K8S从secret文件生成密钥

最新推荐文章于 2024-08-23 13:41:12 发布
最新推荐文章于 2024-08-23 13:41:12 发布
阅读量2.1k 收藏
点赞数
分类专栏: kubernetes
原文链接:https://www.cnblogs.com/cheyunhua/p/13358735.html
版权

K8S从secret文件生成密钥后,如何更新Kubernetes上的密钥呢?

 

 

前提

生成密钥配置

kubectl -n cattle-system create secret tls tls-rancher-ingress --cert=./tls.crt --key=./tls.key

openssl genrsa -out devops.key 2048
openssl req -new -x509 -key devops.key -out devops.crt -subj /C=CN/ST=Shanghai/L=Shanghai/O=DevOps/CN=devops.ailab.lenovo.com
kubectl -n devops create secret tls anywhere-secret --cert=./devops.crt --key=./devops.key --dry-run -o yaml > secret.yaml

 

方法一

相信大多数的人第一反应,是先删除,再重新创建secret

kubectl delete secret tls-rancher-ingress -n cattle-systemkubectl -n cattle-system create secret tls tls-rancher-ingress --cert=./tls.crt --key=./tls.key

但是此方法存在明显的问题:在删除新建secret的空窗期,是存在风险,平时测试或者不大常用的服务还可以尝试,但是在访问活跃的情况下,会导致大量的异常请求。

方法二

通过--dry-run参数预览,然后apply

kubectl -n cattle-system create secret tls tls-rancher-ingress --cert=./tls.crt --key=./tls.key --dry-run -o yaml |kubectl apply  -f -

方法二在创建secret的时候,添加了--dry-run的参数,具体使用方法可参考https://kubernetes.io/docs/reference/generated/kubectl/kubectl-commands,该参数的主要作用是预览要发送到集群的对象,而无需真正提交。该方法较方法一更优雅简单

方法三

使用jq的=或|=运算符来动态更新密钥

TLS_KEY=$(base64 < "./tls.key" | tr -d '\n')TLS_CRT=$(base64 < "./tls.crt" | tr -d '\n')
kubectl get secrets tls-rancher-ingress -o json \        | jq '.data["tls.key"] |= "$TLS_KEY"' \        | jq '.data["tls.crt"] |= "$TLS_CRT"' \        | kubectl apply -f -

方法三尽管它可能不像kubectl create secret tls --dry-run方法那样优雅或简单,但从技术上讲,此方法实际上是在更新值,而不是删除/重新创建它们。还需要jqbase64(或openssl enc -base64)命令,tr是一种常用的Linux实用程序,用于修剪尾随换行符。

K8S从secret文件生成密钥后,如何更新Kubernetes上的密钥呢?

 

 

月夜楓
关注
专栏目录
Kubernetes K8S之存储Secret详解
踏歌行的专栏
09-28 7449
K8S之存储Secret概述与类型说明,并详解常用Secret示例
k8ssecret里导入证书_Kubernetes K8S之存储Secret详解
weixin_39604598的博客
12-22 949
K8S之存储Secret概述与类型说明,并详解经常使用Secret示例html主机配置规划服务器名称(hostname)系统版本配置内网IP外网IP(模拟)k8s-masterCentOS7.72C/4G/20G172.16.1.11010.0.0.110k8s-node01CentOS7.72C/4G/20G172.16.1.11110.0.0.111k8s-node02CentOS7.72C/...
k8s更换secret
weixin_50824654的博客
12-19 667
## 4、修改ingress配置项。# 最后执行 apply 应用变更。### 1、创建存放证书的目录。### 2、上传TLS证书文件。### 3、创建secret。# 或者执行 sed。
K8s生成证书,创建秘钥,今天是打工人or干饭人X?X~~~
qing1912的博客
01-04 450
生成证书 kubectl create secret tls <cert name> --cert <hostname.crt> --key <hostname.key> -n <namespace> 【生成证书之后就可以在ingress配置spec.tls.hosts.secretName中配置命令中指定的】 生成secret 命令: kubectl create secret generic <secret name> --from-env-
kubectl 命令详解(二十八):create secret tls
youzhouliu的博客
05-07 3559
kubectl create secret tls命令详解。
K8s 安全抽象:Secret
梦想起飞的地方.........
05-19 692
​​​​​​ Secret 是对敏感信息的抽象,例如:密码、token、SSH key,其他对象可引用Secret。 Pod 使用 Secret 有两种场景: 作为 volume 中的文件被挂载到 Pod 中一个或多个容器中 拉取镜像时需要使用 secret 作为安全凭证 Secret 分类 Secret 可分为三类: docker-registry: 创建一个给 Docker Registry 使用的 secret,实际是保存了账户密码。 generic:从本地 file, direct
k8ssecret里导入证书_k8ssecret解析
weixin_39928801的博客
12-22 925
概览Secret是用来保存小片敏感数据的k8s资源,例如密码,token,或者秘钥。这类数据当然也可以存放在Pod或者镜像中,但是放在Secret中是为了更方便的控制如何使用数据,并减少暴露的风险。用户可以创建自己的secret,系统也会有自己的secret。Pod需要先引用才能使用某个secret,Pod有2种方式来使用secret:作为volume的一个域被一个或多个容器挂载;在拉取镜像的时候...
k8s secret对象详解
zxyuliwuzhognzx11的博客
11-03 999
k8s secret对象详解
K8SSecret
weixin_46686835的博客
03-24 996
K8SSecret Secret介绍 k8s secrets用于存储和管理一些敏感数据,比如密码,token,密钥等敏感信息。它把 Pod 想要访问的加密数据存放到 Etcd 中。然后用户就可以通过在 Pod 的容器里挂载 Volume 的方式或者环境变量的方式访问到这些 Secret 里保存的信息了。 Secret 有三种类型: Service Account :用来访问 Kubernetes API,由 Kubernetes 自动创建,并且会自动挂载到 Pod 的 /run/secrets/kube
【Kubernetes】k8s密码管理详细说明【secret、cm】
2401_83703999的博客
04-19 712
Labels:Data====需要先 以yaml文件输出创建内容metadata:其中存储的信息被base64编码过,可以解码检查一下是不是保存的密码redhat1【data下面的值】:echo data值 | base64 -d以json格式验证密码【这个复杂了,用上面方法验证省事得多】metadata:其中存储的信息被base64编码过,可以解码检查一下是不是保存的密码redhat1【data下面的值】:echo data值 | base64 -d。
k8s上部署harbor并暴露访问
03-14
使用cfssl工具配置证书并在kubernetes上部署harbor并暴露访问。
k8s中挂载的configmap或者secret更新后服务自动更新
Happywzy~的博客
07-05 1818
插件说明 当我们部署的DeploymentConfig, Deployment, Daemonset, Statefulset等服务所挂载的ConfigMap或Secret发生变化的时候,我们的服务可以自动更新. 官网 插件安装 # kubernetes >= 1.9 kubectl apply -f https://raw.githubusercontent.com/stakater/Reloader/master/deployments/kubernetes/reloader.yaml 使用
k8s创建证书secret
国产-达芬奇
10-11 157
其效果等同于奖tls.cert 内容进行base64后,再把值更新到secret的data里。
k8s环境生成自签名证书配置secret tls并配置到浏览器
lucky_ykcul的博客
08-23 2331
最近公司的网站偶尔会出现“network error”的报错导致网页不稳定,打开开发者工具发现报错为“Failed to load resource: net ::ERR_CERT_AUTHORITY_INVALIED”原因为网页存在认证问题。解决措施有三种:1.申请域名购买证书;2.自己生成自签名证书;3.将https访问方式改为http。综合考虑成本和安全因素后决定使用自签名证书来解决此问题。
k8s学习-Secret(创建、使用、更新、删除等)_kubectl delete secret
2401_84281594的博客
05-02 1096
任何拥有 API 访问权限的人都可以检索或修改 Secret,任何有权访问 etcd 的人也可以。此外,任何有权限在命名空间中创建 Pod 的人都可以使用该访问权限读取该命名空间中的任何 Secret;对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!中的安全部分详细展开。
k8s配置secret中的ssl证书
weixin_42715225的博客
06-16 6283
前言 网站安全需要https来处理,k8s配置中涉及到需要处理secrets 操作 申请ssl证书 请自行处理,这里不再赘述 获取审核通过的Nginx证书 注 由于我这里的k8s的ingress插件是nginx-controller-manager,是故证书类型为Nginx,可根据实际情况选择合适类型的证书 放置证书到指定目录下 目录树如下所示: tree -aC certs/ certs/ ├── www.xxx.com.key └── www.xxx.com.pem 0 directories
k8s 增加tls-secret
ywmack
12-12 390
k8s 增加tls-secret
kubernetes k8s Secret 概述与配置讲解
最新发布
it知识分享 free for nothing..
08-23 811
kubernetes k8s Secret 概述与配置讲解
K8S Secret 一文详解, 全面覆盖 Secret 使用场景 | 全家桶
aifeier的博客
01-10 3785
Secret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 这样的信息可能会被放在 Pod 规约中或者镜像中。 使用 Secret 意味着你不需要在应用程序代码中包含机密数据。由于创建 Secret 可以独立于使用它们的 Pod, 因此在创建、查看和编辑 Pod 的工作流程中暴露 Secret(及其数据)的风险较小。 Kubernetes 和在集群中运行的应用程序也可以对 Secret 采取额外的预防措施, 例如避免将敏感数据写入非易失性存储。
k8ssecret的作用
07-17
通过使用Secret,可以避免将敏感信息硬编码到应用程序代码或配置文件中,从而提高了应用程序的安全性。 Kubernetes中的Secret有多种类型: 1. Opaque类型:用于存储任意类型的敏感数据,以字节流的形式保存。可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值