Secret配置管理

一.Secret概述

Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 ssh key。

敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。

Pod 可以用两种方式使用 secret:

作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里。

当 kubelet 为 pod 拉取镜像时使用。

Secret的类型:

Service Account:Kubernetes 自动创建包含访问 API 凭据的 secret,并自动修改 pod 以使用此类型的 secret。

Opaque:使用base64编码存储信息,可以通过base64 --decode解码获得原始数据,因此安全性弱。

kubernetes.io/dockerconfigjson:用于存储docker registry的认证信息。

二.Service Account

serviceaccout 创建时 Kubernetes 会默认创建对应的 secret。对应的 secret 会自动挂载到 Pod 的 /run/secrets/kubernetes.io/serviceaccount 目录中。

[root@server2 ~]# kubectl run nginx --image=nginx
pod/nginx created
[root@server2 ~]# kubectl exec -it nginx -- bash
root@nginx:/# cd /var/run/secrets/kubernetes.io/serviceaccount/
root@nginx:/var/run/secrets/kubernetes.io/serviceaccount# ls
ca.crt	namespace  token

每个namespace下有一个名为default的默认的ServiceAccount对象

[root@server2 ~]# kubectl get secrets 
NAME                  TYPE                                  DATA   AGE
default-token-6k92n   kubernetes.io/service-account-token   3      7d1h

 kubectl get pod -o yaml
       volumeMounts:
      - mountPath: /etc/nginx/conf.d
        name: config-volume
      - mountPath: /var/run/secrets/kubernetes.io/serviceaccount
        name: kube-api-access-shcd7
        readOnly: true

Opaque Secret

Opaque Secret 其value为base64编码后的值。

[root@server2 ~]# echo -n 'admin' > ./username.txt
[root@server2 ~]# echo -n 'westos' > ./password.txt
[root@server2 ~]# kubectl create secret generic db-user-pass --from-file=./username.txt --from-file=./password.txt
secret/db-user-pass created
[root@server2 ~]# kubectl get secrets
NAME                  TYPE                                  DATA   AGE
db-user-pass          Opaque                                2      25s

默认情况下 kubectl get和kubectl describe 为了安全是不会显示密码的内容,可以通过以下方式查看:

[root@server2 ~]# kubectl get secrets db-user-pass -o yaml
apiVersion: v1
data:
  password.txt: d2VzdG9z
  username.txt: YWRtaW4=
kind: Secret
metadata:
  creationTimestamp: "2021-08-01T03:31:57Z"
  name: db-user-pass
  namespace: default
  resourceVersion: "860331"
  uid: 364ad64c-5f9d-42d8-bc67-59f75fa06c63
type: Opaque

当然这样只是简单的base64加密 解码就会变成明文
在这里插入图片描述

secret应用

[root@server2 ~]# echo -n 'admin' | base64
YWRtaW4=
[root@server2 ~]# echo -n 'westos'
westos[root@server2 ~]# echo -n 'westos'| base64
d2VzdG9z
[root@server2 ~]# mkdir secret
[root@server2 ~]# cd secret/
[root@server2 secret]# ls
[root@server2 secret]# vim mysecret.yaml

[root@server2 secret]# cat mysecret.yaml 
apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  username: YWRtaW4=
  password: d2VzdG9z

---
apiVersion: v1
kind: Pod
metadata:
  name: mysecret
spec:
  containers:
  - name: nginx
    image: nginx
    volumeMounts:
    - name: secrets
      mountPath: "/secret"
      readOnly: true
  volumes:
  - name: secrets
    secret:
      secretName: mysecret

[root@server2 secret]# kubectl apply -f mysecret.yaml 
secret/mysecret created
pod/mysecret created
[root@server2 secret]# kubectl  get pod
NAME                       READY   STATUS    RESTARTS   AGE
my-nginx-b9b58dbdf-mzs92   1/1     Running   0          169m
mysecret                   1/1     Running   0          8m44s
nginx                      1/1     Running   0          164m

查看volume下的password文件

[root@server2 secret]# kubectl exec -it mysecret bash
root@mysecret:/#  cat  /secret/password
westos
[root@server2 secret]# kubectl delete -f mysecret.yaml 
secret "mysecret" deleted
pod "mysecret" deleted

向指定路径映射 secret 密钥
指定路径/secret/my-group/my-username

[root@server2 secret]# kubectl apply -f mysecret.yaml 
secret/mysecret created
pod/mysecret created
[root@server2 secret]# kubectl exec -it mysecret bash
kubectl exec [POD] [COMMAND] is DEPRECATED and will be removed in a future version. Use kubectl exec [POD] -- [COMMAND] instead.
root@mysecret:/# cat /secret/my-group/my-username
admin
[root@server2 secret]# cat mysecret.yaml 
apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  username: YWRtaW4=
  password: d2VzdG9z

---
apiVersion: v1
kind: Pod
metadata:
  name: mysecret
spec:
  containers:
  - name: nginx
    image: nginx
    volumeMounts:
    - name: secrets
      mountPath: "/secret"
      readOnly: true
  volumes:
  - name: secrets
    secret:
      secretName: mysecret
      items:
      - key: username
        path: my-group/my-username

将Secret设置为环境变量

环境变量读取Secret很方便,但无法支撑Secret动态更新。

[root@server2 secret]# kubectl apply -f secret.yaml 
pod/secret-env created
[root@server2 secret]# kubectl get pod
secret-env                 1/1     Running   0          14s
[root@server2 secret]# kubectl exec secret-env env

SECRET_USERNAME=admin
SECRET_PASSWORD=westos


在这里插入图片描述

[root@server2 secret]# cat secret.yaml 
apiVersion: v1
kind: Pod
metadata:
  name: secret-env
spec:
  containers:
  - name: nginx
    image: nginx
    env:
      - name: SECRET_USERNAME
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: username
      - name: SECRET_PASSWORD
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: password

docker registry
kubernetes.io/dockerconfigjson用于存储docker registry的认证信息

[root@server2 secret]# kubectl create secret docker-registry myregistrykey --docker-server=reg.westos.org --docker-username=admin --docker-password=westos --docker-email=root@westos.org
secret/myregistrykey created

[root@server2 secret]# cat mypod.yaml 
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
    - name: nginx
      image: reg.westos.org/westos/nginx
  #imagePullSecrets:
  #
  #  #  - name: myregistrykey

[root@server2 secret]# kubectl apply -f mypod.yaml 
pod/mypod created
[root@server2 secret]# kubectl get pod
NAME                       READY   STATUS              RESTARTS   AGE
mypod                      0/1     ContainerCreating   0          11s

你可以使用下面的命令执行体面地删除 Pod:

kubectl delete pods pod

[root@server2 secret]# kubectl apply -f mypod.yaml 
pod/mypod created
[root@server2 secret]# kubectl get pod
NAME                       READY   STATUS             RESTARTS   AGE
mypod                      1/1     Running   0          88s

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
配置Cisco设备进行远程管理,需要遵循以下步骤: 1. 启用远程管理协议: Cisco设备支持多种远程管理协议,如SSH、Telnet、HTTP、HTTPS等。您可以选择其中一种或多种协议来启用,以便从远程位置管理设备。要启用SSH协议,可以使用以下命令: ``` conf t crypto key generate rsa ip ssh version 2 line vty 0 4 transport input ssh login local ``` 2. 配置远程访问权限:要允许远程用户访问设备,您需要为其创建用户名和密码。您可以使用本地用户数据库或RADIUS服务器进行身份验证。要创建本地用户名和密码,请使用以下命令: ``` conf t username <username> privilege 15 secret <password> ``` 3. 配置访问控制列表(ACL):为了保护设备免受未经授权的访问,您可以配置ACL来限制远程访问。要创建ACL,请使用以下命令: ``` conf t access-list <ACL number> permit <source IP> ``` 4. 配置安全套接字层(SSL):如果您使用的是HTTP或HTTPS协议进行远程管理,则应在设备上配置SSL。要配置SSL,请使用以下命令: ``` conf t ip http secure-server ``` 5. 测试远程管理:一旦您完成了上述配置,就可以从远程位置测试设备的可访问性。您可以使用Telnet、SSH或浏览器来连接设备。例如,如果您使用SSH协议,请使用以下命令: ``` ssh <username>@<device IP> ``` 这些是配置Cisco设备进行远程管理的基本步骤。请注意,为了确保设备的安全性,建议采取其他安全措施,如启用基于时间的访问控制(TACACS+)或双因素身份验证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值