K8s(11)——存储之secrets

已于 2023-06-10 15:42:12 修改
阅读量293 收藏
点赞数
文章标签: kubernetes linux 运维
于 2023-04-12 17:53:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46652469/article/details/130111662
版权

目录

Secret介绍

Secret创建方式

secret使用

存储docker registry的认证信息

Secret介绍

k8s中secret是一种包含少量敏感信息例如密码、令牌或密钥的对象。 这样的信息可能会被放在 Pod 规约中或者镜像中。 使用 Secret 意味着你不需要在应用程序代码中包含机密数据。
Secret 类似于 ConfigMap 但专门用于保存机密数据。

k8s secrets用于存储和管理一些敏感数据,比如密码,token,密钥等敏感信息。它把 Pod 想要访问的加密数据存放到 Etcd 中。然后用户就可以通过在 Pod 的容器里挂载 Volume 的方式或者环境变量的方式访问到这些 Secret 里保存的信息了。

Opaque类型

Opaque 类型的数据是一个 map 类型,要求value是base64编码。

手动创建base64加密

Secret创建方式

Secret创建:通过命令行

从文件创建,分别写入文件用户名及其密码

[root@k8s2 secret]# echo -n 'admin' > ./username.txt

[root@k8s2 secret]# echo -n 'westos' > ./password.txt

用文件创建db-user-pass这个新secret

[root@k8s2 secret]# kubectl create secret generic db-user-pass --from-file=./username.txt --from-file=./password.txt

查看到的用户和密码不是原本的明文,是经过base64编码后的结果,使用-d参数就可以解码

 这里需要注意的是,像这样创建的 Secret 对象,它里面的内容仅仅是经过了转码,而并没有被加密。在真正的生产环境中,你需要在 Kubernetes 中开启 Secret 的加密插件,增强数据的安全性。

编写yaml文件

Secret创建:通过yaml文件

[root@k8s2 secret]# vim mysecret.yaml

apiVersion: v1

kind: Secret

metadata:

name: mysecret

type: Opaque

data:

username: YWRtaW4= #必须编码后的值

password: d2VzdG9z

运行

[root@k8s2 secret]# kubectl apply -f mysecret.yaml

secret使用

将Secret挂载到Volume中

[root@k8s2 secret]# vim pod1.yaml

apiVersion: v1

kind: Pod

metadata:

name: mysecret

spec:

containers:

- name: nginx

image: nginx

volumeMounts:

- name: secrets

mountPath: "/secret" #把secret挂载到mysecret这个pod中的/secret

readOnly: true #只读

volumes:

- name: secrets

secret:

secretName: mysecret

创建pod,查看pod。进入mysecret,可以看到username和password

[root@k8s2 secret]# kubectl get pod

NAME READY STATUS RESTARTS AGE

mysecret 1/1 Running 0 13s

进入mysecret,可以看到username和password

[root@k8s2 secret]# kubectl exec mysecret -- ls /secret

password

username

删除

[root@k8s2 secret]# kubectl delete -f pod1.yaml

向指定路径映射 secret 密钥

修改yaml文件

[root@k8s2 secret]# vim pod2.yaml

apiVersion: v1

kind: Pod

metadata:

name: mysecret

spec:

containers:

- name: nginx

image: nginx

volumeMounts:

- name: secrets

mountPath: "/secret"

readOnly: true

volumes:

- name: secrets

secret:

secretName: mysecret

items:

- key: username

path: my-group/my-username  #指定路径为/secret/my-group/my-username

创建pod,查看pod。进入mysecret,在/secret/my-group/my-username可以看到username

[root@k8s2 secret]# kubectl apply -f pod2.yaml

进入mysecret,在/secret/my-group/my-username可以看到username

[root@k8s2 secret]# kubectl exec mysecret -- cat /secret/my-group/my-username

admin

[root@k8s2 secret]# kubectl delete -f pod2.yaml

存储docker registry的认证信息

创建myregistrykey,指定仓库名字,给定仓库的用户名和密码

[root@k8s2 secret]# kubectl create secret docker-registry myregistrykey --docker-server=reg.westos.org --docker-username=admin --docker-password=westos --docker-email=yakexi007@westos.org

查看

 创建私有仓库

如果我们需要拉取私有仓库中的docker镜像的话就需要使用到上面的myregistry这个Secret

编写yaml文件

[root@k8s2 secret]# vim pod3.yaml

apiVersion: v1

kind: Pod

metadata:

name: mypod

spec:

containers:

- name: game2048

image: reg.westos.org/westos/game2048

imagePullSecrets:

- name: myregistrykey #给定仓库认证信息

创建pod,查看

[root@k8s2 secret]# kubectl apply -f pod3.yaml

pod/mypod created

查看

[root@k8s2 secret]# kubectl get pod

NAME READY STATUS RESTARTS AGE

mypod 1/1 Running 0 3s

fx_872431785
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
K8S第一讲 Kubernetes之Secret详解
程序员路同学
04-23 556
K8S第一讲 k8s之Secret详解
k8s之ServiceIngress,service-nodeport.yaml,mandatory.yaml
最新发布
03-03
标签`k8s ingress`提示了我们讨论的重点——Ingress资源。Ingress是一个定义外部网络到Kubernetes Service路由的集合,通常与Ingress Controller一起使用,如Nginx。`nginx-tomcat.yaml`可能定义了一个Ingress规则...
k8s的存储(secret使用)
zhaikaiyun的博客
02-24 541
1、Secret概览Secret是一种包含少量敏感信息例如密码、token 或 key 的对象。将这些信息放在secret中比放在Pod的定义或者容器镜像中来说更加安全和灵活,并降低意外暴露的风险。 2、内置secretService Account使用 API 凭证自动创建和附加 secret Kubernetes自动创建包含访问 API凭据的secret,并自动修改您的 pod 以使用此类型...
k8s --使用secret
IT艺术家-rookie的博客
04-20 3991
为什么要使用secret 官网说明 以前一些数据库密码可能会写在配置文件中springboot工程中一般是application.yaml。有的会直接写明文,有的加密之后把密文写在配置文件中。 k8s中secret是一种包含少量敏感信息例如密码、令牌或密钥的对象。 这样的信息可能会被放在 Pod 规约中或者镜像中。 使用 Secret 意味着你不需要在应用程序代码中包含机密数据。 Secret 类似于 ConfigMap 但专门用于保存机密数据。 Pod使用Secret Pod有用三种方式来使用 Sec
k8s实践(7)- k8s Secrets
黄规速博客:学如逆水行舟,不进则退
06-16 1084
Secrets是Kubernetes中一种对象类型,用来保存密码、私钥、口令等敏感信息。与直接将敏感信息嵌入image、pod相比,Secrets更安全、更灵活,用户对敏感信息的控制力更强。同Docker对敏感信息的管理类似,首先用户创建Secrets将敏感信息加密后保存在集群中,创建pod时通过volume、环境变量引用Secrets。 1. Secret类型 Secret有三种类型: O...
k8s之Secret详细理解及使用
热门推荐
skh2015java的博客
10-22 3万+
Secret介绍 k8s secrets用于存储和管理一些敏感数据,比如密码,token,密钥等敏感信息。它把 Pod 想要访问的加密数据存放到 Etcd 中。然后用户就可以通过在 Pod 的容器里挂载 Volume 的方式或者环境变量的方式访问到这些 Secret 里保存的信息了。 Secret有三种类型 Opaque:base64 编码格式的 Secret,用来存储密码、密钥等;但数据也可以通过base64 –decode解码得到原始数据,所有加密性很弱。 Service Account:.
【2021年12月升级版】Kubernetes全栈架构师:基于世界500强的k8s实战课程.rar
01-05
《Kubernetes全栈架构师:基于世界500强的k8s实战课程》是针对2021年12月最新更新的V1.22版本设计的高级培训课程,旨在帮助学员深入理解并掌握Kubernetes(k8s)这一核心容器编排系统。课程内容涵盖Kubernetes的基础...
k8s-1.13.1.tar
01-08
【描述】"k8s-1.13.0.tar" 描述的是同一系列的前一个版本——1.13.0。这表明你可能在对比或者升级两个不同版本的 Kubernetes。Kubernetes 的每个版本都可能包含新功能、性能优化、安全修复以及对现有特性的改进。 ...
terraform-k8s-praktikum11-4
03-18
【Terraform与Kubernetes的实战教程:Terraform-k8s-praktikum11-4】 在本文中,我们将深入探讨如何使用Terraform管理和部署Kubernetes资源。Terraform是一种流行的基础设施即代码(IAC)工具,它允许我们以声明式...
k8s-intro-tutorials:Kubernetes入门教程
02-04
- **ConfigMaps** 和 **Secrets**:ConfigMaps 用于存储非敏感的配置数据,而 Secrets 用于存储敏感信息,如密码和密钥,它们都以键值对的形式提供给 Pods 使用。 **7. 网络策略** - **Network Policies**:...
Kubernetes存储之Secret
Rainable
07-03 921
Secret配置管理 Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 ssh key。 敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。 Pod 可以用两种方式使用 secret: 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里。 当 kubelet 为 pod 拉取镜像时使用。 Secret的类型: Service Account:Kubernetes 自动创建包含访问 API 凭据的 secret,并自动修改pod
Kubernetes 中的 Secret加密存储
丰耳的博客
01-03 1216
为安全方便的将K8S的secret进行git版本,需要引入对secret进行加密的工具:Sealed-Secrets
K8S Secret 一文详解, 全面覆盖 Secret 使用场景 | 全家桶
aifeier的博客
01-10 3280
Secret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 这样的信息可能会被放在 Pod 规约中或者镜像中。 使用 Secret 意味着你不需要在应用程序代码中包含机密数据。由于创建 Secret 可以独立于使用它们的 Pod, 因此在创建、查看和编辑 Pod 的工作流程中暴露 Secret(及其数据)的风险较小。 Kubernetes 和在集群中运行的应用程序也可以对 Secret 采取额外的预防措施, 例如避免将敏感数据写入非易失性存储
K8S:配置资源管理 Secret和configMap
Katie_ff的博客
10-07 1281
本文主要是对K8S的配置资源管理 Secret和configMap两者的介绍,Secret 主要是用来保存密码、token、密钥等敏感数据的 k8s 资源,这类数据虽然也可以存放在 Pod 或者镜像中,但是放在 secret 中是为了更方便的控制如何使用数据,并减少暴露的风险ConfigMap与Secret类似,区别在于configMap保存的是不需要加密配置的信息。并且对ConfigMap和Secret两者如何创建及应用场景、案例使用列举
Docker 第八章 docker-registry
weixin_30410999的博客
06-20 265
私有仓库 [root@localhost ~]# yum info docker-registry Loaded plugins: fastestmirror Loading mirror speeds from cached hostfile Available Packages Name : docker-registry Arch : x86...
k8s 配置docker 私有镜像仓库 secret
伟大的大威的博客
10-09 2033
k8s 配置docker 私有镜像仓库 secret
k8s学习-Secret(创建、使用、更新、删除等)
关注网络安全、云原生安全
08-20 8494
注意:Base64只是一种编码,不含密钥的,并不安全。任何拥有 API 访问权限的人都可以检索或修改 Secret,任何有权访问 etcd 的人也可以。此外,任何有权限在命名空间中创建 Pod 的人都可以使用该访问权限读取该命名空间中的任何 Secret;使用该 ServiceAccount 创建的任何 Pod 和默认使用该 ServiceAccount 的 Pod 将会将其的 imagePullSecret 字段设置为服务帐户的 imagePullSecret 值。中的安全部分详细展开。
【K8S 二】搭建Docker Registry私有仓库(自签发证书+登录认证)(K8S和非K8S环境下)
刘元林的博客
11-19 5906
Go 1.15 版本开始废弃 CommonName,因此推荐使用 SAN 证书 docker run -d -e REGISTRY_AUTH="htpasswd" -e REGISTRY_AUTH_HTPASSWD_PATH="/auth/htpasswd" \ -e REGISTRY_AUTH_HTPASSWD_REALM="Registry Realm" \ -v /opt/registry/images:/var/lib/registry \
k8s拉取私有仓库镜像:通过config.json文件或命令行来创建secret(docker-registry)
学亮编程手记
03-08 3284
通过config.json文件来创建 kubectl create secret generic xxx-key \ --from-file=.dockerconfigjson=/root/.docker/config.json \ --type=kubernetes.io/dockerconfigjson 背景说明: imagePullSecret资源将Secret提供的密码传递给kubelet从而在拉取镜像前完成必要的认证过程,简单说就是你的镜像仓库是私有的,每次拉取是需要认证的。 配
K8S+在生产环境下的安全困境和解决方案.pdf
12-15
Kubernetes (K8s) 是一个强大的容器编排平台,被广泛应用于生产环境中,它带来了诸多优势,如统一交付单元、可移植性、成本效益以及简化持续集成/持续部署(CI/CD)流程。然而,随着其广泛应用,也带来了一系列安全...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值