K8S Secret 快速开始

最新推荐文章于 2025-05-01 22:39:13 发布
最新推荐文章于 2025-05-01 22:39:13 发布
阅读量712 收藏 13
点赞数 15
分类专栏: K8S 文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/matrixlzp/article/details/147625826
版权

一、什么是 Secret

Kubernetes(K8s)中的 Secret 是一种用于存储和管理敏感信息(如密码、令牌、证书、API 密钥等)的资源对象。它避免了将敏感数据明文写入配置文件、镜像或代码中,提供了一种更安全的方式来处理机密信息。

二、主要用途

  • 安全需求:敏感信息(如数据库密码、API 令牌)不应以明文形式硬编码在配置文件或镜像中,否则可能导致泄露。
  • 解耦配置与代码:将敏感数据与应用逻辑分离,便于统一管理和更新。
  • 标准化管理:K8s 提供内置机制管理 Secret,支持通过 API 或命令行动态创建、更新和分发。

三、核心特性

  • 数据编码
  • 默认使用 Base64 编码存储数据(非加密,需结合其他加密手段,如 etcd 加密或外部密钥管理系统)。
  • 数据以键值对(Key-Value)形式存储,支持通过环境变量或 Volume 挂载到 Pod。
  • 作用域
  • Secret 属于特定 Namespace(命名空间),默认仅在所属 Namespace 内可见。
  • 类型
  • 常见三种内置 Secret 类型:
  • Opaque(通用型):用于存储任意键值对,默认类型。
  • kubernetes.io/service-account-token:自动为 ServiceAccount 生成的令牌,用于访问 API Server。
  • kubernetes.io/tls:用于存储 TLS 证书和私钥,供 Ingress、Service 等使用。

四、 创建 Secret 的常用方式

4.1. 通过 kubectl 命令创建

通过 kubectl 命令创建,需要为其设置命令参数。

kubectl create secret --help

  • generic:用来创建 Opaque 类型的 Secret。用于存储任意键值对。
  • tls:用来创建 kubernetes.io/tls 类型的 Secret。用于存储 TLS 证书和私钥。
  • docker-registry:若要保存 docker 仓库的认证信息的话,就必须使用此种类型来创建。

 4.1.1、直接指定字面量(适合小数据)

# 创建 Opaque 类型 Secret,键值对直接通过 --from-literal 指定
kubectl create secret generic my-secret \
  --from-literal=username=admin \
  --from-literal=password=123456

已用 Base64 编码。

 4.1.2、从文件加载(适合文件型机密,如证书、密钥)

vim username.txt
# 输入 admin
vim password.txt
# 输入 123456

# 从单个文件创建(文件名作为键),值为文件内容
kubectl create secret generic db-credentials --from-file=username.txt --from-file=password.txt

 4.1.3、从目录创建(目录下所有文件作为键值对)

mkdir dir
cd dir
vim usr.txt
# 输入 admin
vim pwd.txt
# 输入 123456

kubectl create secret generic app-secret --from-file=.

4.2、通过 YAML 清单创建

apiVersion: v1
kind: Secret
metadata:
  name: yml-secret
  namespace: default
type: Opaque  # 类型,可选 Opaque、service-account-token、tls 等
data:
  # 键值对需手动进行 Base64 编码
  username: YWRtaW4=  # 明文 "admin" 的 Base64 编码
  password: MTIzNDU2  # 明文 "123456" 的 Base64 编码
  • 编码方法:echo -n "明文" | base64 
  • -n 不换行的意思。
  • echo -n "密文" | base64 -d
  • -d decode 的意思。

五、在 Pod 中使用 Secret

5.1、作为环境变量注入

apiVersion: v1
kind: Pod
metadata:
  name: secret-env-pod
spec:
  restartPolicy: Never
  containers:
  - name: app
    image: alpine:latest  
    imagePullPolicy: IfNotPresent
    command: ["sleep", "3600"]
    env:
    - name: DB_USERNAME  # 环境变量名
      valueFrom:
        secretKeyRef:
          name: my-secret  # Secret 名称
          key: username    # Secret 中的键
    - name: DB_PASSWORD
      valueFrom:
        secretKeyRef:
          name: my-secret
          key: password
  •  进入容器查看环境变量
kubectl exec -it secret-env-pod -- /bin/sh
/ # env

5.2、作为 Volume 挂载

apiVersion: v1
kind: Pod
metadata:
  name: secret-volume-pod
spec:
  restartPolicy: Never
  volumes:
  - name: secret-volume
    secret:
      secretName: yml-secret  # 指定 Secret 名称
  containers:
  - name: app
    image: alpine:latest  
    imagePullPolicy: IfNotPresent
    command: ["sleep", "3600"]
    volumeMounts:
    - name: secret-volume # 跟卷的名称一致
      mountPath: "/etc/secrets"  # 挂载路径
      readOnly: true  # 必须设为只读
  •   进入容器查看挂载路径
kubectl exec -it secret-volume-pod -- /bin/sh

 数据已帮我们解密。

[Kubernetes]6. k8s Pod配置管理ConfigMap & Secret以及传递环境变量的使用,k8s的命名空间以及使用kubens管理命名空间
zhoupenghui168的博客
01-09 1284
k8s Pod配置管理ConfigMap & Secret以及传递环境变量的使用,k8s借助命令行配置管理ConfigMap & Secret,以及借助腾讯云面板配置管理ConfigMap & Secret,k8s的命名空间以及使用kubens管理命名空间
[K8S] k8s快速入门(1)
程序员进阶之路
07-18 1047
Namespace是对一组资源和对象的抽象集合,比如可以用来将系统内部的对象划分为不同的项目组或 用户组。对于具体应用而言,Pod是它们的逻辑主机,Pod包含业务 相关的多个应用容器。: 指定可选的参数。在Kubernetes集群中,Pod是所有业务类型的基础,也是K8S管理的最小单位级,它是一个或多个。网络:每一个Pod都会被指派一个唯一的Ip地址,在Pod中的每一个容器共享网络命名空间,包括Ip地址。存储:Pod能够被指定共享存储卷的集合,在Pod中所有的容器能够访问共享存储卷,允许这些容器共享。
K8S ConfigMap 快速开始
matrixlzp的博客
04-28 1207
Kubernetes 中用于存储数据的 API 对象,支持以键值对(Key-Value)或文件的形式存储配置,允许将配置与镜像解耦,实现配置的集中管理和动态更新。
k8s之ConfigMap和Secret
Crazy博客
09-04 496
快速了解ConfigMap和Secret
07-k8ssecret资源02-玩转secret
2302_79199605的博客
02-14 1561
第一步:将想要的数据信息【key:value】中的value值,使用base64编码后,写入secret资源清单中;第二步:创建secret资源;第三步:pod资源引用secret资源;
K8s全套快速入门
热门推荐
weixin_45565886的博客
05-19 1万+
K8s全套快速入门
k8s快速上手实操
欲望以提升热忱 毅力以磨平高山
06-15 1323
本文详细介绍了Kubernetes (k8s) 的基本概念、安装与部署流程,并通过一个实际示例演示了如何进行Kubernetes编排部署。文章深入讲解了配置文件的作用,并最终通过web管理界面与配置文件相结合,帮助读者更好地理解和应用Kubernetes
K8S快速部署
weixin_43752106的博客
03-17 803
确保能够访问到 quay.io 这个 registery。如果 Pod 镜像下载失败,可以改这个镜像地址。这里尤其需要注意,K8S把POD分配在了哪个节点,我这里是master,那就必须在master pull。执行完后正常应该是都ready了,然后docker ps集群的各个节点也会多出很多k8s相关容器。换成镜像源或者添加对应的ip,这个网上有相应教程,搜这个网址的关键词就行。这条指令执行完后会自动部署k8s容器,执行完成后会有。集群中的任一节点ip都能访问pod。这个我没加后面也能跑。
从零开始学习部署K8S
shyflea的博客
08-17 4025
零基础学习搭建并使用K8S部署应用
k8s快速入门
Shawn的个人博客
02-18 2174
minikube只是一个 K8S 集群模拟器,只有一个节点的集群,只为测试用,master 和 worker 都在一起直接用云平台 Kubernetes(阿里/腾讯)可视化搭建,只需简单几步就可以创建好一个集群。优点:安装简单,生态齐全,负载均衡器、存储等都给你配套好,简单操作就搞定裸机安装(Bare Metal)至少需要两台机器(主节点、工作节点个一台),需要自己安装 Kubernetes 组件,配置会稍微麻烦点。可以到各云厂商按时租用服务器,费用低,用完就销毁。
k8s快速入门教程-----8 secret and configmap
cloud_engineer的博客
09-14 547
Secret会以密文的方式存储数据,避免了直接在配置文件中保存敏感信息。Secret 会以Volume的形式被mount 到Pod,容器可通过文件的方式使用Secret 中的敏感数据;此外,容器也可以环境变量的方式使用这些数据。Secret可通过命令行或YAML创建。Secret可以为Pod 提供密码、Token、私钥等敏感数据;对于一些非敏感数据,比如应用的配置信息,则可以用ConfigMap。ConfigMap的创建和使用方式与Secret非常类似,主要的不同是数据以明文的形式存放。
K8S入门基础课件docx版本
08-03
本“K8S入门基础课件docx版本”旨在帮助初学者快速理解和掌握Kubernetes的基础知识和操作技能。 在K8S中,有几个关键概念是必须理解的: 1. **Pod**: Pod是K8S的基本执行单元,它可以包含一个或多个紧密相关的容器...
Kubernetesk8s)2020版入门笔记和资料(尚).zip
07-28
资料.zip可能包含了丰富的Kubernetes教程、实战案例和官方文档,帮助用户快速掌握k8s的基本概念、架构和操作。笔记.zip则可能是个人或专家的学习心得,总结了k8s的关键知识点和常见问题解决办法。 在Kubernetes的...
k8s学习记录(五):Pod亲和性详解
仔哥学编程
04-27 932
k8s 调度规则,节点亲和性详解
kubernetes》》k8s》》Service 、Ingress 区别
u013400314的博客
04-30 493
在 userSpace 模式下,kube-proxy 会为每一个 Service 创建一个监听端口,当有请求发往Cluster IP 的时候,会被 Iptables 规则重定向到 kube-proxy 监听的端口上,kube-proxy 会根据 LB 算法选择一个 Pod 提供服务并建立起连接。这个模式下,kube-proxy 充当的角色是一个 四层负责均衡器,由于 kube-proxy 运行在 userSpace 模式下,在进行转发处理的时候会增加内核和用户空间之间的数据拷贝,因此效率比较低。
K8S - 命名空间实战 - 从资源隔离到多环境管理
weixin_46619605的博客
04-30 741
K8S - 命名空间实战 - 从资源隔离到多环境管理
K8S - HPA + 探针实战 - 实现弹性扩缩与自愈
weixin_46619605的博客
04-30 610
K8S - HPA + 探针实战 - 实现弹性扩缩与自愈
Kubernetesk8s)的API Server 组件原理与结合生产实战教程
最新发布
qq_43394776的博客
05-01 424
k8s的API Server 组件介绍与实战教程
prometheus手动添加k8s集群外的node-exporter监控
云深海阔专栏
04-27 314
2、部署endpoints、service、ServiceMonitor。ServiceMonitor的yaml文件。3、创建alertmanager报警模块。2)docker-compose部署。1、部署node-exporter。endpoints的yaml文件。service的yaml文件。1)helm方式部署。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值