Kubernetes(k8s)之Secret私密凭据

最新推荐文章于 2024-06-04 07:15:00 发布
最新推荐文章于 2024-06-04 07:15:00 发布
阅读量1k 收藏 2
点赞数
分类专栏: Docker容器+k8s 文章标签: docker kubernetes 安全 运维 运维开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_55005311/article/details/119223703
版权

Secret

什么是Secret

Secret的主要作用是保管私密数据,例如密码、OAuth令牌和ssh key。

Secret从属于Service Account资源对象,属于Service Account的一 部分,在一个Service Account对象里面可以包括多个不同的Secret对象,分别用于不同目的的认证活动。

敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。

Secret的类型

1、Service Account:Kubernetes自动创建包含访问 API 凭据的 secret,并自动修改pod以使用此类型的 secret
2、Opaque:使用base64编码存储信息,可以通过base64 --decode解码获得原始数据,因此安全性弱。
3、kubernetes.io/dockerconfigjson:用于存储docker registry的认证信息。

Secret使用方式

一旦Secret被创建,就可以通过下面三种方式使用它:
1、在创建Pod时,通过为Pod指定Service Account来自动使用该Secret。
2、通过挂载该Secret到Pod来使用它。作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里。
3、当 kubelet 为 pod 拉取镜像时使用。通过指定Pod的spc.ImagePullSecrets来引用它。

在这里插入图片描述

演示环境

server1:172.25.38.1	harbor仓库端
server2:172.25.38.2	k8s master端
server3:172.25.38.3	k8s node端
server4:172.25.38.4	k8s node端

Service Account

serviceaccout 创建时 Kubernetes 会默认创建对应的 secret。对应的 secret 会自动挂载到 Pod 的 /run/secrets/kubernetes.io/serviceaccount 目录中。
在这里插入图片描述
进入pod可以看到有证书token等
在这里插入图片描述
每个namespace下有一个名为default的默认的ServiceAccount对象
在这里插入图片描述
ServiceAccount里有一个名为Tokens的可以作为Volume一样被Mount到Pod里的Secret,当Pod启动时这个Secret会被自动Mount到Pod的指定目录下,用来协助完成Pod中的进程访问API Server时的身份鉴权过程。
在这里插入图片描述

从文件中创建Secret

先写入用户名和密码文件,使用文件创建一个名为db-user-pass的secret
在这里插入图片描述
yaml格式查看可以看到经过base64位编码的用户名和密码(默认情况下 kubectl get和kubectl describe 为了安全是不会显示密码的内容)
在这里插入图片描述

编写一个 secret 对象

文件内容如下:

apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  username: YWRtaW4=
  password: d2VzdG9z

用下面命令可以将想编码的内容编码,然后可以写入文件

[root@server2 configmap]# echo redhat | base64
cmVkaGF0Cg==

用下图的命令可以解码
在这里插入图片描述
创建secret并查看
在这里插入图片描述
直接查看看不到内容
在这里插入图片描述

将Secret挂载到Volume中

在上面secret.yaml文件中加入创建pod的内容,将secret挂载到volume

apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  username: YWRtaW4=
  password: d2VzdG9z
---
apiVersion: v1
kind: Pod
metadata:
  name: mysecret
spec:
  containers:
  - name: nginx
    image: nginx
    volumeMounts:
    - name: secrets
      mountPath: "/secret"		#pod挂载点
      readOnly: true			#只读
  volumes:
  - name: secrets
    secret:
      secretName: mysecret		#应填充此卷的secret为mysecret

前台运行mysecret,进入挂载点可以看到用户名和密码,说明挂载成功
在这里插入图片描述

向指定路径映射secret密钥

在上面最新的secret.yaml文件的基础上在指定mysecret最后加入以下内容:
只指定挂载用户名

items:
      - key: username
        path: my-group/my-username

如下,挂载成功,查看成功
在这里插入图片描述

将Secret设置为环境变量

修改secret.yaml文件,修改后的内容如下:

apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  username: YWRtaW4=
  password: d2VzdG9z
---
apiVersion: v1
kind: Pod
metadata:
  name: secret-env		#创建的pod名
spec:
  containers:
  - name: nginx
    image: nginx
    env:
      - name: SECRET_USERNAME
        valueFrom:
          secretKeyRef:
            name: mysecret		#指定secert
            key: username		#指定键
      - name: SECRET_PASSWORD
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: password

重新应用后,调到前台运行pod,执行env命令查看环境变量(用户名在最后,太长我就没截图)
在这里插入图片描述
环境变量读取Secret很方便,但无法支撑Secret动态更新

创建registry的认证信息

kubernetes.io/dockerconfigjson用于存储docker registry的认证信息。

先在仓库创建一个不公开的项目,这样匿名是无法拉取该项目下的镜像的
在这里插入图片描述
创建secret,域名、用户名、密码要写自己仓库的,别写错了

kubectl create secret docker-registry myregistrykey --docker-server=reg.westos.org --docker-username=admin --docker-password=westos --docker-email=yang@163.com

在这里插入图片描述
存储docker registry的认证信息的secret就创建好了
在这里插入图片描述
在server1仓库端给那个不公开的项目上传一个镜像
在这里插入图片描述
写一个用secret完成认证的创建pod的配置文件

apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
    - name: game2048
      image: reg.westos.org/test/game2048:latest	#镜像地址写那个不公开的项目下的镜像
  imagePullSecrets:
    - name: myregistrykey	#拉取镜像时用的镜像文件

应用文件创建pod,可以看到镜像拉取没有问题,说明认证成功!
在这里插入图片描述

Tuki_a
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
KubernetesSecret使用详解
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
10-26 1万+
Secret解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。 Secret类型 Secret有三种类型: Opaque:base64编码格式的Secret,用来存储密码、密钥等;但数据也通过base64 –decode解码得到原始数据,所有加密性很弱。 kubernetes.io/doc...
k8s学习-Secret(创建、使用、更新、删除等)
关注网络安全、云原生安全
08-20 8482
注意:Base64只是一种编码,不含密钥的,并不安全。任何拥有 API 访问权限的人都可以检索或修改 Secret,任何有权访问 etcd 的人也可以。此外,任何有权限在命名空间中创建 Pod 的人都可以使用该访问权限读取该命名空间中的任何 Secret;使用该 ServiceAccount 创建的任何 Pod 和默认使用该 ServiceAccount 的 Pod 将会将其的 imagePullSecret 字段设置为服务帐户的 imagePullSecret 值。中的安全部分详细展开。
【云原生】kubernetessecret原理详解与应用实战
最新发布
景天科技苑
06-04 2万+
对于一些敏感数据,如密码、私钥等数据时,要用secret类型。 Secret解决了密码、token、秘钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。 Secret可以以Volume或者环境变量的方式使用。 要使用 secret,pod 需要引用 secret。Pod 可以用两种方式使用 secret: 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里, 或者当 kubelet 为 pod 拉取镜像时使用。
k8s-secret 配置使用secret
weixin_44204737的博客
04-27 963
kubernetes.io/basic-auth:用于使用基本认证(账号密码)的Secret,可以使用Opaque取代;secret的使用方式和configmap很像,secret使用加密的方式更加安全,configmap更适合传递配置文件。◆ kubernetes.io/tls:用于存储HTTPS域名证书文件的Secret,可以被Ingress使用;◆ kubernetes.io/dockerconfigjson:下载私有仓库镜像使用的Secret,◆Opaque:通用型Secret,默认类型;
Kubernetesk8s)的存储Secret 详细介绍
南宫乘风-Linux运维-虚拟化容器-Python编程 ownit.top
02-08 1088
Secret 存在意义 Secret 解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Spec 中。Secret 可以以 Volume 或者环境变量的方式使用 Secret 有三种类型: Service Account :用来访问 Kubernetes API,由 Kubernetes 自动创建,并且会自动挂载到 Pod 的/run/se...
k8s使用私有镜像仓库的访问凭据配置
清雨小竹
05-23 1264
k8s创建私有仓库凭据有两种方式1.使用kubectl命令创建secret2.使用docker凭证作为k8s凭据。:凭据名称DOCKER_REGISTRY_SERVER:私有服务地址DOCKER_USER:登录账号DOCKER_PASSWORD:密码DOCKER_EMAIL:邮箱。
kubernetes K8S超详细安装部署手册
02-02
kubernetes的本质是一组服务器集群,它可以在集群的每个节点上运行特定的 程序,来对节点中的容器进行管理。目的是实现资源管理的自动化,主要提供了 如下的主要功能: 自我修复:一旦某一个容器崩溃,能够在1秒中...
Kubernetes K8s CKA认证-PPT
05-24
安装k8s.pdf 0-docker.pdf 1.pod.pdf 10.安全及配额管理.pdf 13.devOps实战.pdf 14-sts.pdf 15.k8s升级.pdf 15.多master.pdf 2.volume.pdf 3.密码管理.pdf 4.deployment.pdf 5.daemonset.pdf 5.健康性...
Kubernetes(K8S)超快速入门视频教程
11-05
Kubernetes(K8S)是Google在2014年发布的一个开源项目,用于自动化容器化应用程序的部署、扩展和管理。Kubernetes通常结合docker容器工作,并且整合多个运行着docker容器的主机集群。 适用人群 零基础以及有一定运维...
Kubernetes K8S高级视频教程
02-06
Kubernetes K8S高级视频教程,目前的云计算(PaaS),事实上已经以K8S为标准建立平台,各大开源项目也都依据K8S对接进行开发或二次开发,所以K8S是目前云计算领域的必备技能,当能结合openstack+k8s双平台者的运维、...
Kubernetesk8s)面试题.pdf
05-10
Kubernetesk8s)是一个流行的容器编排系统,用于自动化应用程序容器的部署、扩展和管理。以下是与k8s相关的60个面试题,覆盖了从基础知识到高级用法。 ### 基础知识(1-20) 1. Kubernetes是什么? 2. 为什么...
K8S 之 Service Account+secret
zhangshaohuas的博客
08-06 2713
kubernetes集群有两类认证时的账号: user account(管理者、访问者) service account(pod)。顾名思义,主要是给service使用的一个账号。 具体一点,就是为了让Pod中的进程、服务能访问k8s集群而提出的一个概念。 基于service account,pod中的进程、服务能获取到一个username和令牌Token,从而调用kubernetes集群的api server。 kubectl get sa --all-namespaces NAMESPACE
k8sk8s存储配置之Secret
sl963216757的博客
07-11 1203
一、Secret 01_Secret简介 Secret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 将这些信息放在 secret 中比放在 Pod 的定义或者 容器镜像 中来说更加安全和灵活。 这样的信息可能会被放在 Pod 规约中或者镜像中。 用户可以创建 Secret,同时系统也创建了一些 Secret。 Kubernetes Secret 默认情况下存储为 base64-编码的、非加密的字符串。 默认情况下,能够访问 API 的任何人,或者能够访问 Kubernetes 下层数据存储(etcd
k8s 配置 Secret 集成Harbor
qq_34285557的博客
04-28 1689
本篇主要 记录一下 在 k8s 中如果想要 从 harbor拉取镜像 该怎么操作,以及介绍了一下 k8sSecret 是什么 1.Secret 是什么 1.1 Secret 概述 Secret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 这样的信息可能会被放在 Pod 规约中或者镜像中。 使用 Secret 意味着你不需要在应用程序代码中包含机密数据。 由于创建 Secret 可以独立于使用它们的 Pod, 因此在创建、查看和编辑 Pod 的工作流程中暴露 Secret(及其数据...
K8s 安全抽象:Secret
梦想起飞的地方.........
05-19 662
​​​​​​ Secret 是对敏感信息的抽象,例如:密码、token、SSH key,其他对象可引用Secret。 Pod 使用 Secret 有两种场景: 作为 volume 中的文件被挂载到 Pod 中一个或多个容器中 拉取镜像时需要使用 secret 作为安全凭证 Secret 分类 Secret 可分为三类: docker-registry: 创建一个给 Docker Registry 使用的 secret,实际是保存了账户密码。 generic:从本地 file, direct
jenkins部署K8S应用
char1otte的博客
02-01 2312
jenkins部署K8S应用
Kubernetes---Secret配置管理
Jelly
04-21 1044
一、Secret配置管理介绍 Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 ssh key。 敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。 Pod 可以用两种方式使用 secret: • 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里; • 当 kubelet 为 pod 拉取镜像时使用。 Secret的类型: • Service Account:K...
Kubernetes学习之Secret
Micky_Yang的博客
08-30 1333
一、认识Secret   Secret资源的功能类似于ConfigMap,但是它专用于存放敏感数据,例如密码、数字证书、私钥、令牌和SSH key等。   Secret对象存储数据的方式及使用方法类似于ConfigMap对象,以键值对方式存储数据,在Pod资源中通过环境变量或存储卷进行数据访问。不同的是,Secret对象仅会被分发至调用了此对象的Pod资源所在的工作节点,且只能由节点将其存储于内存中。另外,Secret对象的数据的存储及打印格式为Base64编码的字符串,因此用户在创建Secret对象时也要
Kubernetes之ServiceAccount+Secret(超详细汇总)
BigData_Mining的博客
03-13 1万+
第一章、前言 每一个用户对API资源进行操作都需要通经过以下三个步骤: 第一步:对客户端访问进行认证操作,确认是否具有访问k8s权限 token(共享秘钥) SSL(双向SSL认证) ....通过任何一个认证即表示认证通过,进入下一步 第二步:授权检查,确认是否对资源具有相关的权限 ABAC(基于属性的访问控制) RBAC(基于角色的访问控制) NODE(基...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值