Kubernetes 之 Secret

最新推荐文章于 2024-11-04 15:02:07 发布
最新推荐文章于 2024-11-04 15:02:07 发布
阅读量277 收藏
点赞数 3
分类专栏: 运维 kubernetes 文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_34688878/article/details/139411995
版权

Kubernetes 之 Secret

Secret 的定义

Secret 解决了密码、token、秘钥等敏感数据的配置问题,它避免了把这些敏感数据直接暴露在镜像或者 Pod 的配置文件中。但是它只是一种相对安全的策略,我们还是可以在容器内找到这些信息。

Secret 的认证方式

认证方式描述
Generic用来给通用字符串进行加密
TLS用来加密 HTTPS、SSH 等密钥
Docker Registry用来加密 Docker 仓库登录凭证

Secret 的使用

Secret 也存在多种加密类型,我们用其最常见的Base64加密方式Opaque

apiVersion: v1
kind: Secret
metadata:
  name: secret-mysql
type: Opaque
data:
  MYSQL_ROOT_PASSWORD: Q2hhbmdlTWU=

root@k8s-master1:~# kubectl describe secret/secret-mysql
Name:         secret-mysql
Namespace:    default
Labels:       <none>
Annotations:  <none>

Type:  Opaque

Data
====
MYSQL_ROOT_PASSWORD:  8 bytes

apiVersion: v1
kind: Pod
metadata:
  name: pod-secret
spec:
  containers:
    - name: secret-test
      image: busybox
      command: [ "/bin/sh", "-c", "sleep 3600" ]
      env:
        - name: MYSQL_ROOT_PASSWORD
          valueFrom:
            secretKeyRef:
              name: secret-mysql
              key: MYSQL_ROOT_PASSWORD
      volumeMounts:
        - name: volume-secret
          mountPath: /etc/mysql
  volumes:
    - name: volume-secret
      secret:
        secretName: secret-mysql
  restartPolicy: Never


root@k8s-master1:~# kubectl exec -it pod-secret -- /bin/sh
/ # env
KUBERNETES_PORT=tcp://10.96.0.1:443
KUBERNETES_SERVICE_PORT=443
HOSTNAME=pod-secret
SHLVL=1
HOME=/root
MYSQL_ROOT_PASSWORD=ChangeMe
TERM=xterm
KUBERNETES_PORT_443_TCP_ADDR=10.96.0.1
PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
KUBERNETES_PORT_443_TCP_PORT=443
KUBERNETES_PORT_443_TCP_PROTO=tcp
KUBERNETES_PORT_443_TCP=tcp://10.96.0.1:443
KUBERNETES_SERVICE_PORT_HTTPS=443
KUBERNETES_SERVICE_HOST=10.96.0.1
PWD=/
/ # cat /etc/mysql/MYSQL_ROOT_PASSWORD
ChangeMe
/ #
千度2016
关注
专栏目录
云原生kubernetessecret原理详解与应用实战
景天科技苑
06-04 2万+
对于一些敏感数据,如密码、私钥等数据时,要用secret类型。 Secret解决了密码、token、秘钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。 Secret可以以Volume或者环境变量的方式使用。 要使用 secret,pod 需要引用 secret。Pod 可以用两种方式使用 secret: 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里, 或者当 kubelet 为 pod 拉取镜像时使用。
K8S第一讲 KubernetesSecret详解
程序员路同学
04-23 587
K8S第一讲 k8s之Secret详解
kubernetesSecret
格子的博客
05-24 518
Secret 解决了密码、Token、秘钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Spec 中。Secret可以以 Volume 或者环境变量的方式使用。 使用 Secret 意味着你不需要在应用程序代码中包含机密数据。
KubernetesSecret
qq_33906471的博客
05-08 453
ConfigMap这个资源对象是Kubernetes当中非常重要的一个对象,一般情况下ConfigMap是用来存储一些非安全的配置信息,如果涉及到一些安全相关的数据的话用ConfigMap就非常不妥了,因为ConfigMap是名为存储的,我们说这个时候我们就需要用到另外一个资源对象了:Secret,Secret用来保存敏感信息,例如密码、OAuth 令牌和 ssh key等等,将这些信息放在Secret中比放在Pod的定义中或者docker镜像中来说更加安全和灵活。
KubernetesSecret 详解
升仔聊编程的博客
12-27 601
在微服务和容器化环境中,敏感数据的管理是一个重要且挑战性的问题。KubernetesSecret 对象提供了一种在集群中安全地存储和管理敏感数据(如密码、密钥、证书等)的机制。Kubernetes 中的 Secret 是管理敏感数据的有效工具。通过正确地使用和保护 Secret,可以确保敏感数据在 Kubernetes 环境中的安全性。理解和熟练使用 Secret 对于维护一个安全且高效的 Kubernetes 集群至关重要。
kubernetes系列】KubernetesSecret凭证
margu_168的博客
07-05 1195
如果–service-account-key-file=未传入任何值,那么将默认使用–tls-private-key-file的值,即API Server的私钥。它们都通过mount 的方式挂载到 pod 中,其中 token 保存的路径是 /var/run/secrets/kubernetes.io/serviceaccount/token ,是 kube-controller-manager 通过–service-account-private-key-file私钥签发的token;
kubernetessecret
weixin_30341735的博客
08-27 743
Secret解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。 Secret类型: Opaque:base64编码格式的Secret,用来存储密码、密钥等;但数据也通过base64 –decode解码得到原始数据,所有加密性很弱。 kubernetes.io/docke...
KubernetesSecret
专注于数据库技术分享,包含但不限于Oracle,MySQL,PostgreSQL,ElasticSearch及国产数据库等
05-15 564
Kubernetes 中,Secret 是一种用来存储敏感信息的对象,如密码、OAuth 令牌和 SSH 密钥等。Secret 允许你将这些敏感数据安全地传递给 Pods 中的容器,而无需在配置文件或镜像中硬编码这些信息。Kubernetes 会对 Secret 数据进行加密存储,并在使用时解密。
Kubernetes-Secret
「 虚幻私塾」
01-25 621
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 1. 简介 Secret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 这样的信息可能会被放在 Pod 规约中或者镜像中。 使用 Secret 意味着你不需要在应用程序代码中包含机密数据。 由于创建 Secret 可以独立于使用它们的 Pod, 因此在创建、查看和编辑 P
Kubernetes Secret简介
驰兔的博客
03-10 830
Secret用来保存敏感信息,例如密码、OAuth 令牌和 ssh key等等,将这些信息放在Secret中比放在Pod的定义中或者docker镜像中来说更加安全和灵活。
Kubernetes学习之Secret
Micky_Yang的博客
08-30 1429
一、认识Secret   Secret资源的功能类似于ConfigMap,但是它专用于存放敏感数据,例如密码、数字证书、私钥、令牌和SSH key等。   Secret对象存储数据的方式及使用方法类似于ConfigMap对象,以键值对方式存储数据,在Pod资源中通过环境变量或存储卷进行数据访问。不同的是,Secret对象仅会被分发至调用了此对象的Pod资源所在的工作节点,且只能由节点将其存储于内存中。另外,Secret对象的数据的存储及打印格式为Base64编码的字符串,因此用户在创建Secret对象时也要
Kubernetes(K8s)相关漏洞介绍
weixin_45945976的博客
10-31 498
Kubernetes Image Builder通过Proxmox Provider构建的VM镜像中存在默认凭证漏洞(SSH账户builder/builder),由于这些默认凭证未在镜像构建完成后被修改或禁用,导致未授权攻击者可以利用它们通过SSH连接到使用受影响镜像的虚拟机,从而获得对目标节点的访问权限。这些只是一部分已知的Kubernetes安全漏洞,实际的安全风险可能更多,因此,定期更新和打补丁、遵循最佳实践进行安全管理是非常重要的。:集群内部的服务间通信如果没有充分加密,可能导致数据泄露。
k8s 查看cpu使用率最高的pod
u010674101的专栏
10-31 699
Kubernetes 中,可以使用命令查看 Pod 的资源使用情况,从而找到 CPU 使用率最高的 Pod。
K8s核心组件全解析
weixin_46619605的博客
10-31 1515
K8s核心组件全解析。
K8s 容器的定向调度与亲和性
KubeSphere
10-30 1323
K8s 集群节点 CPU 使用率高!内存溢出(OOM)!宕机!导致大量微服务瘫痪怎么办?可能是调度策略没做好,看完这篇文章掌握提高集群稳定性的管理诀窍。Kubernetes(K8s)是一个开源的容器编排工具,而容器调度是其非常重要的特性,所谓的调度是指将容器(Pod)分配到集群中的节点上运行的过程。为了更好地控制容器的调度,K8s 提供了多种调度策略,其中包括定向调度和亲和性策略。在实际的 K8s 集群维护场景中,合理使用这些调度策略,对集群的稳定性至关重要。
在k8s环境中如何在本地和pod之间同步文件?
云笔记
10-30 1070
这是一个 Kubernetes CLI 插件,用于在 Kubernetes 上的 Pod 中同步和执行本地文件。通过以上方法,可以有效地在本地和 Kubernetes 的 Pod 之间实现文件的同步与共享,选择合适的方法取决于具体的使用场景和需求。这样,当本地目录中的文件发生变化时,ksync 会自动将更改同步到指定的 Pod 中[3][4]。:在同一个 Pod 内的多个容器之间,可以使用共享卷来实现文件的同步。实现,可以快速同步本地代码到运行中的容器中,非常适合开发环境。访问这些文件[1]。
k8s 排查集群中故障节点
u010674101的专栏
10-31 601
通过上述方法可以排查出节点故障原因,比如资源耗尽、服务故障、网络中断等。根据具体问题采取相应的措施,如重启服务、增加资源、调整网络配置等,从而恢复节点正常状态。
【K8S系列】Kubernetes 中 Pod 无法通过 Service 名称访问服务的 DNS 解析失败问题【已解决】
颜淡慕潇
10-30 8122
Kubernetes 中,Service 提供了一种稳定的方式,通过名称访问一组 Pod。当其他 Pod 无法通过 Service 名称访问服务,并且出现 DNS 解析失败时,通常会导致应用无法正常工作。本文将详细分析此问题的常见原因及其解决方案。
【K8S系列】Kubernetes 中 Service 的流量不均匀问题【已解决】
最新发布
颜淡慕潇
11-04 1395
Kubernetes 中,Service 是一种抽象,用于定义一组 Pod 的访问策略。当某些 Pod 接收的流量过多,而其他 Pod 的流量较少时,可能会导致负载不均衡。这种情况不仅影响性能,还可能导致某些 Pod 过载,影响应用的可用性。本文将详细分析此问题的原因及其解决方案。
Kubernetes Secret 的几种类型
02-21
Kubernetes Secret 有四种类型:Opaque、Service Account、docker-registry 和 tls。Opaque 是最常用的类型,用于存储任意类型的数据;Service Account 用于存储服务帐户信息;docker-registry 用于存储对私有的 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值