kubernetes存储篇 —— Secret

1. Secret

1.1 Secret配置管理

Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 ssh key
敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活
Pod 可以用两种方式使用 secret:

  • 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里
  • 当 kubelet 为 pod 拉取镜像时使用
    secret的类型:
  • Service Account:Kubernetes 自动创建包含访问 API 凭据的 secret,并自动修改pod 以使用此类型的 secret
  • Opaque:使用base64编码存储信息,可以通过base64 --decode解码获得原始数据,因此安全性弱
  • kubernetes.io/dockerconfigjson:用于存储docker registry的认证信息
    serviceaccout 创建时 Kubernetes 会默认创建对应的 secret。对应的 secret 会自动挂载到Pod 的 /run/secrets/kubernetes.io/serviceaccount 目录中
kubectl exec nginx -- ls /var/run/secrets/kubernetes.io/serviceaccount

在这里插入图片描述
每个namespace下有一个名为default的默认的ServiceAccount对象

kubectl get Secret

在这里插入图片描述
ServiceAccount里有一个名为Tokens的可以作为Volume一样被Mount到Pod里的Secret,当Pod启动时这个Secret会被自动Mount到Pod的指定目录下,用来协助完成Pod中的进程访问API Server时的身份鉴权过程

kubectl get pods -o yaml

在这里插入图片描述
Opaque Secret 其value为base64编码后的值
从文件中创建Secret
在这里插入图片描述
如果密码具有特殊字符,则需要使用 \ 字符对其进行转义
默认情况下 kubectl get和kubectl describe 为了安全是不会显示密码的内容,可以通过以下方式查看
在这里插入图片描述

1.2 练习

编写一个 secret 对象
在这里插入图片描述

vim mysecret.yaml

在这里插入图片描述

kubectl create -f mysecret.yaml 

将Secret挂载到Volume中

vim secret1.yaml

在这里插入图片描述

kubectl create -f secret1.yaml 
kubectl exec mysecret -- cat /secret/password

在这里插入图片描述
向指定路径映射 secret 密钥

vim secret2.yaml 

在这里插入图片描述
在这里插入图片描述
将Secret设置为环境变量

vim secret-env.yaml

在这里插入图片描述

kubectl create -f secret-env.yaml 
kubectl exec secret-env env

在这里插入图片描述

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值