【kubernetes】配置管理中心 Secret 运用

最新推荐文章于 2024-09-10 14:20:12 发布
最新推荐文章于 2024-09-10 14:20:12 发布
阅读量1k 收藏 5
点赞数 33
分类专栏: Kubernetes 文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/meidongyan/article/details/142001665
版权

一,介绍

Secret用于存储密码、token、秘钥等敏感数据的配置,从而避免将这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。

【Secret与Configmap对比】

存储方式是否可以Volume挂载是否可以加入容器环境变量中
Configmap明文存储
Secret密文存储(base64编码)

二,两种方式

当使用 secret的时,pod 需要引用 secret。两种方式:

  • 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里
  • 当 kubelet 为 pod 拉取镜像时,引用secret。

三,3种可选参数

generic: 通用类型,通常用于存储密码数据。
tls:仅用于存储私钥和证书。
docker-registry: 用于保存docker仓库的认证信息。

四,类型

(1)Service Account:
用于被 serviceaccount 引用。serviceaccout 创建时 Kubernetes 会默认创建对应的 secret。Pod 如果使用了 serviceaccount,对应的 secret 会自动挂载到 Pod 的 /run/secrets/kubernetes.io/serviceaccount 目录中。

(2)Opaque:
base64编码格式的Secret,用来存储密码、秘钥等。可以通过base64 --decode解码获得原始数据,因此安全性弱。

(3)kubernetes.io/dockerconfigjson:
用来存储私有docker registry的认证信息。

五,创建和使用

0,yaml创建secret

# vim secret-pod.yaml

apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque                       # 指定secret的类型,必须指定
data:                              # 指定数据
  user: a8df5aj2we1r0              # 定义具体数据的key/value
  pwd: YW8xsfjM0N66                # 定义具体数据的key/value

下面的案例,将通过命令行的形式创建secret后,测试。

1,通过环境变量引入

1-1【创建secret】

#把mysql的root用户的password创建成secret, 类型generic
kubectl create secret generic mysql-password --from-literal=password=admin123456

在这里插入图片描述
1-2【使用secret】

# vim pod-secret

apiVersion: v1
kind: Pod
metadata:
  name: myapp-secret
  labels:
    app: zw-secret
spec:
  containers:
  - name: zj-secret
    image: ikubernetes/myapp:v1
    imagePullPolicy: IfNotPresent
    ports:
    - containerPort: 80
      name: zj-secret-port
    env:                           # 通过env引入
    - name: POD-PASSWORD           # 定义注入pod的变量名称
      valueFrom:                   # 数据来源
        secretKeyRef:              # 采用secret
          name: mdy-secret         # 采用secret的资源名(提前已经定义)
          key: password            # 采用secret的资源的哪个字段

1-3【验证secret】
在这里插入图片描述
在pod中的secret信息实际已经被解密。

【扩展】:可以通过envFrom字段,直接将secret的定义,注入到容器内。

spec:
  containers:
  - name: zj-secret
    image: ikubernetes/myapp:v1
    imagePullPolicy: IfNotPresent
    ports:
    - containerPort: 80
      name: zj-secret-port
    envFrom:                 # 数据来源
    - secretRef:             # 采用secret
        name: mdy-secret     # 采用的secret资源名(所有定义的变量,都导入容器)

在这里插入图片描述
在pod中的secret信息实际已经被解密。

2,通过volume挂载Secret

2-1【创建secret】

#把mysql的用户root名administrator创建成secret, 类型generic
kubectl create secret generic mysql-root --from-literal=root=administrator

在这里插入图片描述

2-2【使用secret】


apiVersion: v1
kind: Pod
metadata:
  name: myapp-secret-volumes
  labels:
    app: zw-secret-volumes
spec:
  containers:
  - name: zj-secret
    image: ikubernetes/myapp:v1
    imagePullPolicy: IfNotPresent
    ports:
    - containerPort: 80
      name: zj-secret-port
    volumeMounts:           # 容器内 定义挂载
    - name: mdy-666         # 指定下面挂载卷的名称,必须一致
      mountPath: /tmp/mdy/  # 指定容器内挂载后的目录地址
  volumes:                   # 定义挂载卷
  - name: mdy-666            # 定义挂载卷名称,必须与上面一致
    secret:                  # 指定挂载卷类型为secret
      secretName: mdy-root   # 指定secret的名称(早先定义好生成后)

2-3【验证secret】
在这里插入图片描述
在pod中的secret信息实际已经被解密。

六,Secret不是真正加密

  • 使用base64“加密”:
echo -n 'admin' | base64

YWRtaW4=
  • 使用base64“解密”:
echo 'YWRtaW4=' | base64 -d

admin

“-n”表示:打印信息之后不换行

一直奔跑在路上
关注
  • 33
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Kubernetes面试题
golove666的博客
04-04 1095
Kubernetes高频面试题。
Kubernetes的核心对象详解
昨日晨曦的博客
05-02 818
本文主要介绍了K8S常用组件概念,主要是Pod、Controller、Service、ConfigMap
kubernetes详解
qq_58668102的博客
12-17 1103
简介 什么是kubernetes Kubernetes(通常称为K8s,K8s是将8个字母“ubernete”替换为“8”的缩写)是一个以容器为中心的基础架构,可以实现在物理集群或虚拟机集群上调度和运行容器,提供容器自动部署、扩展和管理的开源平台。满足了应用程序在生产环境中的一些通用需求:应用实例副本、水平自动扩展、命名与发现、负载均衡、滚动升级、资源监控等。 Kubernetes 是一个可移植、可扩展的开源平台,用于管理容器化工作负载和服务,有助于声明式配置和自动化。它拥有庞大且快速发展的生态系统。 Ku
2024三掌柜赠书活动第二十七期:Kubernetes企业级云原生运维实战
热门推荐
软贱开发攻城狮
09-01 1万+
然而,由于Kubernetes功能丰富且复杂,涉及到操作系统、网络、存储、调度、分布式等各个方面的知识,这使得许多初学者在面对Kubernetes时,要么知识储备不足,要么杂乱无章,不知从何下手的困扰,很难真正地“掌握”这门主流技术!国内早一批K8s布道者;本书将深入浅出地解读Kubernetes的方方面面,从基础概念到实际应用,再到项目案例,从简单操作到复杂场景,一步步引导您进入Kubernetes的世界,从而获得在真实场景中解决问题的能力,成为Kubernetes领域的专业人才。
Kubernetes基本概念
weixin_67470255的博客
07-28 817
Kubernetes(通常称为K8s,K8s是将8个字母“ubernete”替换为“8”的缩写)是一个以容器为中心的基础架构,可以实现在物理集群或虚拟机集群上调度和运行容器,提供容器自动部署、扩展和管理的开源平台。满足了应用程序在生产环境中的一些通用需求应用实例副本、水平自动扩展、命名与发现、负载均衡、滚动升级、资源监控等。Kubernetes是一个可移植、可扩展的开源平台,用于管理容器化工作负载和服务,有助于声明式配置和自动化。它拥有庞大且快速发展的生态系统。作用Docker自我修复组件名称。......
Kubernetes微服务编排与管理深入解析
Kubernetes是一个开源的容器编排和管理平台,用于自动化部署、扩展和操作容器化应用程序。我们将讨论以下内容: - Pod:Pod是Kubernetes的基本调度单位,包含一个或多个容器,它们共享网络和存储资源。 - Replica...
一文快速了解Docker和Kubernetes
j简说Linux的博客
11-14 896
Docker 是一个开源的应用容器引擎,是一种资源虚拟化技术,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的 Linux 机器上。虚拟化技术演历路径可分为三个时代:在没有 Docker 的时代,我们会使用硬件虚拟化(虚拟机)以提供隔离。这里,虚拟机通过在操作系统上建立了一个中间虚拟软件层 Hypervisor ,并利用物理机器的资源虚拟出多个虚拟硬件环境来共享宿主机的资源,其中的应用运行在虚拟机内核上。但是,虚拟机对硬件的利用率存在瓶颈,因为虚拟机很难根据当前业务量动态调整其
小白入门|从Docker到Kubernetes
j简说Linux的博客
11-19 383
Docker 是一个开源的应用容器引擎,是一种资源虚拟化技术,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的 Linux 机器上。虚拟化技术演历路径可分为三个时代:1. 物理机时代,多个应用程序可能跑在一台物理机器上2. 虚拟机时代,一台物理机器启动多个虚拟机实例,一个虚拟机跑多个应用程序3. 容器化时代,一台物理机上启动多个容器实例,一个容器跑多个应用程序在没有 Docker 的时代,我们会使用硬件虚拟化(虚拟机)以提供隔离。
Kubernetes学习笔记
JaneRoad
12-29 714
基本介绍 Kubernetes是什么? kubernetes,简称 K8s,是用 8 代替 8 个字符“ubernete”而成的缩写。是一个开源的,用于管理云平台中...
二进制方式部署K8s高可用集群
qq_63652578的博客
09-08 1392
kube-apiserver.service是kube-apiserver守护进程的systemd服务单元。当你新增或修改了某个单位文件(如.service文件、.socket文件等),需要运行该命令来刷新systemd对该文件的配置。当你新增或修改了某个单位文件(如.service文件、.socket文件等),需要运行该命令来刷新systemd对该文件的配置。当你新增或修改了某个单位文件(如.service文件、.socket文件等),需要运行该命令来刷新systemd对该文件的配置
kubeadm方式安装k8s
最新发布
m0_72009757的博客
09-10 325
本次以⼆进制⽅式安装⾼可⽤ k8s 1.28.0 版本,但在⽣产环境中, 建议使⽤⼩版本⼤于 5 的 Kubernetes 版本,⽐如 1.19.5 以后。
K8S中部署MySQL高可用工具Orchestrator
sozee910的博客
09-05 1124
Orchestrator 可以部署在物理机、虚拟机或 Kubernetes 集群中,笔者发现目前针对k8s集群部署的方式介绍较少,现通过示例详细阐述Orchestrator 这一功能强大且灵活的工具部署方式,希望学习mysql和k8s的同学提供帮助
k8s API资源对象
巧克力人生的博客
09-06 604
如果想直接通过k8s节点的IP直接访问到service对应的资源,可以使用NodePort,Nodeport对应的端口范围:30000-32767。这种方式,需要配合公有云资源比如阿里云、亚马逊云来实现,这里需要一个公网IP作为入口,然后来负载均衡所有的Pod。该方式为默认类型,即,不定义type字段时(如上面service的示例),就是该类型。说明:Taint叫做污点,如果某一个节点上有污点,则不会被调度运行pod。使用yaml文件来配置、部署资源对象。作用:对外提供访问端口。
k8s控制器
qq_67442238的博客
09-05 1005
已经搭好的harbor仓库scp ca.crt root@172.25.250.120:/etc/docker/certs.d/bwmis.org/ ##发送证书##禁止swap磁盘的使用[k8s]name=k8sgpgcheck=0。
Kubernetes】K8s 的安全框架和用户认证
书山有路,学海无涯。记录成长,追逐梦想
09-08 862
Kubernetes 作为一个分布式的虚拟化集群管理工具,保证其集群的安全性就显得非常重要。由于 API Server 是访问集群资源的唯一入口,因此 Kubernetes 的安全机制都是围绕保护 API Server 来设计的。
Kubernetes】K8s 的鉴权管理(二):基于属性 / 节点 / Webhook 的访问控制
书山有路,学海无涯。记录成长,追逐梦想
09-10 734
基于属性的访问控制(Attribute-Based Access Control,ABAC)通过将属性组合在一起来定义用户可以访问的范围。其策略文件是一个具有多行 JSON 格式的文件,该文件中的每一行都是一个策略(即一个 JSON 对象)。
K8s的Pv和Pvc就是为了pod数据持久化
Alone8046的博客
09-05 1104
2.pvc:用户对存储资源的请求,定义了需要存储的空间大小,以及对存储空间的访问模式,有了pvc请求之后,再和pv进行匹配,匹配到了之后进行绑定,绑定成功之后就可以使用pv的存储空间。Retain:默认策略(手动),就是保留,虽然pvc被删除,但是pv还是处于released的状态,及时恢复到available状态,上一个挂载的数据也不会丢失。1.配置定义pvc请求的详细情况--------->匹配pv-------->绑定-------->使用------->释放------>回收pv。
培训第九周(部署k8s基础环境)
weixin_70693880的博客
09-07 1348
添加sandbox_image = "registry.cn-hangzhou.aliyuncs.com/google_containers/pause:3.9"(第128行)之前采⽤初始化安装⽅式,所有的系统组件均以容器的⽅式运⾏ 并且在 kube-system 命名空间内,此时可以查看 Pod(容器 组)状态。overlay # ⽤于⽀持Overlay⽹络⽂件系统的模块,它可以在现有的⽂件系统之上创建叠加层,以实现虚拟化、隔离和管理等功能。设置为0表示不产⽣panic,设置为1表示产⽣panic。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一直奔跑在路上

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值