secret配置管理中心

最新推荐文章于 2024-07-12 14:16:16 发布
最新推荐文章于 2024-07-12 14:16:16 发布
阅读量99 收藏
点赞数
分类专栏: kubernetes基础 文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46445748/article/details/129003473
版权

secret配置管理中心

Secret是什么?

上面我们学习的Configmap一般是用来存放明文数据的,如配置文件,对于一些敏感数据,如密码、私钥等数据时,要用secret类型。

Secret解决了密码、token、秘钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。

要使用 secret,pod 需要引用 secret。Pod 可以用两种方式使用 secret:作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里,或者当 kubelet 为 pod 拉取镜像时使用。

Secret类型:

  • Service Account:用于被 serviceaccount 引用。serviceaccout 创建时 Kubernetes 会默认创建对应的 secret。Pod 如果使用了 serviceaccount,对应的 secret 会自动挂载到 Pod 的 /run/secrets/kubernetes.io/serviceaccount 目录中。

  • Opaque:base64编码格式的Secret,用来存储密码、秘钥等。可以通过base64 --decode解码获得原始数据,因此安全性弱。

  • kubernetes.io/dockerconfigjson:用来存储私有docker registry的认证信息。

使用secret的Opaque


# 创建secret
kubectl create secret generic mysql-password --from-literal=password=opod**lucky66
kubectl get secret
kubectl describe secret mysql-password
Name:         mysql-password
Namespace:    default
Labels:       <none>
Annotations:  <none>
Type:  Opaque
Data
====
password:  20bytes   
#password的值是加密的,
#但secret的加密是一种伪加密,它仅仅是将数据做了base64的编码.

### 通过环境变量引入secret
cat > pod-secret.yaml << EOF
apiVersion: v1
kind: Pod
metadata:
  name: pod-secret
  labels:
     app: myapp
spec:
  containers:
  - name: myapp
    image: ikubernetes/myapp:v1
    ports:
    - name: http
      containerPort: 80
    env:
     - name: MYSQL_ROOT_PASSWORD   #它是Pod启动成功后,Pod中容器的环境变量名.
       valueFrom:
          secretKeyRef:
            name: mysql-password  #这是secret的对象名
            key: password      #它是secret中的key名
EOF
# 验证
kubectl exec -it pod-secret -- /bin/sh
/ # printenv
MYSQL_ROOT_PASSWORD=pod**lucky66

### 通过volume挂载secret
# 手动加密,基于base64加密
echo -n 'admin' | base64
YWRtaW4=
echo -n '123456f' | base64
MTIzNDU2Zgo=
# 创建secret
cat > secret.yaml <<EOF
apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  username: YWRtaW4=
  password: MTIzNDU2Zgo=
EOF
# 验证
kubectl describe secret mysecret
# 创建pod,通过volume声明secret
vim pod_secret_volume.yaml
apiVersion: v1
kind: Pod
metadata:
  name: pod-secret-volume
spec:
  containers:
  - name: myapp
    image: registry.cn-beijing.aliyuncs.com/google_registry/myapp:v1
    volumeMounts:
    - name: secret-volume
      mountPath: /etc/secret
      readOnly: true
  volumes:
  - name: secret-volume
    secret:
      secretName: mysecret
# 验证
kubectl exec -it pod-secret-volume -- /bin/sh
/ # ls /etc/secret
password  username
/ # cat /etc/secret/username
admin
/ # 
/ # cat /etc/secret/password
123456f
# 会发现secret已经自动解析base64的编码

# tips:
# base64 加密解密
echo -n 'admin' |base64
xxxxx
echo "xxxxx" |base64 -d
魏书洛阳城98
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kubernetes---Secret配置管理
Jelly
04-21 1044
一、Secret配置管理介绍 Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 ssh key。 敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。 Pod 可以用两种方式使用 secret: • 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里; • 当 kubelet 为 pod 拉取镜像时使用。 Secret的类型: • Service Account:K...
Secret配置管理
m0_59750991的博客
08-01 369
一.Secret概述 Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 ssh key。 敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。 Pod 可以用两种方式使用 secret: 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里。 当 kubelet 为 pod 拉取镜像时使用。 Secret的类型: Service Account:Kubernetes 自动创建包含访问 API 凭据的 secret,并自动修改 pod
kubernetes存储之Secret配置管理
weixin_43834060的博客
06-30 234
一、简介 Secret配置只要用来存放一些敏感信息,例如用户名认证,镜像的拉取中仓库的用户认证等等。Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 ssh key。敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。 Pod 可以用两种方式使用 secret: • 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里。 • 当 kubelet 为 pod 拉取镜像时使用。 Secret的类型: • Service Account:Kub
k8s--Kubernetes存储--Secret配置管理
Gong_yz的博客
03-13 894
- Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 ssh key。 - 敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。 - Pod 可以用两种方式使用 secret: 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里。 当 kubelet 为 pod 拉取镜像时使用。
K8S:配置资源管理 Secret和configMap
Katie_ff的博客
10-07 1289
本文主要是对K8S的配置资源管理 Secret和configMap两者的介绍,Secret 主要是用来保存密码、token、密钥等敏感数据的 k8s 资源,这类数据虽然也可以存放在 Pod 或者镜像中,但是放在 secret 中是为了更方便的控制如何使用数据,并减少暴露的风险ConfigMap与Secret类似,区别在于configMap保存的是不需要加密配置的信息。并且对ConfigMap和Secret两者如何创建及应用场景、案例使用列举
Nacos2.2.2增加鉴权配置,防止NACOS身份登陆绕过漏洞
06-04
Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service的首字母简称,一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。 Nacos 致力于帮助您发现、配置和管理微服务。Nacos 提供了一组...
java仓储管理系统源码-xdiamond:全局配置中心
06-05
全局配置中心,存储应用的配置项,解决配置混乱分散的问题。名字来源于淘宝的开源项目,前面加上一个字母X以示区别。 在线演示 地址:,登陆选择standard,用户名密码:admin/admin 特性 所见即所得,在管理界面上...
.Net Core自定义配置源从配置中心读取配置的方法
10-17
在.NET Core中,为了应对容器化和微服务架构下的配置管理问题,自定义配置源是从配置中心读取配置的一种有效方式。本篇文章将详细介绍如何在.NET Core中创建一个自定义配置源,以便从配置中心获取配置信息。 首先,...
锐捷路由器配置命令完美宝典
10-01
了解并掌握锐捷路由器的配置命令对于网络管理员来说至关重要。以下是对锐捷路由器配置命令的详细解析: 1. **基本配置命令**: - `#Exit`:退出当前配置模式,返回上一级。 - `#del flash:config.text`:在交换机...
实现基于Asterisk云呼平台的多账户配置
03-12
本篇将详细讲解如何在Asterisk云呼平台上实现多账户配置,以便更好地管理和优化呼叫中心服务。 一、Asterisk基础 首先,理解Asterisk的基本架构至关重要。Asterisk由多个模块组成,包括拨号计划(Dialplan)、通道...
Secret 基本使用方法
小五
04-09 666
在 Pod 规约中,将 Secret 中定义的值 backend-username 赋给 SECRET_USERNAME 环境变量。kind: Podmetadata:spec:env:valueFrom:在Pod 中使用kind: Podmetadata:spec:env:valueFrom:valueFrom:使用 envFrom 来将 Secret 中的所有数据定义为环境变量。
Kubernetes资源篇】Secret加密数据配置管理详解
秦子腾
07-02 1万+
用于存放明文非加密数据,比如程序的配置文件等信息,ConfigMap并不能实现加密,如果存放一下token、密码、秘钥等敏感信息我们要使用Secret类型来进行加密。使用busybox镜像创建Deployment资源,并引入Secret。创建deployment,引入secret。上篇文章讲解了 ConfigMap资源。
k8s 之 Configmap
热门推荐
高飞的博客
12-23 19万+
k8s configmap
K8s secret配置
杨仕虎的博客
02-09 1812
secret secret用于保存铭感信息,比如密码、ssh-key、令牌等等 存储格式:K/V键值对 使用方式:环境变量和挂载(volumes) 密文方式:base64 创建方式:命令行创建和配置清单 使用场景: opaque:通用自定义数据,base64编码 kubernetes.io/service-account-token:用于存储SA用户认证信息 kubernetes.io/dockerconfigjson:用户存储docker仓库认证信息 kubernetes.io/tls:用于tls通讯
Kubernetes中的Secret配置
weixin_34013044的博客
12-21 1440
Secret 概览 Secret 是一种包含少量敏感信息例如密码、token 或 key 的对象。这样的信息可能会被放在 Pod spec 中或者镜像中;将其放在一个 secret 对象中可以更好地控制它的用途,并降低意外暴露的风险。 用户可以创建 secret,同时系统也创建了一些 secret。 要使用 secret,pod 需要引用 secret。Pod 可以用两种方式使用 se...
K8S集群应用国产信创适配实战经验总结
yztezhl的专栏
07-06 707
sealos安装k8s是当下最火热稳定的首选之一
新版k8s拉取镜像失败问题
最新发布
m0_72363694的博客
07-12 243
新版版从k8s1.23后放弃使用docker容器作为的默认运行时了,而是采用的containerd,使用时不在使用docker拉取镜像,这就带来了一系列的问题。解决镜像拉取问题(原因外网屏蔽拉取不到使用国内加速器)contained的配置文件在/etc/containerd/config.toml解决devops安装失败问题。查看安装器配置文件(devops已经关闭)找到如上registry的配置部分,加上阿里云的镜像加速配置。重启containerd。
科普文:K8S中常见知识点梳理
为无为,事无事,味无味。
07-09 716
比如,可以指定一个 Pod 只能被调度到与指定节点具有相同标签的节点上,或者指定一个 Pod 不能被调度到与指定节点具有相同标签的节点上。在这种方式下,Kubernetes 会根据当前节点的资源使用情况,将 Pod 动态地调度到具有可用资源的节点上,从而实现资源的最优分配。通过为节点打上不同的标签,可以让 Kubernetes 将特定类型的 Pod 调度到具有相应标签的节点上。集群自动伸缩(Cluster Autoscaler):根据集群节点的资源利用率,动态地增加或减少节点的数量,以适应不同的负载需求。
单机版k8s搭建
weixin_61067952的博客
07-08 711
Kubernetes 支持多种网络方案,而且不同网络方案对 –pod-network-cidr有自己的要求,这里设置为10.244.0.0/16 是因为我们将使用 flannel 网络方案,必须设置成这个 CIDR。如果使用kubectl报错,/etc/kubernetes/admin.conf访问拒绝,使用sudo chown $(id -u):$(id -g) /etc/kubernetes/admin.conf。–pod-network-cidr 指定 Pod 网络的范围。
dolphinscheduler 3.0.1版本配置资源中心
03-29
1. 下载并安装Hadoop 下载Hadoop并解压缩到指定目录,配置Hadoop环境变量。 2. 下载并安装Zookeeper 下载Zookeeper并解压缩到...启动成功后,可以访问http://localhost:12345/resourcemanager进行资源中心的管理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值