Kubernetes中Secret使用详解

已于 2022-04-05 15:16:40 修改
阅读量1.1w 收藏 14
点赞数 2
分类专栏: 云原生/微服务架构/运维 系列课程 文章标签: k8s kubernetes secret configmap
于 2018-10-26 18:04:16 首次发布
原文链接:https://www.leiyawu.com/2018/11/14/kubernetes%E4%B9%8Bsecret/
版权

全栈工程师开发手册 (作者:栾鹏)
架构系列文章

Secret解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。

Secret类型

Secret有三种类型:
Opaque:base64编码格式的Secret,用来存储密码、密钥等;但数据也通过base64 –decode解码得到原始数据,所有加密性很弱。
kubernetes.io/dockerconfigjson:用来存储私有docker registry的认证信息。
kubernetes.io/service-account-token: 用于被serviceaccount引用。serviceaccout创建时Kubernetes会默认创建对应的secret。Pod如果使用了serviceaccount,对应的secret会自动挂载到Pod目录/run/secrets/ kubernetes.io/serviceaccount中。

Opaque Secret

Opaque类型的数据是一个map类型,要求value是base64编码格式:

$ echo -n "admin" | base64
YWRtaW4=
$ echo -n "1f2d1e2e67df" | base64
MWYyZDFlMmU2N2Rm

secrets.yml

apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  password: MWYyZDFlMmU2N2Rm
  username: YWRtaW4=

创建secret:kubectl create -f secrets.yml

# kubectl get secret
NAME                  TYPE                                  DATA      AGE
default-token-cty7p   kubernetes.io/service-account-token   3         45d
mysecret              Opaque                                2         7s

注意:其中default-token-cty7p为创建集群时默认创建的secret,被serviceacount/default引用。

如果是从文件创建secret,则可以用更简单的kubectl命令,比如创建tls的secret:

$ kubectl create secret generic helloworld-tls \  --from-file=key.pem \  --from-file=cert.pem

Opaque Secret的使用

创建好secret之后,有两种方式来使用它:

  • 以Volume方式
  • 以环境变量方式
  • 以Volume方式挂载制定的key

将Secret挂载到Volume中

apiVersion: v1
kind: Pod
metadata:
  labels:
    name: db
  name: db
spec:
  volumes:
  - name: secrets    secret:
      secretName: mysecret
  containers:
  - image: gcr.io/my_project_id/pg:v1    name: db
    volumeMounts:
    - name: secrets      mountPath: "/etc/secrets"
      readOnly: true
    ports:
    - name: cp      containerPort: 5432
      hostPort: 5432

查看Pod中对应的信息:

# ls /etc/secrets
password  username
# cat  /etc/secrets/username
admin
# cat  /etc/secrets/password
1f2d1e2e67df

将Secret导出到环境变量中

apiVersion: extensions/v1beta1
kind: Deployment
metadata:
  name: wordpress-deployment
spec:
  replicas: 2
  strategy:
      type: RollingUpdate
  template:
    metadata:
      labels:
        app: wordpress
        visualize: "true"
    spec:
      containers:
      - name: "wordpress"        image: "wordpress"
        ports:
        - containerPort: 80        env:
        - name: WORDPRESS_DB_USER          valueFrom:
            secretKeyRef:
              name: mysecret
              key: username
        - name: WORDPRESS_DB_PASSWORD          valueFrom:
            secretKeyRef:
              name: mysecret
              key: password

将Secret挂载指定的key

apiVersion: v1
kind: Pod
metadata:
  labels:
    name: db
  name: db
spec:
  volumes:
  - name: secrets    secret:
      secretName: mysecret
      items:
      - key: password        mode: 511
        path: tst/psd
      - key: username        mode: 511
        path: tst/usr
  containers:
  containers:
  - image: nginx    name: db
    volumeMounts:
    - name: secrets      mountPath: "/etc/secrets"
      readOnly: true
    ports:
    - name: cp      containerPort: 80
      hostPort: 5432

创建Pod成功后,可以在对应的目录看到:

# kubectl exec db ls /etc/secrets/tst 
psd
usr

kubernetes.io/dockerconfigjson

可以直接用kubectl命令来创建用于docker registry认证的secret:

$ kubectl create secret docker-registry myregistrykey --docker-server=DOCKER_REGISTRY_SERVER --docker-username=DOCKER_USER --docker-password=DOCKER_PASSWORD --docker-email=DOCKER_EMAIL
secret "myregistrykey" created.

查看secret的内容:

# kubectl get secret myregistrykey  -o yaml
apiVersion: v1
data:
  .dockercfg: eyJjY3IuY2NzLnRlbmNlbnR5dW4uY29tL3RlbmNlbnR5dW4iOnsidXNlcm5hbWUiOiIzMzIxMzM3OTk0IiwicGFzc3dvcmQiOiIxMjM0NTYuY29tIiwiZW1haWwiOiIzMzIxMzM3OTk0QHFxLmNvbSIsImF1dGgiOiJNek15TVRNek56azVORG94TWpNME5UWXVZMjl0In19
kind: Secret
metadata:
  creationTimestamp: 2017-08-04T02:06:05Z
  name: myregistrykey
  namespace: default
  resourceVersion: "1374279324"
  selfLink: /api/v1/namespaces/default/secrets/myregistrykey
  uid: 78f6a423-78b9-11e7-a70a-525400bc11f0
type: kubernetes.io/dockercfg

也可以直接读取~/.dockercfg的内容来创建:

$ kubectl create secret docker-registry myregistrykey \  --from-file="~/.dockercfg"

在创建Pod的时候,通过imagePullSecrets来引用刚创建的myregistrykey:

apiVersion: v1
kind: Pod
metadata:
  name: foo
spec:
  containers:
    - name: foo
      image: janedoe/awesomeapp:v1
  imagePullSecrets:
    - name: myregistrykey

kubernetes.io/service-account-token

kubernetes.io/service-account-token: 用于被serviceaccount引用。serviceaccout创建时Kubernetes会默认创建对应的secret。Pod如果使用了serviceaccount,对应的secret会自动挂载到Pod的/run/secrets/kubernetes.io/serviceaccount目录中。

$ kubectl run nginx --image nginx
deployment "nginx" created
$ kubectl get pods
NAME                     READY     STATUS    RESTARTS   AGE
nginx-3137573019-md1u2   1/1       Running   0          13s
$ kubectl exec nginx-3137573019-md1u2 ls /run/secrets/kubernetes.io/serviceaccount
ca.crt
namespace
token

Secret与ConfigMap对比

相同点:

  • key/value的形式
  • 属于某个特定的namespace
  • 可以导出到环境变量
  • 可以通过目录/文件形式挂载(支持挂载所有key和部分key)

不同点:

  • Secret可以被ServerAccount关联(使用)
  • Secret可以存储register的鉴权信息,用在ImagePullSecret参数中,用于拉取私有仓库的镜像
  • Secret支持Base64加密
  • Secret分为kubernetes.io/Service Account,kubernetes.io/dockerconfigjson,Opaque三种类型,Configmap不区分类型
  • Secret文件存储在tmpfs文件系统中,Pod删除后Secret文件也会对应的删除。

参考文档

腾讯数据架构师
关注
  • 2
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
synator:Synator Kubernetes Secret和ConfigMap同步器
04-23
Synator Kubernetes Secret和ConfigMap同步器 有时,我们想在不同的名称空间使用机密,不幸的是,我们不能没有任何辅助运算符或手动复制,因为在kubernetes,机密和configmaps是名称空间。 当我们有几个命名空间和秘密时,我们可以复制秘密和配置映射。 但是,当我们有数十个名称空间时,它可能会非常复杂。 Synator使用 python框架。 它易于使用。 部署方式 在K8s上易于使用同步器。 我们要做的就是将部署到Kubernetes。 用法 将注释synator/sync=yes添加到Secret或ConfigMap。 (可选)在包括特定目标名称空间的名称添加这些注释之一,或从同步排除名称空间。 仅用于此名称空间的同步: synator/include-namespaces='namespace1,namespace2' 同步所
kubernetes-vault:使用保管库存储Kubernetes的机密!
02-03
Kubernetes Vault集成 Kubernetes-Vault项目允许吊舱使用Vault的自动接收Vault令牌。 强调 默认为安全。 Kubernetes-Vault控制器不允许使用根令牌对Vault进行身份验证。 Prometheus指标通过http或https终结点,并带有可选的TLS客户端身份验证。 支持将所有支持TLS的组件用作Vault的CA或外部CA。 使用Raft的高可用性模式,因此,如果领导者失败了,跟随者可以立即接管。 使用Kubernetes服务以及端点和八卦的对等发现以在集群传播对等更改。 先决条件: 保管箱应为0.6.3及以上。 您必须使用Kubernetes 1.6.0及更高版本,因为我们依靠init容器(处于beta)来接受令牌。 对于Kubernetes 1.5.x及更低版本,请通过参考使用旧版本的Kubernetes-Vault。 您必须使用正确的策略生成定期令牌,才能使用AppRole后端生成secret_id 。 Kubernetes-Vault控制器使用Kubernetes服务帐户来监视新的Pod。 该服务帐户必须具
k8s系列之九Secret 与Configmap
你的名字的博客
02-01 1177
在应用启动过程需要一些敏感信息,比如数据库用户名、密码,如果直接明文存储在容器镜像是不安全的,K8S提供的方案是Secret。
详解Python的Flask框架生成SECRET_KEY密钥的方法
09-21
密钥值的生成功能十分重要,几乎也是各大Web开发框架的标配,Flask当然也不例外,这里我们就来详解Python的Flask框架生成SECRET_KEY密钥的方法
Kubernetes部署-使用kubernetes部署Mysql主从结构(Kubernetes工作实践类)
最新发布
03-31
该资源是使用kubernetes部署Mysql主从结构,整个步骤包括: 1. 编写namespace脚本,创建专门的namespace 2. 编写configmap,将mysql的配置文件配置到里面 3. 编写secret脚本,将需要的密码配置在里面 4. 编写initContainer脚本(备用),根据hostname判断是master还是slave,进而执行对应的命令 5. 编写pv和pvc脚本,申请磁盘资源(通过storageClass自动进行pv/pvc的创建) 6. 编写headless service脚本,配置mysql之间的网络关系 7. 编写StatefulSet脚本,初始化容器 资源包含了完成这些步骤所需要k8s yaml文件 最后附上文章链接: https://blog.csdn.net/qq_36963950/article/details/125961315
kubernetes secret 管理
爱死亡机器人
09-15 4248
Secret 概览 Secret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 这样的信息可能会被放在 Pod 规约或者镜像。 用户可以创建 Secret,同时系统也创建了一些 Secret。 要使用 Secret,Pod 需要引用 Secret。 Pod 可以用三种方式之一来使用 Secret: 作为挂载到一个或多个容器上的 卷 的文件。 作为容器的环境变量 由 kubelet 在为 Pod 拉取镜像时使用 使用 kubectl 创建 Secret # 创建本例使用的文件 echo -
Kubernetessecrets使用
Harry的博客
10-11 3688
Secret解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod SpecSecret可以以Volume或者环境变量的方式使用。 ​
Kubernetesk8s密码管理详细说明【secret、cm】
崔崇鑫的博客,你linux/云运维工作中的百科全书。
08-30 4953
文章目录密码管理说明环境准备并测试常规密码定义方式secret说明secret 常用命令查看secret查看secret定义参数解析secret定义密码删除secret创建Opaque的secret方式1: 命令行的方式(推荐)创建并查看其secret以yaml文件输出创建内容【含参数解析】方式2:文件的方式系统文件创建并查看其secret自定义文件并查看其secret以变量的方式引用Opaque的secret编辑pod配置文件生成pod并验证以卷的方式引用Opaque的secret编辑pod配
Kubernetes(k8s)之Secret私密凭据
Tuki来了
08-01 960
secret用来保管私密数据。
Kubernetes 集群安全
果子哥丶的博客
10-07 612
Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部各个组件通信的介,也是外部控制的入口。所以Kubernetes的安全机制基本就是围绕保护API Server来设计的。Kubernetes使用了认证(Authentication)、鉴权(Authorization)、准入控制(Admission Control)三步来保证API Server的安全
kubectl创建secret
rockstics的博客
03-14 1197
指定secret对象的名称,是secret对象的数据,是secret对象的其他选项。这些是一些常见的secret类型和创建命令的示例。您可以根据您的需求和场景选择适当的secret类型,并使用kubectl create secret命令来创建secret对象。其,是secret对象的名称,和是TLS证书和私钥的文件路径。其,是secret对象的名称,、、和是Docker镜像仓库的认证信息。其,是secret对象的名称,是数据的键名,是数据的值。
kubernetes-secret-manager:使用Kubernetes集群的Vault管理秘密
02-03
目标该项目的主要目的是允许从MySQL数据库请求动态机密,并使Kubernetes集群的Pod能够使用这些动态密码。 机密应与租约相关联,以使它们在预定义的ttl之后过期,并且应在满足最大ttl之前旋转机密。 应当执行该实现...
Kubernetes密钥管理Secret
zhangshenglu1的博客
05-21 717
Secret与ConfigMap类似,主要的区别是ConfigMap存储的是明文,而Secret存储的是密文。ConfigMap可以用配置文件管理,而Secret可用于密码、密钥、token等敏感数据的配置管理。
KubernetesSecret 详解
升仔聊编程的博客
12-27 412
在微服务和容器化环境,敏感数据的管理是一个重要且挑战性的问题。KubernetesSecret 对象提供了一种在集群安全地存储和管理敏感数据(如密码、密钥、证书等)的机制。Kubernetes Secret 是管理敏感数据的有效工具。通过正确地使用和保护 Secret,可以确保敏感数据在 Kubernetes 环境的安全性。理解和熟练使用 Secret 对于维护一个安全且高效的 Kubernetes 集群至关重要。
kubenetes入门学习-十四-存储卷3-Secret和configMap
wolf
03-17 777
最近学习k8s遇到很多问题,建了一个qq群:153144292,交流devops、k8s、docker等 配置容器应用:Secret和configMap configMapk8s配置Secret:通过另外一种编码方式加密 配置容器化应用的方式 1、自定义命令行参数 command args [] 2、把配置文件直接copy进镜像 ...
kubernetes之配置与存储
qq_46268601的博客
12-27 402
配置及存储
kubernetesConfigMapSecret
qq_41619571的博客
10-03 1893
1. Secret 是一种包含少量敏感信息,例如密码、token 或 key 的对象这样的信息可能会被放在Pod spec 或者镜像;将其放在一个secret 对象可以更好地控制它的用途,并降低意外暴露的风险2.ConfigMap 主要解决配置文件的存储问题,而Secret 主要用来解决密码、token、秘钥等敏感数据①在创建、查看和编辑Pod的流程Secret 暴露风险较小②系统会对Secret 对象采取额外的预防措施,例如避免将其写入磁盘可能的位置③。
常见的Kubernetes命令之kubectl命令详解
weixin_42492572的博客
05-22 9534
常见的Kubernetes命令之kubectl命令详解,包括资源查看、资源详细信息、日志、资源创建和删除、资源更新和扩缩容等相关命令
KubernetesSecret
xiayping的博客
07-24 67
KubernetesSecret介绍与使用
KubernetesConfigMapSecret有什么区别
02-17
KubernetesConfigMapSecret都是用来存储应用程序或容器所需的配置信息的对象。它们的区别在于: 1. 数据类型:ConfigMap存储的是纯文本数据,而Secret存储的是加密后的数据。 2. 安全性:ConfigMap存储的数据是明文的,因此不适合存储敏感数据,如密码和证书等。而Secret存储的数据是加密的,可以安全地存储敏感数据。 3. 使用场景:ConfigMap适合存储应用程序的配置信息,如环境变量和配置文件等。Secret则适合存储敏感的配置信息,如数据库密码、API密钥和TLS证书等。 4. 访问控制:ConfigMapSecret都可以通过Kubernetes的RBAC机制进行访问控制。但是,Secret可以更细粒度地控制访问权限,允许不同的用户或应用程序访问不同的Secret对象。 总之,ConfigMapSecret都是用来存储配置信息的对象,但它们适用于不同的场景和数据类型,具有不同的安全性和访问控制方式。在使用它们时,需要根据实际需求进行选择。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值