扩展地开发、部署和管理微服务。K8s 能够与各种云提供商、容器运行时接口、身份验证提供商和可扩展集成点一起工作。然而。根据 Red Hat 的 2022 年 K8s 安全报告,在过去 12 个月的过程,几乎所有参与研究的 K8s 用户都经历过至少一次安全事件。因此,可以说 K8s 环境在默认情况下并不安全,并且容易面临风险。本文将讨论 10 大 K8s 安全风险,并就如何避免这些风险给出提示。
技术交流|Dockerfile RUN 后面的敏感信息检测
weixin_43742792的博客
11-04 794
在云场景的攻防,当我们控下一个私有云的仓库的时候,通过运行某个自动化工具,将一些敏感信息提取出来。
【k8s】k8s存储配置之Secret
sl963216757的博客
07-11 1220
一、Secret 01_Secret简介 Secret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 将这些信息放在 secret 比放在 Pod 的定义或者 容器镜像 来说更加安全和灵活。 这样的信息可能会被放在 Pod 规约或者镜像。 用户可以创建 Secret,同时系统也创建了一些 Secret。 Kubernetes Secret 默认情况下存储为 base64-编码的、非加密的字符串。 默认情况下,能够访问 API 的任何人,或者能够访问 Kubernetes 下层数据存储(etcd
K8S之应用配置管理
潮听哥的博客
09-15 1049
可变配置:ConfigMap 敏感信息:Secret 身份认证:ServiceAccount 资源配置:Spec.Containers[].Resources.limits/requests 安全管控:Spec.Containers[].SecurityContext 前置校验:Spec.InitContainers
k8spod的环境变量,InitContainer初始化容器
huahua1999的博客
04-06 6301
1、pod环境变量 k8s在容器创建时,有些容器会有需要使用变量的情况,常见的例如mysql这类容器可以通过创建的变量来修改用户名密码等。而在创建 Pod 时,可以为其下的容器设置环境变量。 应用场景: • 容器内应用程序希望获取Pod信息容器内应用程序希望通过用户定义的变量改变默认行为 变量值几种定义方式: • 自定义变量值 • 变量值从Pod属性获取 • 变量值从Secret、ConfigMap获取 测试 写一个测试yaml(在官网找到的示例) api...
k8s管理机密信息
PpikachuP的博客
04-30 581
Secret介绍: 应用启动过程可能需要一些敏感信息,比如访问数据库的用户名密码或者秘钥。将这些信息直接保存在容器镜像显然不妥,Kubernetes 提供的解决方案是 Secret。 Secret 会以密文的方式存储数据,避免了直接在配置文件保存敏感信息。Secret 会以 Volume 的形式被 mount 到 Pod,容器可通过文件的方式使用 Secret 敏感数据;此外,容...
不要把敏感信息写在k8s的env上
cumt_TTR的专栏
12-24 421
原因: 执行k exec podName env就会把敏感信息打印在屏幕上,如果你的env里有数据库相关信息就全部暴露了
k8s往secret里导入证书_蚂蚁是如何改进k8s集群敏感信息的安全防护的?
weixin_35207054的博客
12-22 101
Kubernetes,Secret显得尤其重要。因为它是K8s存储所有敏感信息的对象。据悉,这些敏感信息包含密码、集群的证书、OAuth token、ssh key以及其他用户自定义的敏感文件等。因此,一旦K8sSecret出现安全问题,后果将非常严重。此外,虽然社区提供了一定的安全防护方案,但是依然存在诸多问题。K8s Secret面临着哪些安全问题?这些安全问题会带来什么影响...
kubectl -n kubernetes-dashboard create token kubernetes-dashboard
05-23
这个命令会在 kubernetes-dashboard 命名空间创建一个新的 token,用于访问 Kubernetes Dashboard。但是,这个命令是不完整的,需要提供 token 的具体信息。完整的命令应该是: ``` kubectl -n kubernetes-dashboard create serviceaccount dashboard-admin kubectl -n kubernetes-dashboard create clusterrolebinding dashboard-admin --clusterrole=cluster-admin --serviceaccount=kubernetes-dashboard:dashboard-admin kubectl -n kubernetes-dashboard describe secret $(kubectl -n kubernetes-dashboard get secret | grep dashboard-admin | awk '{print $1}') ``` 这个命令会创建一个名为 dashboard-admin 的 ServiceAccount,并将其与 cluster-admin 角色进行绑定。然后,它将输出一个 secret 的名称,你可以使用该 secret 的 token 来访问 Kubernetes Dashboard。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值