Secret配置管理

最新推荐文章于 2023-10-07 09:01:23 发布
最新推荐文章于 2023-10-07 09:01:23 发布
阅读量370 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59750991/article/details/119295890
版权

一.Secret概述

Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 ssh key。

敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。

Pod 可以用两种方式使用 secret:

作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里。

当 kubelet 为 pod 拉取镜像时使用。

Secret的类型:

Service Account:Kubernetes 自动创建包含访问 API 凭据的 secret,并自动修改 pod 以使用此类型的 secret。

Opaque:使用base64编码存储信息,可以通过base64 --decode解码获得原始数据,因此安全性弱。

kubernetes.io/dockerconfigjson:用于存储docker registry的认证信息。

二.Service Account

serviceaccout 创建时 Kubernetes 会默认创建对应的 secret。对应的 secret 会自动挂载到 Pod 的 /run/secrets/kubernetes.io/serviceaccount 目录中。

[root@server2 ~]# kubectl run nginx --image=nginx
pod/nginx created
[root@server2 ~]# kubectl exec -it nginx -- bash
root@nginx:/# cd /var/run/secrets/kubernetes.io/serviceaccount/
root@nginx:/var/run/secrets/kubernetes.io/serviceaccount# ls
ca.crt	namespace  token

每个namespace下有一个名为default的默认的ServiceAccount对象

[root@server2 ~]# kubectl get secrets 
NAME                  TYPE                                  DATA   AGE
default-token-6k92n   kubernetes.io/service-account-token   3      7d1h


 kubectl get pod -o yaml
       volumeMounts:
      - mountPath: /etc/nginx/conf.d
        name: config-volume
      - mountPath: /var/run/secrets/kubernetes.io/serviceaccount
        name: kube-api-access-shcd7
        readOnly: true

Opaque Secret

Opaque Secret 其value为base64编码后的值。

[root@server2 ~]# echo -n 'admin' > ./username.txt
[root@server2 ~]# echo -n 'westos' > ./password.txt
[root@server2 ~]# kubectl create secret generic db-user-pass --from-file=./username.txt --from-file=./password.txt
secret/db-user-pass created
[root@server2 ~]# kubectl get secrets
NAME                  TYPE                                  DATA   AGE
db-user-pass          Opaque                                2      25s

默认情况下 kubectl get和kubectl describe 为了安全是不会显示密码的内容,可以通过以下方式查看:

[root@server2 ~]# kubectl get secrets db-user-pass -o yaml
apiVersion: v1
data:
  password.txt: d2VzdG9z
  username.txt: YWRtaW4=
kind: Secret
metadata:
  creationTimestamp: "2021-08-01T03:31:57Z"
  name: db-user-pass
  namespace: default
  resourceVersion: "860331"
  uid: 364ad64c-5f9d-42d8-bc67-59f75fa06c63
type: Opaque

当然这样只是简单的base64加密 解码就会变成明文
在这里插入图片描述

secret应用

[root@server2 ~]# echo -n 'admin' | base64
YWRtaW4=
[root@server2 ~]# echo -n 'westos'
westos[root@server2 ~]# echo -n 'westos'| base64
d2VzdG9z
[root@server2 ~]# mkdir secret
[root@server2 ~]# cd secret/
[root@server2 secret]# ls
[root@server2 secret]# vim mysecret.yaml


[root@server2 secret]# cat mysecret.yaml 
apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  username: YWRtaW4=
  password: d2VzdG9z

---
apiVersion: v1
kind: Pod
metadata:
  name: mysecret
spec:
  containers:
  - name: nginx
    image: nginx
    volumeMounts:
    - name: secrets
      mountPath: "/secret"
      readOnly: true
  volumes:
  - name: secrets
    secret:
      secretName: mysecret


[root@server2 secret]# kubectl apply -f mysecret.yaml 
secret/mysecret created
pod/mysecret created

[root@server2 secret]# kubectl  get pod
NAME                       READY   STATUS    RESTARTS   AGE
my-nginx-b9b58dbdf-mzs92   1/1     Running   0          169m
mysecret                   1/1     Running   0          8m44s
nginx                      1/1     Running   0          164m

查看volume下的password文件

[root@server2 secret]# kubectl exec -it mysecret bash
root@mysecret:/#  cat  /secret/password
westos

[root@server2 secret]# kubectl delete -f mysecret.yaml 
secret "mysecret" deleted
pod "mysecret" deleted

向指定路径映射 secret 密钥
指定路径/secret/my-group/my-username

[root@server2 secret]# kubectl apply -f mysecret.yaml 
secret/mysecret created
pod/mysecret created
[root@server2 secret]# kubectl exec -it mysecret bash
kubectl exec [POD] [COMMAND] is DEPRECATED and will be removed in a future version. Use kubectl exec [POD] -- [COMMAND] instead.
root@mysecret:/# cat /secret/my-group/my-username
admin

[root@server2 secret]# cat mysecret.yaml 
apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  username: YWRtaW4=
  password: d2VzdG9z

---
apiVersion: v1
kind: Pod
metadata:
  name: mysecret
spec:
  containers:
  - name: nginx
    image: nginx
    volumeMounts:
    - name: secrets
      mountPath: "/secret"
      readOnly: true
  volumes:
  - name: secrets
    secret:
      secretName: mysecret
      items:
      - key: username
        path: my-group/my-username

将Secret设置为环境变量

环境变量读取Secret很方便,但无法支撑Secret动态更新。

[root@server2 secret]# kubectl apply -f secret.yaml 
pod/secret-env created
[root@server2 secret]# kubectl get pod
secret-env                 1/1     Running   0          14s
[root@server2 secret]# kubectl exec secret-env env

SECRET_USERNAME=admin
SECRET_PASSWORD=westos

在这里插入图片描述

[root@server2 secret]# cat secret.yaml 
apiVersion: v1
kind: Pod
metadata:
  name: secret-env
spec:
  containers:
  - name: nginx
    image: nginx
    env:
      - name: SECRET_USERNAME
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: username
      - name: SECRET_PASSWORD
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: password

docker registry
kubernetes.io/dockerconfigjson用于存储docker registry的认证信息

[root@server2 secret]# kubectl create secret docker-registry myregistrykey --docker-server=reg.westos.org --docker-username=admin --docker-password=westos --docker-email=root@westos.org
secret/myregistrykey created


[root@server2 secret]# cat mypod.yaml 
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
    - name: nginx
      image: reg.westos.org/westos/nginx
  #imagePullSecrets:
  #
  #  #  - name: myregistrykey


[root@server2 secret]# kubectl apply -f mypod.yaml 
pod/mypod created
[root@server2 secret]# kubectl get pod
NAME                       READY   STATUS              RESTARTS   AGE
mypod                      0/1     ContainerCreating   0          11s

你可以使用下面的命令执行体面地删除 Pod:

kubectl delete pods pod

[root@server2 secret]# kubectl apply -f mypod.yaml 
pod/mypod created
[root@server2 secret]# kubectl get pod
NAME                       READY   STATUS             RESTARTS   AGE
mypod                      1/1     Running   0          88s
m0_59750991
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Kubernetes---Secret配置管理
Jelly
04-21 1049
一、Secret配置管理介绍 Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 ssh key。 敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。 Pod 可以用两种方式使用 secret: • 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里; • 当 kubelet 为 pod 拉取镜像时使用。 Secret的类型: • Service Account:K...
secret配置管理中心
m0_46445748的博客
02-13 105
k8s secret
kubernetes存储之Secret配置管理
weixin_43834060的博客
06-30 235
一、简介 Secret配置只要用来存放一些敏感信息,例如用户名认证,镜像的拉取中仓库的用户认证等等。Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 ssh key。敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。 Pod 可以用两种方式使用 secret: • 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里。 • 当 kubelet 为 pod 拉取镜像时使用。 Secret的类型: • Service Account:Kub
k8s--Kubernetes存储--Secret配置管理
Gong_yz的博客
03-13 895
- Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 ssh key。 - 敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。 - Pod 可以用两种方式使用 secret: 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里。 当 kubelet 为 pod 拉取镜像时使用。
15-Docker Secret管理和使用
HJ的技术博客
01-16 1022
Docker Secret管理和使用1. 什么secret2. Docker Swarm Mode Architecture3. secret management 1. 什么secret 用户名密码 SSH Key TLS认证 任何不想让别人看到的数据 2. Docker Swarm Mode Architecture secret在docker中是如何管理的呢?重温一下这个图: dock...
CCNA ios配置管理
04-26
本文将深入讲解CCNA中关于iOS配置管理的知识点。 首先,Cisco IOS(Internetwork Operating System)是Cisco路由器和交换机的操作系统,提供了丰富的网络功能和配置选项。iOS的配置管理模式是理解其工作原理的关键...
网络设备配置与管理3交换机基本配置
03-17
网络设备配置与管理3交换机基本配置 本文将详细介绍交换机基本配置的步骤和命令,包括超级终端的使用、接口配置、特权模式下的配置、VLAN 配置、远程登陆功能的配置等。 一、超级终端的使用 超级终端是一种常用的...
phpmyadmin配置文件现在需要绝密的短密码(blowfish_secret)的2种解决方法
10-25
在使用PHPMyAdmin进行数据库管理时,安全性是至关重要的。`blowfish_secret` 是一个用于加密cookie认证的密钥,它确保了用户的身份验证过程更加安全。当你首次尝试访问安装在CentOS或类似系统上的PHPMyAdmin时,可能...
TokenRenew:更新 form.secret 配置参数
06-20
该模块可以更新 form.secret 配置参数。 此参数用于创建 Thelia 表单中使用的唯一 CSRF 令牌。 安装 手动 将模块复制到<thelia>/local/modules/目录中,并确保模块的名称是 TokenRenew。 在你的 thelia 管理面板中...
管理设备配置.docx
10-14
在本次课程“管理设备配置”中,主要讲解了如何管理和配置网络设备,特别是Cisco路由器的基本操作。教学目标集中在以下几个方面: 1. **路由器的基本配置**:课程涵盖了配置路由器主机名、FastEthernet接口、IP地址...
【Kubernetes资源篇】Secret加密数据配置管理详解
热门推荐
秦子腾
07-02 1万+
用于存放明文非加密数据,比如程序的配置文件等信息,ConfigMap并不能实现加密,如果存放一下token、密码、秘钥等敏感信息我们要使用Secret类型来进行加密。使用busybox镜像创建Deployment资源,并引入Secret。创建deployment,引入secret。上篇文章讲解了 ConfigMap资源。
kubernetes存储(二)——Secret配置管理+应用+挂载+映射 secret 密钥+Secret定义为环境变量
qq_46089299的博客
07-03 1353
一、secret的介绍 Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 ssh key。 敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。 Pod 可以用两种方式使用 secret: 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里。 当 kubelet 为 pod 拉取镜像时使用。 Secret的类型: Service Account:Kubernetes 自动创建包含访问 API 凭据的 secret,并自动修改 pod
kubernetes-9 存储之Secret配置管理Service Account、Opaque、dockerconfigjson
Ma_JunSSR的博客
08-05 778
1、什么是Secret? Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 ssh key。 敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。 Pod 可以用两种方式使用 secret: (1)作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里。 (2)当 kubelet 为 pod 拉取镜像时使用。 Secret的类型: (1)Service Account:Kubernetes 自动创建包含访问 API 凭据的 secret,并
Replit中的SECRETS标签添加变量怎么用
大涛子的博客
04-03 1599
问题描述 添加一个环境变量作为配置选项。 在项目根目录创建一个 .env 文件,并存储变量 MESSAGE_STYLE=uppercase。 当向 /json 发 GET 请求时,如果 process.env.MESSAGE_STYLE 的值为 uppercase,那么上一次挑战中的路由处理程序返回的对象的消息则应该大写。 响应对象应该是{"message": "Hello json"}or {"message": "HELLO JSON"},取决于 MESSAGE_STYLE 的值。 注意: 如果你正在使
Secrets使用
qq_42218187的博客
06-24 534
Secret 有三种类型: Opaque:base64 编码格式的 Secret,⽤来存储密码、密钥等;但数据也可以通过base64 – decode解码得到原始数据,所有加密性很弱。 kubernetes.io/dockerconfigjson:⽤来存储私有docker registry的认证信息。 kubernetes.io/service-account-token:⽤于被 serviceaccount 引⽤,serviceaccout 创建时 Kubernetes会默认创建对应的secret。Po
K8S:配置资源管理 Secret和configMap
最新发布
Katie_ff的博客
10-07 1313
本文主要是对K8S的配置资源管理 Secret和configMap两者的介绍,Secret 主要是用来保存密码、token、密钥等敏感数据的 k8s 资源,这类数据虽然也可以存放在 Pod 或者镜像中,但是放在 secret 中是为了更方便的控制如何使用数据,并减少暴露的风险ConfigMap与Secret类似,区别在于configMap保存的是不需要加密配置的信息。并且对ConfigMap和Secret两者如何创建及应用场景、案例使用列举
K8s secret配置
杨仕虎的博客
02-09 1820
secret secret用于保存铭感信息,比如密码、ssh-key、令牌等等 存储格式:K/V键值对 使用方式:环境变量和挂载(volumes) 密文方式:base64 创建方式:命令行创建和配置清单 使用场景: opaque:通用自定义数据,base64编码 kubernetes.io/service-account-token:用于存储SA用户认证信息 kubernetes.io/dockerconfigjson:用户存储docker仓库认证信息 kubernetes.io/tls:用于tls通讯
Kubernetes中的Secret配置
weixin_34013044的博客
12-21 1442
Secret 概览 Secret 是一种包含少量敏感信息例如密码、token 或 key 的对象。这样的信息可能会被放在 Pod spec 中或者镜像中;将其放在一个 secret 对象中可以更好地控制它的用途,并降低意外暴露的风险。 用户可以创建 secret,同时系统也创建了一些 secret。 要使用 secret,pod 需要引用 secret。Pod 可以用两种方式使用 se...
小程序登录及AppSecret(小程序密钥)
weixin_30471065的博客
07-03 1万+
在授权开发以后,需要提交小程序密钥,有小程序密钥第三方才有能力获取用户的一些信息,提供一些能力! 平台分别提供多种方式实现微信登录: 1. 调用wx.login接口,静默获取openid 适用场景:无需使用用户头像、昵称、Unionid信息 2. 使用open-data(小程序)或者开放数据域(小游戏)的方式展示用户信息(无需用户授权) 适用场景:需要在前端“展示”用户头像、昵称...
手把手教你配置Tomcat管理工具
"本文档主要介绍了如何配置Apache Tomcat服务器,特别是如何设置和使用AdminWebApplication进行系统管理。" 在配置Tomcat时,AdminWebApplication是一个关键的组件,它提供了对服务器内部状态和管理任务的直观界面...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值