Kubernetes(k8s)存储二、Secret配置管理(编写secret对象,将secret挂载到Volume中、设置为环境变量,存储docker registry的认证信息.)

简介

Secret 对象类型用来保存敏感信息，例如密码、OAuth 令牌和 ssh key。

敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。

Pod 可以用两种方式使用 secret：
作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里。
当 kubelet 为 pod 拉取镜像时使用。

Secret的类型：
Service Account：Kubernetes 自动创建包含访问 API 凭据的 secret，并自动修改 pod 以使用此类型的 secret。

[root@server2 configmap]# kubectl  get sa
NAME      SECRETS   AGE
default   1         14d

Opaque：使用base64编码存储信息，可以通过base64 --decode解码获得原始数据，因此安全性弱。

kubernetes.io/dockerconfigjson：用于存储docker registry的认证信息。

serviceaccout 创建时 Kubernetes 会默认创建对应的 secret。对应的 secret 会自动挂载到 Pod 的 /run/secrets/kubernetes.io/serviceaccount 目录中。

$ kubectl  run nginx --image=nginx

$ kubectl get pod
NAME                     READY   STATUS    RESTARTS   AGE
nginx-6db489d4b7-886wq   1/1     Running   0          4s

$ kubectl exec nginx-6db489d4b7-886wq ls /var/run/secrets/kubernetes.io/serviceaccount
ca.crt
namespace
token

每个namespace下有一个名为