【kubernetes系列】Kubernetes之Secret凭证

已于 2023-07-06 16:13:04 修改
阅读量951 收藏 2
点赞数
分类专栏: Kubernetes 文章标签: kubernetes 容器 云原生
于 2023-07-05 16:31:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/margu_168/article/details/131552212
版权

概述

在另外一章里面分享了ConfigMap的使用,我们知道ConfigMap这个资源对象是Kubernetes当中非常重要的一个对象,一般情况下ConfigMap是用来存储一些非安全的配置信息,如果涉及到一些安全相关的数据的话用ConfigMap就非常不安全,因为ConfigMap是明文存储的,我们说这个时候我们就需要用到另外一个资源对象了:Secret,Secret用来保存敏感信息,例如密码、OAuth 令牌和 ssh key等等,将这些信息放在Secret中比放在Pod的定义中或者docker镜像中来说更加安全和灵活,也便于更改,分发和使用。

Secret有四种TYPE(类型):

  • generic :base64编码格式的Secret,用来存储密码、密钥、信息、证书等,类型标识符为Opaque;但数据也通过base64 –decode解码得到原始数据,所有加密性很弱。
  • docker-registry :用来存储私有docker registry的认证信息,类型标识为kubernetes.io/dockerconfigjson。
  • tls:用于为SSL通信模式存储证书和私钥文件,命令式创建类型标识为kubernetes.io/tls。
  • kubernetes.io/service-account-token:用来访问Kubernetes API,由Kubernetes自动创建,并且会自动挂载到Pod的/var/run/secrets/kubernetes.io/serviceaccount目录中(鉴权使用)

示例

1、Opaque:

密码

方法一:

Opaque 类型的数据是一个 map 类型,要求value是base64编码格式,比如我们来创建一个用户名为 admin,密码为 Abcd@123的 Secret 对象,首先我们先把这用户名和密码做 base64 编码,如下:

[root@k8s-m1 tmp]# echo -n "admin" | base64
YWRtaW4=
[root@k8s-m1 tmp]# echo -n "Abcd@123" | base64
QWJjZEAxMjM=

然后我们就可以使用上面编码得到的数据来编写一个YML文件:secret-opaque.yml

[root@k8s-m1 tmp]# cat secret-opaque.yml 
apiVersion: v1
kind: Secret
metadata:
  name: opaquesecret
type: Opaque
data:
  username: YWRtaW4=
  password: QWJjZEAxMjM=
#创建
[root@k8s-m1 tmp]# kubectl apply  -f secret-opaque.yml 
secret/opaquesecret created

#查看
[root@k8s-m1 tmp]# kubectl get secrets 
NAME           TYPE     DATA   AGE
NAME                                  TYPE                                  DATA   AGE
default-token-glxls                   kubernetes.io/service-account-token   3      417d
opaquesecret                          Opaque                                2      18m
##其中default-token-glxls为创建集群时默认创建的secret,被serviceacount/default 引用。

#查看详情:
[root@k8s-m1 tmp]# kubectl describe secrets opaquesecret 
Name:         opaquesecret
Namespace:    default
Labels:       <none>
Annotations:  <none>

Type:  Opaque

Data
====
password:  8 bytes
username:  5 bytes

从上面我们可以看到利用describe命令查看到的Data没有直接显示出来,如果想看到Data里面的详细信息,同样我们可以通过输出成YAML文件进行查看:

[root@k8s-m1 tmp]# kubectl get secrets opaquesecret  -o yaml
apiVersion: v1
data:
  password: QWJjZEAxMjM=
  username: YWRtaW4=
kind: Secret
metadata:
  annotations:
    kubectl.kubernetes.io/last-applied-configuration: |
      {"apiVersion":"v1","data":{"password":"QWJjZEAxMjM=","username":"YWRtaW4="},"kind":"Secret","metadata":{"annotations":{},"name":"opaquesecret","namespace":"default"},"type":"Opaque"}
  creationTimestamp: "2023-07-05T05:51:57Z"
......

通过describe可以查看编码后的值,然而通过这个值是可以反向解码得到最初的值,所以说使用secret也只能从一定程度上解决了安全问题。

[root@k8s-m1 tmp]# echo "YWRtaW4="|base64 -d
admin[root@k8s-m1 tmp]# echo "QWJjZEAxMjM="|base64 -d
Abcd@123[root@k8s-m1 tmp]#
#可以看到最初设置的账号和密码
方法二:或者通过文件直接创建,会自动编码,key就是相应的文件名,如:
[root@k8s-m1 tmp]# echo -n 'admin' > ./username.txt
[root@k8s-m1 tmp]# echo -n 'Abcd@123' > ./password.txt

[root@k8s-m1 tmp]# kubectl create secret generic opaquesecret-1 \
  --from-file=./username.txt \
  --from-file=./password.txt
secret/opaquesecret-1 created

[root@k8s-m1 tmp]# kubectl get secrets opaquesecret-1 -o yaml
apiVersion: v1
data:
  password.txt: QWJjZEAxMjM=
  username.txt: YWRtaW4=

[root@k8s-m1 tmp]# echo "QWJjZEAxMjM=" |base64 -d

证书

Opaque类型也可以用于存放证书类型,如下通过secret创建一个dashboard使用的证书:

[root@k8s-m1 ~]# kubectl create secret generic ingress-secret --from-file=./dashboard.crt --from-file=dashboard.key=./dashboard.key -n kube-system
secret/ingress-secret created

[root@k8s-m1 ~]# kubectl get secrets -n kube-system
NAME                  TYPE                                  DATA   AGE
default-token-w64jw   kubernetes.io/service-account-token   3      38m
ingress-secret        Opaque                                2      11s

[root@k8s-m1 ~]# kubectl describe  secrets -n kube-system ingress-secret

2、kubernetes.io/dockerconfigjson

除了上面的Opaque这种类型外,我们还可以来创建用户docker registry认证的Secret,直接使用kubectl create命令创建即可,如下:

[root@k8s-m1 ~]# kubectl create secret docker-registry myregistry --docker-server=DOCKER_SERVER --docker-username=DOCKER_USER --docker-password=DOCKER_PASSWORD --docker-email=DOCKER_EMAIL

#或者
[root@k8s-m1 ~]# kubectl create secret generic docker-registry     --from-file=.dockerconfigjson=./.docker/config.json     --type=kubernetes.io/dockerconfigjson 
secret/docker-registry created
#注意config.json文件是我们手动登录镜像仓库自动生成的

然后查看Secret列表:
[root@k8s-m1 ~]# kubectl get secrets
NAME TYPE DATA AGE
docker-registry kubernetes.io/dockerconfigjson 1 2m42s
myregistry kubernetes.io/dockerconfigjson 1 4m44s
注意看上面的TYPE类型,都是kubernetes.io/dockerconfigjson,同样的可以使用describe命令来查看详细信息:

[root@k8s-m1 ~]# kubectl describe secrets  myregistry 
Name:         myregistry
Namespace:    default
Labels:       <none>
Annotations:  <none>

Type:  kubernetes.io/dockerconfigjson

Data
====
.dockerconfigjson:  92 bytes

同样的可以看到Data区域没有直接展示出来,如果想查看的话可以使用-o yaml来输出展示出来:

[root@k8s-m1 ~]# kubectl describe secrets  myregistry 
Name:         myregistry
Namespace:    default
Labels:       <none>
Annotations:  <none>

Type:  kubernetes.io/dockerconfigjson

Data
====
.dockerconfigjson:  92 bytes
[root@k8s-m1 ~]# kubectl get secret myregistry \-o yaml
apiVersion: v1
data:
  .dockerconfigjson: eyJhdXRocyI6eyIxOTIuMTY4LjIuMTQwIjp7InVzZXJuYW1lIjoicm9vdCIsInBhc3N3b3JkIjoibWFyZ3UiLCJhdXRoIjoiY205dmREcHRZWEpuZFE9PSJ9fX0=
kind: Secret
metadata:
  creationTimestamp: "2023-07-05T06:31:29Z"
  managedFields:
  - apiVersion: v1
    fieldsType: FieldsV1
    fieldsV1:
      f:data:
        .: {}
        f:.dockerconfigjson: {}
      f:type: {}
    manager: kubectl-create
    operation: Update
    time: "2023-07-05T06:31:29Z"
  name: myregistry
  namespace: default
  resourceVersion: "84486293"
  selfLink: /api/v1/namespaces/default/secrets/myregistry
  uid: 402c3738-4784-42ff-9bba-af4245d08d6c
type: kubernetes.io/dockerconfigjson

##使用base64 反解码查看
[root@k8s-m1 ~]# echo eyJhdXRocyI6eyIxOTIuMTY4LjIuMTQwIjp7InVzZXJuYW1lIjoicm9vdCIsInBhc3N3b3JkIjoibWFyZ3UiLCJhdXRoIjoiY205dmREcHRZWEpuZFE9PSJ9fX0=|base64 -d
{"auths":{"192.168.2.140":{"username":"root","password":"margu","auth":"cm9vdDptYXJndQ=="}}}[root@k8s-m1 ~]#

如果我们需要拉取私有仓库中的docker镜像的话就需要使用到上面的myregistry这个Secret:

[root@k8s-m1 tmp]# cat  imagesecret-pod.yml
apiVersion: v1
kind: Pod
metadata:
  name: busybox
spec:
  containers:
  - name: busybox
    image: 192.168.2.140/busybox:v1
  imagePullSecrets:
  - name: myregistry
#前提保证镜像仓库已经有这个镜像,且凭证正确创建 

[root@k8s-m1 tmp]# kubectl apply -f  imagesecret-pod.yml 
pod/busybox created

如上我们通过创建的Secret凭证,从私有仓库中拉取了镜像192.168.2.140/busybox:v1部署业务。

3、kubernetes.io/tls

kubernetes.io/tls用于为SSL通信模式存储证书和私钥文件,一般用于构建TLS站点(https类型的网站)。

[root@k8s-m1 tmp]# openssl genrsa -out tls.key 2048
Generating RSA private key, 2048 bit long modulus
...................................+++
.................................................................................................................................................+++
e is 65537 (0x10001)

[root@k8s-m1 tmp]# openssl req -new -x509 -key tls.key -out tls.crt -subj /C=CN/ST=Beijing/L=Beijing/O=DevOps/CN=margu.com

[root@k8s-m1 tmp]# ls -al tls.*
-rw-r--r-- 1 root root 1273 Jul  5 15:08 tls.crt
-rw-r--r-- 1 root root 1679 Jul  5 15:07 tls.key

[root@k8s-m1 tmp]# kubectl create secret tls nginx-secret --cert=tls.crt --key=tls.key -n ingress-nginx 
secret/nginx-secret created
[root@k8s-m1 tmp]# kubectl describe secrets -n ingress-nginx nginx-secret 
Name:         nginx-secret
Namespace:    ingress-nginx
Labels:       <none>
Annotations:  <none>

Type:  kubernetes.io/tls
Data
====
tls.key:  1679 bytes
tls.crt:  1273 bytes
#如何引用请查看ingress章节

4、kubernetes.io/service-account-token

有些情况下,我们希望在 pod 内部访问 apiserver,获取集群的信息,甚至对集群进行改动。针对这种情况,kubernetes 提供了一种特殊的认证方式:Service Account。 Service Account 是面向 namespace 的,每个 namespace 创建的时候,kubernetes 会自动在这个 namespace 下面创建一个默认的 Service Account;并且这个 Service Account 只能访问该 namespace 的资源。Service Account 和 pod、service、deployment 一样是kubernetes 集群中的一种资源,用户也可以创建自己的 serviceaccount。

ServiceAccount 主要包含了三个内容:namespace、Token 和 CA。namespace 指定了 pod 所在的 namespace,CA 用于验证 apiserver 的证书,token 用作身份验证。它们都通过mount 的方式挂载到 pod 中,其中 token 保存的路径是 /var/run/secrets/kubernetes.io/serviceaccount/token ,是 kube-controller-manager 通过–service-account-private-key-file私钥签发的token; CA 保存的路径是 /var/run/secrets/kubernetes.io/serviceaccount/ca.crt ,namespace 保存的路径是 /var/run/secrets/kubernetes.io/serviceaccount/namespace 。

如果 token 能够通过认证,那么请求的用户名将被设置为 system:serviceaccount:(NAMESPACE):(SERVICEACCOUNT) ,而请求的组名有两个: system:serviceaccounts 和 system:serviceaccounts:(NAMESPACE)。

API Server的service account验证过程

以kube-system namespace下的“default” service account为例,Pod的usrname全称为:system:serviceaccount:kube-system:default。有了username,那么credentials呢?就是上面提到的service-account-token中的token。API Server的验证环节支持多种身份校验方式:CA 证书认证、Token 认证、Base 认证。一旦API Server发现client发起的request使用的是service account token的方式,API Server就会自动采用signed bearer token方式进行身份校验。而request就会使用携带的service account token参与验证。该token是API Server在创建service account时用API server启动参数:–service-account-key-file=/etc/kubernetes/pki/sa.pub的值签署(sign)生成的。如果–service-account-key-file=未传入任何值,那么将默认使用–tls-private-key-file的值,即API Server的私钥。

这里我们使用一个nginx镜像来验证一下,大家想一想为什么不是呀busybox镜像来验证?当然也是可以的,但是我们就不能在command里面来验证了,因为token是需要Pod运行起来过后才会被挂载上去的,直接在command命令中去查看肯定是还没有 token 文件的。

[root@k8s-m1 tmp]#  cat test-pod.yml
apiVersion: v1
kind: Pod
metadata:
  name: test-pod
  namespace: default
  labels:
    name: myapp
spec:
  containers:
  - name: test-pod
    image: busybox:latest
    imagePullPolicy: IfNotPresent
    command: ["/bin/sh","-c"," sleep 3600"]

[root@k8s-m1 tmp]#  kubectl apply -f  test-pod.yml

[root@k8s-m1 tmp]# kubectl exec -it  liveness-exec-pod-1 -- /bin/sh
/ # ls  /var/run/secrets/kubernetes.io/serviceaccount/
ca.crt     namespace  token
/ # cat /var/run/secrets/kubernetes.io/serviceaccount/token 
eyJhbGciOiJSUzI1NiIsImtpZCI6IjJMRm8zNktIWkdvaHRDZ2szX2Vyd3JFQTE5OEZ6TjNuRnUyYTFueGE3emMifQ.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJkZWZhdWx0Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZWNyZXQubmFtZSI6ImRlZmF1bHQtdG9rZW4tZ2x4bHMiLCJrdWJlcm5ldGVzLmlvL3NlcnZpY2VhY2NvdW50L3NlcnZpY2UtYWNjb3VudC5uYW1lIjoiZGVmYXVsdCIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VydmljZS1hY2NvdW50LnVpZCI6IjE4YjkxN2ZkLTYyZTAtNDViYi1hMjNkLWQ2NDQwYTAyZDJjNyIsInN1YiI6InN5c3RlbTpzZXJ2aWNlYWNjb3VudDpkZWZhdWx0OmRlZmF1bHQifQ.GFkJpzoThq4C4lGgMBiNpgQiMxktaSMl0Bg2-wZYn0dNJ-hW5HFJJzRFODVkZOjo15NTiBC234qZq6xx1lCGBx-pZJRM4mjuXM93U0AJEGeOL-LyvgUJLG4ar3popNpkQxLvEMn4qpVgdiuU7oQuFT0qw70j4cjR1-jE9ew2yS_7iYiCDBUHmNBKues-hr4EvfNKDUvN45DdEWBiWH2WrNlsh9G-0S8GKYDYRByhR0CU4lPPNeCGz-VsfrEQ9PUnU-q4Fufc2nmokv5nRJuY7eWYJf67HXpTd7tPh_hXCvn1XmEqlCCH1uE9zFMFatmIWTbXtyIwWRMZePnBQ3BlVQ
/ #

secret的调用

那么创建好Secret对象后,我们如何使用它呢,目前有两种方式来使用它:

  • 以环境变量的形式
  • 以Volume的形式挂载

环境变量

方法一:可以指定使用某些key
首先我们来测试下环境变量的方式,我们使用一个简单的busybox镜像来测试:

#创建测试yaml文件
[root@k8s-m1 tmp]# cat secret-env-pod.yml
apiVersion: v1
kind: Pod
metadata:
  name: secret-env-pod
spec:
  containers:
  - name: secret-env
    image: busybox
    command: [ "/bin/sh", "-c", "sleep 3600s" ]
    env:
    - name: USERNAME
      valueFrom:
        secretKeyRef:
          name: opaquesecret
          key: username
#    - name: PASSWORD
#      valueFrom:
#        secretKeyRef:
#          name: opaquesecret
#          key: password

##部署
[root@k8s-m1 tmp]# kubectl apply  -f secret-env-pod.yml 
pod/secret-env-pod created
##检查测试
[root@k8s-m1 tmp]# kubectl exec -it secret-env-pod -- /bin/sh
/ # env |grep -Ei 'user|pass'
USERNAME=admin
#PASSWORD=Abcd@123
/ #

说明:可以只使用部分key

方法二:一次性使用全部的key

[root@k8s-m1 tmp]# cat  secret-env-pod-all.yml 
apiVersion: v1
kind: Pod
metadata:
  name: secret-env-pod-all
spec:
  containers:
    - name: secret-env-all
      image: busybox
      command: [ "/bin/sh", "-c", "sleep 3600s" ]
      envFrom:
      - secretRef:
          name: opaquesecret
  restartPolicy: Never

[root@k8s-m1 tmp]# kubectl apply  -f secret-env-pod-all.yml 
pod/secret-env-pod-all created

[root@k8s-m1 tmp]# kubectl exec -it secret-env-pod-all  -- /bin/sh
/ # env |grep -Ei 'user|pass'
username=admin
password=Abcd@123
/ #

可以看到上面两种方法env都有对应的环境变量,第一种可以指定使用某些key,第二种直接将全部的key生效,实际使用中我们偏向第二种,都生效至于调不调用无所谓。

Volume 挂载

同样的我们用一个Pod来验证下Volume挂载

#创建测试yaml文件
[root@k8s-m1 tmp]# cat secret-volume-pod.yml 
apiVersion: v1
kind: Pod
metadata:
  name: secret-volume-pod
spec:
  containers:
  - name: secret-volume
    image: busybox
    command: ["/bin/sh", "-c", "sleep 3600s"]
    volumeMounts:
    - name: secrets
      mountPath: /etc/secrets
  volumes:
  - name: secrets
    secret:
     secretName: opaquesecret

#部署
[root@k8s-m1 tmp]# kubectl apply  -f secret-volume-pod.yml 
pod/secret-volume-pod created
#检查测试
[root@k8s-m1 tmp]# kubectl exec -it secret-volume-pod  -- /bin/sh
/ # ls /etc/secrets/
password  username
/ # cat  /etc/secrets/username 
admin/ # 
/ # cat  /etc/secrets/password 
Abcd@123/ # 
/ #

可以看到secret把两个key挂载成了两个对应的文件。

Secret 与 ConfigMap 对比

最后我们来对比下Secret和ConfigMap这两种资源对象的异同点:

相同点:

  • key/value 的形式
  • 属于某个特定的namespace
  • 可以导出到环境变量
  • 可以通过目录/文件形式挂载
  • 通过volume挂载的配置信息均可热更新

不同点:

  • Secret 可以被ServerAccount关联
  • Secret 可以存储docker register的鉴权信息,用在ImagePullSecret 参数中,用于拉取私有仓库的镜像
  • Secret 支持Base64加密
  • Secret 分为 kubernetes.io/service-account-token、kubernetes.io/dockerconfigjson、Opaque 、kubernetes.io/tls 四种类型,而Configmap不区分类型

注意点

  • 当Pod被API Server创建时,API Server不会校验该Pod引用的Secret是否存在。
  • 一旦这个Pod被调度,则Kubelet将试着获取Secret的值。如果Secret不存在或暂时无法连接到API Server,则kubelet将按一定的时间间隔定期重试获取该Secret,并发送一个Event来解释Pod没有启动的原因。一旦Secret被Pod获取,则Kubelet将创建并Mount包含Secret的Volume。
  • 只有所有的Volume被Mount后,Pod中的Container才会被启动。
  • 在kubelet启动Pod中container后,Container中和Secret相关的Volume将不会被改变,即使Secret本身被修改了(也就是secret不支持热更新)。
  • 为了使用更新后的Secret,需要删除旧的Pod,并重新创建一个新的Pod,因此更新Secret的流程和部署一个新的Image是一样的。

更多关于kubernetes的知识分享,请前往博客主页。编写过程中,难免出现差错,敬请指出

margu_168
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
kubernetes + kubernetes-dashboard 安装和各种踩坑
swcj的专栏
02-10 5万+
首先要说明一下这玩意浑身都是坑 1 安装前一定要关闭firewalld服务,否则需要配firewalld的规则 2 docker启动之后会产生一个网卡,这个网卡的地址默认是172.17.0.0 网段,这是个虚拟网络,如果要是想让集群中的其他机器访问容器需要通过安装flannel来实现。所以安装完flannel和docker一定要确定一下网段和etcd中储存的是否一致,如果不一致
Kubernetes应用中使用TLS/SSL证书的两种方法及实践 详细整理版
且炼时光
08-27 6929
在k8s应用注入自签发的TLS/SSL证书有两种思路:1.使用certificates.k8s.io API 进行签发。2. 自己生成CA证书进行签发,将所需的证书及公密钥打包进secret。本文将对这两种方法进行比较并动手实践。 文章目录零 获取自签发CA根证书1. 准备好openssl工具2. 创建 CA证书签名申请 配置文件(ca-csr-config.json)3. 生成 CA密钥及证书一 certificates.k8s.io API签发1 配置kubernetes使用自定义的CA根证书二 使用自
Kubernetes之(十五)身份认证,授权,准入控制
weixin_30273175的博客
04-12 765
目录 Kubernetes之(十五)身份认证,授权,准入控制 ServiceAccount 创建serviceaccount 自定义serviceaccount 自建证书和账号进行访问apiserver RBAC简介 Kuberne...
docker常用命令 和 k8s身份认证问题:no basic auth credentials
Mr_Air_Boy的博客
01-24 3698
一、 docker 相关使用的命令 # 1、docker创建镜像 docker build -t <镜像名>:<tag> # 2、docker删除本地镜像 docker rmi -f <镜像名>:<tag> # 3、docker拉取远程镜像: docker pull 镜像地址 # 4、docker上传镜像到远程: docker push <镜像名>:<tag> # 5、docker 将本地镜像image打成tar包【默认保存在当
kubernetes的TLS 启动引导(二进制方式、kubeadm)
rendongxingzhe的博客
06-02 705
kubernetes的TLS
Kubernetes笔记(三)--使用kubeadm搭建k8s集群(详尽)
BigData_Mining的博客
08-08 936
核心层:Kubernetes 最核心的功能,对外提供 API 构建高层的应用,对内提供插件式应用执行环境 应用层:部署(无状态应用、有状态应用、批处理任务、集群应用等)和路由(服务发现、DNS 解析等) 管理层:系统度量(如基础设施、容器和网络的度量),自动化(如自动扩展、动态 Provision 等)以及策略管理(RBAC、Quota、PSP、NetworkPolicy 等) 接口层:kube...
Openshift安装helm
运维求生之路
10-16 691
参考:https://segmentfault.com/a/1190000019608181 安装helm wget https://get.helm.sh/helm-v2.14.2-linux-amd64.tar.gz tar fxz helm-v2.14.2-linux-amd64.tar.gz 1.安装tiller: oc new-project helm-tiller oc project...
Kubernetes 解决/var/run/secret/kubernetes.io/serviceaccount/token no such file or
看看我都干了些啥!
04-05 7116
Kubernetes 解决/var/run/secret/kubernetes.io/serviceaccount/token no such file or directory问题   kubectl get serviceaccount   NAME      SECRETS default   0   如果没有则需要添加   在apiserver的启动参数中添加: --...
Kubernetes之Ingress
Button的博客
07-07 462
kubernetes中的ingress
k8s 中mysql 无法访问,使用Secrets输入密码时无法连接到Kubernetes中的mysql pod(拒绝访问)...
weixin_39942037的博客
01-20 503
I try to setup a mysql database in Kubernetes. I configured a ConfigMap to store the Database name and a Secret that contains the root password, the user and the password for the user.When I try to co...
kubernetes.instances
04-05
Ansible角色:kubernetes.instances...export AWS_SECRET_ACCESS_KEY='abc123' 注意:可以选择在inventory/ec2.ini文件中指定AWS凭证。如果设置了环境变量,则会忽略此处指定的凭证。 aws_access_key_id = AXXXXXXXXXX
ecr-updater:无论您的集群在哪里运行,都可以将AWS ECR注册与Kubernetes结合使用
05-03
K8S_PULL_SECRET_NAME: Name of the Kubernetes pull secret to update ECR_UPDATE_INTERVAL: (optional, time in seconds) ECR_CREATE_MISSING: if this envvar is set to `true`, missing pull secrets will
terraform-controller:Kubernetes Terraform控制器
04-12
Terraform Controller是用于Terraform的Kubernetes控制器,可以解决中 特征 受支持的云提供商 阿里云 AWS 支持的Terraform配置 盐酸 JSON格式 设计 组件 提供者 Provider对象用于接受来自云提供商(例如阿里云或AWS...
vault-k8s-secret-engine
03-30
当客户端请求凭证时,保管库将在后端的Kubernetes集群中创建一个新的服务帐户,并为它配置特定的角色,以便它具有所需的访问权限。 用户将以javasript Web令牌和证书的形式获得从保管库返回的凭据,该证书可用于...
secretless-broker:通过使应用程序变得无秘密来保护您的应用程序
04-30
偶然的凭证泄漏(例如,凭证已检查到源代码管理中,等等) 对特权用户的攻击(例如,网络钓鱼,开发者计算机的入侵等) 应用程序中的漏洞(例如,远程执行代码,环境变量转储等) 第二个是停机时间,当应用程序...
Kubernetes身份认证和授权操作全攻略:上手操作Kubernetes身份认证
Rancher
08-16 726
这是本系列文章的第二篇,在上篇文章中我们介绍了Kubernetes访问控制。在本文中,我们将通过上手实践的方式来进一步理解身份认证的概念。 在生产环境中,Kubernetes管理员使用命名空间来隔离资源和部署。命名空间作为一个逻辑边界来强制基本访问控制。 假设现在我们有个新的管理员叫Bob,要加入开发团队为研发组管理Kubernetes部署。我们现在需要给他提供足够的访问权限以便于...
Kubernetes之kuberconfig--普通用户授权kubernetes集群
saynaihe的博客
10-10 1312
背景: 是这样的一个事情:服务运行于kubernetes集群(腾讯云tke1.20.6)。日志采集到了elasticsearch集群and腾讯的cls日志服务中。小伙伴看日志觉得还是不太方便,还是想看控制台输出的。给他们分配过一台服务器(加入到集群中,但是有污点标签的节点)。为了方便他们测试一下东西。现在想让他们通过此work节点可以在控制台查看日志。正常的就是把master节点的/root/.kube/目录下的config配置文件copy过来就可以了。但是这权限也太大了!重新复习一遍kubeconfig配
k8s命令扫盲
最新发布
techdashen的博客
06-30 1420
流量转发:NodePort 服务将来自外部的请求流量转发到后端 Pod 的对应端口,从而实现对服务的访问。以上配置定义了一个名为 "my-ingress" 的 Ingress 对象,在域名 "example.com" 下,将以 "/app" 路径前缀的请求转发到名为 "my-service" 的服务的端口 8080 上。在 Kubernetes 中,NodePort 是一种服务类型(Service Type),它允许你将集群中的某个服务公开到集群外部,并通过节点的 IP 地址和指定的端口进行访问。
Kubernetes Secret 的几种类型
02-21
Kubernetes Secret 有四种类型:Opaque、Service Account、docker-registry 和 tls。Opaque 是最常用的类型,用于存储任意类型的数据;Service Account 用于存储服务帐户信息;docker-registry 用于存储对私有的 Docker 注册表的认证凭据;tls 可用于存储 TLS 密钥和证书。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

margu_168

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值