Kubernetes-Secret使用说明

最新推荐文章于 2024-06-07 08:56:23 发布
最新推荐文章于 2024-06-07 08:56:23 发布
阅读量3.5k 收藏
点赞数
分类专栏: Docker Kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iov_aaron/article/details/94442111
版权

Kubernetes提供Secret资源用于解决密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。

Secret类型

  • Opaque:base64编码格式的Secret,用来存储密码、密钥等;但数据也通过base64 –decode解码得到原始数据,所有加密性很弱。
  • kubernetes.io/dockerconfigjson:用来存储私有docker registry的认证信息。
  • kubernetes.io/service-account-token: 用于被serviceaccount引用。serviceaccout创建时Kubernetes会默认创建对应的secret。Pod如果使用了serviceaccount,对应的secret会自动挂载到Pod目录/run/secrets/ kubernetes.io/serviceaccount中。

常用的应用主要使用Opaque类型的Secret,本次我们主要介绍该类型

Secret的创建方式

1. 通过yaml文件创建

[root@k8s-node1 dinghh]# cat passwd-secret.yaml 
apiVersion: v1
kind: Secret
metadata:
  name: passwd-secret 
type: Opaque 
data: 
  username: dXNlcm5hbWUK
  password: cGFzc3dvcmQK

其中username和password是根据base64加密

[root@k8s-node1 dinghh]# echo username | base64
dXNlcm5hbWUK
[root@k8s-node1 dinghh]# echo password | base64
cGFzc3dvcmQK

创建secret

[root@k8s-node1 dinghh]# kubectl create -f passwd-secret.yaml 
secret/passwd-secret created

[root@k8s-node1 dinghh]# kubectl get secrets passwd-secret -oyaml
apiVersion: v1
data:
  password: cGFzc3dvcmQK
  username: dXNlcm5hbWUK
kind: Secret
metadata:
  creationTimestamp: "2019-07-02T06:20:40Z"
  name: passwd-secret
  namespace: default
  resourceVersion: "995896"
  selfLink: /api/v1/namespaces/default/secrets/passwd-secret
  uid: 83644454-9c91-11e9-ad16-fa163e17fab9
type: Opaque

可以看到通过describe secret是可以看到secret中的具体数据的,通过base64解码则可以看到原始数据

[root@k8s-node1 dinghh]# echo dXNlcm5hbWUK | base64 --decode
username
[root@k8s-node1 dinghh]# echo cGFzc3dvcmQK | base64 --decode
password

2. 通过kubectl指定配置文件等参数来创建

kubectl create secret generic

根据配置文件、目录或指定的literal-value创建secret。

secret可以保存为一个或多个key/value信息。

当基于配置文件创建secret时,key将默认为文件的基础名称,value默认为文件内容。如果基本名称的key无效,则可以指定另一个key。

当基于目录创建secret时,key还是文件的基础名称,目录中有效的key的每个文件都被打包到secret中,除了常规文件之外的任何目录条目都被忽略(例如subdirectories, symlinks, devices, pipes, etc)。

基于文件创建(更多创建方式参考:http://docs.kubernetes.org.cn/556.html

[root@k8s-node1 dinghh]# echo username > username 
[root@k8s-node1 dinghh]# echo password > password

[root@k8s-node1 dinghh]# kubectl create secret generic test-secret --from-file=./username --from-file=./password 
secret/test-secret created

[root@k8s-node1 dinghh]# kubectl get secrets test-secret -oyaml
apiVersion: v1
data:
  password: cGFzc3dvcmQK
  username: dXNlcm5hbWUK
kind: Secret
metadata:
  creationTimestamp: "2019-07-02T06:52:47Z"
  name: test-secret
  namespace: default
  resourceVersion: "1000413"
  selfLink: /api/v1/namespaces/default/secrets/test-secret
  uid: 00824b62-9c96-11e9-ad16-fa163e17fab9
type: Opaque

可以看到指定文件创建时会自动进行base64加密

Secret的使用

1. 在文件中使用

通过volumeMount方式将secret挂载到pod容器中

创建一个pod

[root@k8s-node1 dinghh]# cat nginx.yaml 
apiVersion: v1
kind: Pod
metadata:
  labels:
    k8s-app: nginx
    version: master
  name: nginx
spec:
  containers:
  - image: nginx:master
    imagePullPolicy: IfNotPresent
    name: nginx
    ports:
    - containerPort: 80
      name: dashboard
      protocol: TCP
    resources: {}
    volumeMounts:
    - mountPath: /etc/secrets
      name: passwd-secret
      readOnly: true
  restartPolicy: Always
  volumes:
  - name: passwd-secret
    secret:
      defaultMode: 420
      secretName: passwd-secret

[root@k8s-node1 dinghh]# kubectl create -f nginx.yaml 
pod/nginx created

通过yaml可以看到通过volumeMounts方式将secret挂载到容器的/etc/secret目录

进入容器查看

[root@k8s-node1 dinghh]# kubectl create -f nginx.yaml 
pod/nginx created
[root@k8s-node1 dinghh]# kubectl exec -it nginx bash
[root@nginx /]# cd /etc/secrets/
[root@nginx secrets]# ll
total 0
lrwxrwxrwx 1 root root 15 Jul  2 15:00 password -> ..data/password
lrwxrwxrwx 1 root root 15 Jul  2 15:00 username -> ..data/username
[root@nginx secrets]# cat username 
username
[root@nginx secrets]# cat password 
password

可以看到将secret中的key作为文件名称写在指定目录下,并且文件中的内容是base64解密之后的

2. 在环境变量中使用

创建pod

[root@k8s-node1 dinghh]# cat nginx-env.yaml 
apiVersion: v1
kind: Pod
metadata:
  labels:
    k8s-app: nginx
    version: master
  name: nginx-env
spec:
  containers:
  - env:
    - name: USERNAME_ENV
      valueFrom:
        secretKeyRef:
          name: passwd-secret
          key: username
    - name: PASSWORD_ENV
      valueFrom:
        secretKeyRef:
          name: passwd-secret
          key: password
    image: 192.168.133.20:30050/kube-system/aistack-dashboard:master
    imagePullPolicy: IfNotPresent
    name: nginx
    ports:
    - containerPort: 80
      name: dashboard
      protocol: TCP
    resources: {}
  restartPolicy: Always

[root@k8s-node1 dinghh]# kubectl create -f nginx-env.yaml 
pod/nginx-env created

可以看到在该Pod中定义了两个环境变量分别引用passwd-secret中的对应的key

进入容器查看

[root@k8s-node1 dinghh]# kubectl exec -it nginx-env bash
[root@nginx-env /]# echo $USERNAME_ENV
username
[root@nginx-env /]# echo $PASSWORD_ENV
password

 

Aaron.com
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kube-configmap-secret-update:Kubernetes滚动更新ConfigMap和秘密更改
05-08
Kubernetes滚动更新Config...的了使用此存储库的详细说明。 通过运行./nginx-config-example.sh部署nginx-config-example.yml 在以下URL上查看两个网站: 前端网站: 后端网站: 用户名: admin 密码: password
k8s实践(7)- k8s Secrets
黄规速博客:学如逆水行舟,不进则退
06-16 1109
Secrets是Kubernetes中一种对象类型,用来保存密码、私钥、口令等敏感信息。与直接将敏感信息嵌入image、pod相比,Secrets更安全、更灵活,用户对敏感信息的控制力更强。同Docker对敏感信息的管理类似,首先用户创建Secrets将敏感信息加密后保存在集群中,创建pod时通过volume、环境变量引用Secrets。 1. Secret类型 Secret有三种类型: O...
k8s Configmap配置与Secret加密
MrLee的博客
07-28 1907
ConfigMap功能在Kubernetes1.2版本中引入,许多应用程序会从配置文件、命令行参数或环境变量中读取配置信息。ConfigMapAPI给我们提供了向容器中注入配置信息的机制,ConfigMap可以被用来保存单个属性,也可以用来保存整个配置文件或者JSON二进制大对象。将配置信息放到configmap对象中,然后在pod的对象中导入configmap对象,实现导入配置的操作。ConigMap是一种API对象,用来将非机密性的数据保存到键值对中。......
k8s——secret配置资源管理
最新发布
sea_bunch的博客
06-07 1404
与Secret类似,区别在于ConfigMap保存的是不需要加密配置的信息。
【云原生 | Kubernetes 实战】17、K8s 配置管理中心 Secret 实现加密数据配置管理
Stars.Sky 的博客
12-29 1812
K8s 配置管理中心 Secret 实现加密数据配置管理
硬核!Kubernetes 工作负载的高级设置,你会吗?
weixin_51954021的博客
12-13 1668
OpenKube 为我司研发的一个容器云产品 ----------- The article was written by:GoodGoodStudy(linyuan@deepexi.com) 我们再深入浅出的了解一下 Pod,Pod 只是一个逻辑概念,Kubernetes 真正处理的,还是宿主机操作系统上 Linux 容器的 NameSpace 和 Cgroups,而并不存在一个所谓的 Pod 的边界或者隔离环境。Pod 是一组共享了某些资源的容器,Pod 里的所有容器共享的是一个 Network .
kubernetes(7)Secret
учёба
10-02 433
Secret的简单概念
learn-kubernetes:学习Kubernetes
04-16
通过深入研究这个"learn-kubernetes"资源,你可以学习到如何使用Kubernetes进行应用部署、扩展和运维,包括创建和管理核心对象、使用Kubernetes API进行自动化操作、理解Kubernetes的工作原理以及最佳实践。...
k8s dashboard v2.7.0离线镜像包
10-15
1. **资源管理**:用户可以通过 Dashboard 创建、编辑、查看和删除各种 Kubernetes 资源,如 Deployment、Service、Pod、ConfigMap 和 Secret 等。 2. **监控与日志**:Dashboard 可以展示 Pod 的状态、资源使用...
k8s-gitops:由GitOps管理的Kubernetes集群-Git作为单一事实源,自动化管道,声明性一切,下一代DevOps
02-09
使用说明 如果您已分叉此存储库,则必须首先在clusters/ dir中更新集群定义。 创建一个代表您的群集的文件夹,并使用作为示例,同时替换您的repo的url路径。 首次引导群集时,必须删除secrets/k8s-secret-sealed-...
5-k8s部署之Dashboard1
08-08
使用 `kubectl get secret -n kubernetes-dashboard` 命令找到名为 `kubernetes-dashboard-token-<random-string>` 的 Secret,然后解码 Token 并用其登录。 4. **其他操作** - 删除 Dashboard:如果不再需要 ...
KMS加密K8S Secret技术方案研究
SHELLCODE_8BIT的博客
01-24 408
k8s官方推荐的一些secret加密方案。
Kubernetes 中的 Secret加密存储
丰耳的博客
01-03 1229
为安全方便的将K8S的secret进行git版本,需要引入对secret进行加密的工具:Sealed-Secrets
7、Kubernetes核心技术 - Secret
weixiaohuai的博客
08-03 437
Secret 解决了密码、令牌、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec 中,它把 Pod 想要访问的加密数据存放到 Etcd 中,然后用户就可以通过在 Pod 的容器里挂载 Volume 的方式或者环境变量的方式访问到这些 Secret 里保存的信息。
kubernetes使用 (十四) Secret 加密凭证
默子昂
01-25 2383
(Secret 这个单词我百度了一下,意思是"秘密" (。・∀・)ノ) Secret主要是用来对数据进行加密,并将加密后的数据存放在etcd中, 可以在使用时让pod容器,以挂载的方式进行访问 他给我们提供了一定的安全性,所以会经常用来存放一些密码、密钥等重要的数据 Secret 常用的类型 1. Opaque #base64 编码格式的 Secret,用来存储密码、密钥等; #但数据也可以通过base64 –decode解码得到原始数据,所有加密性很弱。 ...
关于 Kubernetes 的 Secret 并不安全这件事
easylife206的专栏
12-14 938
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !K8s 提供了 Secret 资源供我们来保存、设置一些敏感信息,比如 API endpoint 地址,各...
在K8S中,如何安全管理Secrets?
wanger5354的博客
01-11 3241
为何要加密?在Kubernetes中,Secret是用来帮我们存储敏感信息的,比如密码、证书等,但是在默认的情况下,Secret只是做了简单的base64编码,任何人都可以非常容易的对其进行解密获取到原始数据。比如通过以下方法生成一个secret对象:$ echo -n "coolops" | kubectl create secret generic mysecret --dry-run --fr
学习k8s的接口(Api)使用,并试着调用KubeEdge中(计数器demo)设备的信息
m0_46440313的博客
04-21 3792
学习k8s的接口(Api)使用,并试着调用KubeEdge中(计数器demo)设备的信息
翻译代码kubectl -n kubernetes-dashboard describe secret $(kubectl -n kubernetes-dashboard get secret | grep kubernetes-dashboard-token | awk '{print $1}') ;echo --cMd__
06-07
这段代码的作用是获取 Kubernetes 仪表盘的访问令牌,并输出该令牌的详细信息。具体操作如下: 1. 使用 kubectl 命令获取 kubernetes-dashboard 命名空间中的所有 secret: ``` kubectl -n kubernetes-dashboard get secret ``` 2. 使用 grep 命令过滤出包含字符串 "kubernetes-dashboard-token" 的 secret,并使用 awk 命令取出第一列(即 secret 的名称): ``` grep kubernetes-dashboard-token | awk '{print $1}' ``` 3. 将上一步获取到的 secret 名称作为参数,使用 kubectl describe 命令获取该 secret 的详细信息: ``` kubectl -n kubernetes-dashboard describe secret <secret名称> ``` 4. 最后,输出一个字符串 "--cMd__",可能是作为结束符或分隔符的标记。 需要注意的是,该代码需要在已经安装了 Kubernetes 且具有访问权限的环境中运行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值