Kubernetes 中Secret

于 2024-05-15 06:41:55 发布
阅读量440 收藏 4
点赞数 11
分类专栏: Kubernetes(K8S) 文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lzyever/article/details/138823299
版权

目录

  • 1、创建 Secret
    • 1.1、通过 kubectl 命令行创建(例如,基于明文)
    • 1.2、通过 YAML 配置文件创建
  • 2、使用 Secret
    • 2.1、作为文件挂载
    • 2.2、作为环境变量
  • 3、注意事项

在 Kubernetes 中,Secret 是一种用来存储敏感信息的对象,如密码、OAuth 令牌和 SSH 密钥等。Secret 允许你将这些敏感数据安全地传递给 Pods 中的容器,而无需在配置文件或镜像中硬编码这些信息。Kubernetes 会对 Secret 数据进行加密存储,并在使用时解密。

1、创建 Secret

你可以通过多种方式创建 Secret,以下是两种常见的方法:

1.1、通过 kubectl 命令行创建(例如,基于明文)

kubectl create secret generic my-secret --from-literal=username=admin --from-literal=password=secretpassword

这会创建一个名为 my-secret 的 Secret,其中包含了两个键值对(username 和 password)。

1.2、通过 YAML 配置文件创建

对于更复杂的 Secret 或需要版本控制的情况,通常推荐使用 YAML 文件定义 Secret:

apiVersion: v1
kind: Secret
metadata:
  name: my-secret
type: Opaque # 默认类型,适用于不加密的密钥
data:
  username: YWRtaW4= # base64 编码的 "admin"
  password: c2VjcmV0cGFzc3dvcmQ= # base64 编码的 "secretpassword"

注意,数据字段需要 base64 编码。你可以使用 echo -n "your_value" | base64 命令进行编码。

2、使用 Secret

在 Pod 定义中,你可以通过 volume 或 environment variables 将 Secret 挂载到容器中:

2.1、作为文件挂载

apiVersion: v1
kind: Pod
metadata:
  name: my-pod
spec:
  containers:
  - name: my-container
    image: my-image
    volumeMounts:
    - name: secret-volume
      mountPath: /var/secrets
      readOnly: true
  volumes:
  - name: secret-volume
    secret:
      secretName: my-secret

2.2、作为环境变量

apiVersion: v1
kind: Pod
metadata:
  name: my-pod
spec:
  containers:
  - name: my-container
    image: my-image
    env:
    - name: USERNAME
      valueFrom:
        secretKeyRef:
          name: my-secret
          key: username
    - name: PASSWORD
      valueFrom:
        secretKeyRef:
          name: my-secret
          key: password

3、注意事项

  • 尽管 Secret 数据在 etcd 中以加密形式存储,但在使用过程中(例如,挂载为文件时),它们是以明文形式存在的,因此仍然需要确保 Pod 的安全性和隔离性。
  • Secret 类型除了 Opaque 外,还有 kubernetes.io/tlskubernetes.io/dockerconfigjson 等特殊类型,分别用于 TLS 证书和 Docker 登录凭据。
  • 考虑使用外部 Secrets 管理解决方案,如 HashiCorp Vault,以增强安全性。
lzyever
关注
  • 11
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kubernetes-secret-manager:使用Kubernetes集群的Vault管理秘密
02-03
目标该项目的主要目的是允许从MySQL数据库请求动态机密,并使Kubernetes集群的Pod能够使用这些动态密码。 机密应与租约相关联,以使它们在预定义的ttl之后过期,并且应在满足最大ttl之前旋转机密。 应当执行该实现...
synator:Synator Kubernetes Secret和ConfigMap同步器
04-23
Synator Kubernetes Secret和ConfigMap同步器 有时,我们想在不同的名称空间使用机密,不幸的是,我们不能没有任何辅助运算符或手动复制,因为在kubernetes,机密和configmaps是名称空间。 当我们有几个命名空间...
kubectl创建secret
rockstics的博客
03-14 1269
指定secret对象的名称,是secret对象的数据,是secret对象的其他选项。这些是一些常见的secret类型和创建命令的示例。您可以根据您的需求和场景选择适当的secret类型,并使用kubectl create secret命令来创建secret对象。其,是secret对象的名称,和是TLS证书和私钥的文件路径。其,是secret对象的名称,、、和是Docker镜像仓库的认证信息。其,是secret对象的名称,是数据的键名,是数据的值。
Kubernetessecrets使用
Harry的博客
10-11 3744
Secret解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod SpecSecret可以以Volume或者环境变量的方式使用。 ​
守护你的敏感数据:Kubernetes Secret的创建与管理之道
最新发布
博客虽小,世界尽在其中
04-18 676
随着云计算技术的快速发展,Kubernetes(简称K8s)作为容器编排领域的领军者,已成为企业构建和管理分布式系统的首选工具。在K8sSecret作为一种特殊的资源对象,为敏感数据的存储与管理提供了安全可靠的解决方案。本文将深入介绍K8s Secret的基本概念、用途以及创建与管理的最佳实践,帮助读者更好地理解和应用这一重要功能。
kubernetes secret 管理
爱死亡机器人
09-15 4424
Secret 概览 Secret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 这样的信息可能会被放在 Pod 规约或者镜像。 用户可以创建 Secret,同时系统也创建了一些 Secret。 要使用 Secret,Pod 需要引用 Secret。 Pod 可以用三种方式之一来使用 Secret: 作为挂载到一个或多个容器上的 卷 的文件。 作为容器的环境变量 由 kubelet 在为 Pod 拉取镜像时使用 使用 kubectl 创建 Secret # 创建本例要使用的文件 echo -
创建Secret(使用kubectl
linus.lin的博客
10-24 401
假设某个 Pod 需要访问数据库。在您执行 kubectl 命令所在机器的当前目录,创建文件。暂存数据库的用户名和密码,后续我们根据这两个文件配置 kubernetes secrets。
kubernetes-learning.pdf
06-04
Secret RBAC 部署Wordpress示例 DaemonSet 和 StatefulSet 持久化存储: PV PVC StorageClass 服务发现 kubedns ingress 安装配置 ingress tls 和 path 的使⽤ 包管理⼯具 Helm Helm 的安装使⽤ Helm 的基本使⽤ Helm...
kubernetes培训视频.zip
01-09
网盘文件永久链接 1.k8s的pod健康检查机制 2.kubernetes ingress 3.基于Kubernetes-v1.25.0和Docker部署高可用集群 ...7.一小时精通Kubernetes的安全配置资源Secret 973页Kubernetes笔记 ...............
kubernetes-plugin:Jenkins插件可在KubernetesDocker环境运行动态代理
02-04
Jenkins插件可在Kubernetes集群运行动态代理。 根据文章,实现了Kubernetes运行的Jenkins代理的自动扩展。 该插件为每个要启动的代理创建一个Kubernetes Pod(由要运行的Docker映像定义),并在每次构建后...
K8SSecret创建和使用
分享式获得也是一种学习的态度
01-08 699
每个人都有惰性,但不断学习是好好生活的根本,共勉!
Kubernetes详解(四十一)——Secret创建
永远是少年
05-06 4735
今天继续给大家介绍Linux运维相关知识,本文主要内容是Secret创建。 一、--from-literal参数创建 二、--from-file参数创建 三、--from-env-file参数创建 四、清单创建
每天5分钟玩转Kubernetes | 创建Secret
COCO_gsta的博客
06-23 531
书籍来源:cloudman《每天5分钟玩转Kubernetes》一边学习一边整理老师的课程内容及试验笔记,并与大家分享,侵权即删,谢谢支持!有四种方法创建Secret:(1)通过--from-literal: 每个--from-literal对应一个信息条目。(2)通过--from-file: 每个文件内容对应一个信息条目。(3)通过--from-env-file: 文件env.txt每行Key=Value对应一个信息条目。(4)通过YAML配置文件,如下所示。 文件的敏感数据必须是通过
k8s使用volume将ConfigMap作为文件或目录直接挂载_【大强哥-k8s从入门到放弃06】Secret详解...
weixin_39972996的博客
11-22 375
1、secret介绍secret用来保存小片敏感数据的k8s资源,例如密码,token,或者秘钥。这类数据当然也可以存放在Pod或者镜像,但是放在Secret是为了更方便的控制如何使用数据,并减少暴露的风险。用户可以创建自己的secret,系统也会有自己的secret。Pod需要先引用才能使用某个secretPod有2种方式来使用secret: 作为volume的一个域被一个或多个容器挂载 ...
k8s创建secret,拉取私有仓库的镜像
linux运维工程师的博客
10-11 2223
大家好,我是Linux运维工程师 Linke 。技术过硬,从不挖坑~ k8s集群拉取私有仓库镜像,需要在对应的 namespaces 启动一个 secret,方法如下: 例如要在一个 java-app 的 namespace 使用 registry.test.cn 私有仓库的镜像启动 pod ,登录仓库的用户是 ops , 密码是 ops123123 ,那么我们可以创建一个 secret ...
kubernetes创建secret
weixin_33713503的博客
11-22 2748
为什么80%的码农都做不了架构师?>>> ...
K8S 创建 Secret
一直被模仿,从未被超越
12-09 9184
secret用于存储和管理一些敏感数据,比如密码,token,密钥等敏感信息。它把 Pod 想要访问的加密数据存放到 Etcd 。然后用户就可以通过在 Pod 的容器里挂载 Volume 的方式或者 环境变量 的方式访问到这些 Secret 里保存的信息 Secret 有三种类型 Opaque:base64 编码格式的 Secret,用来存储密码、密钥等;但数据也可以通过base64 –decode解码得到原始数据,所有加密性很弱。 Service Account:用来访问Kubernetes ..
KubernetesSecret使用详解
热门推荐
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
10-26 1万+
Secret解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod SpecSecret可以以Volume或者环境变量的方式使用。 Secret类型 Secret有三种类型: Opaque:base64编码格式的Secret,用来存储密码、密钥等;但数据也通过base64 –decode解码得到原始数据,所有加密性很弱。 kubernetes.io/doc...
Kubernetes Secret 的几种类型
02-21
Kubernetes Secret 有四种类型:Opaque、Service Account、docker-registry 和 tls。Opaque 是最常用的类型,用于存储任意类型的数据;Service Account 用于存储服务帐户信息;docker-registry 用于存储对私有的 Docker 注册表的认证凭据;tls 可用于存储 TLS 密钥和证书。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值