k8s---Secret详解

已于 2024-07-23 16:23:33 修改
阅读量1k 收藏 19
点赞数 22
分类专栏: k8s 文章标签: kubernetes 容器
于 2024-07-23 16:22:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qinxue722/article/details/140633357
版权
       在 k8s 中,有⼏种特殊的 Volume ,它们的意义不是为了存放容器⾥的数据,也不是⽤来进⾏容器和 宿主机之间的数据交换。 "⽽是为容器提供预先定义好的数据。 "
从容器的⻆度来看,这些 Volume ⾥的信息仿佛是被 k8s " 投射 " Project )进⼊容器当中的。
k8s ⽀持的 Projected Volume ⼀共有四种: Secret 、 ConfigMap 、 Downward API 、 ServiceAccount

一、Secret介绍

        secret ⽤来保存⼩⽚敏感数据的 k8s 资源对象,例如密码, token ,或者秘钥。这类数据当然也可以存放在Pod 或者镜像中,但是放在 Secret 中是为了更⽅便的控制如何使⽤数据,并减少暴露的⻛险。
        ⽤户可以创建⾃⼰的secret ,系统也会有⾃⼰的 secret
        Pod需要先引⽤才能使⽤某个 secret

二、创建secret的两种方式

1.使用命令kubectl  create  secret

1)pod访问数据库需要用户名和密码,分别存放在文件内

[root@k8s-master ~]# echo -n 'admin' > ./username.txt
[root@k8s-master ~]# echo -n "20240723" > password.txt

2)将用户名密码写到secret中,并在apiserver创建secret

[root@k8s-master ~]# kubectl create secret generic db-user-pass --from-file=./username.txt --from-file=./password.txt       #db-user-pass为secret名字

 3)查看结果

[root@k8s-master ~]# kubectl get secrets
NAME           TYPE     DATA   AGE
db-user-pass   Opaque   2      17s

4)查看详细信息——describe指令不会展示secret的实际内容,这是出于对数据的保护的考虑

[root@k8s-master ~]# kubectl describe secret db-user-pass
Name:         db-user-pass
Namespace:    default
Labels:       <none>
Annotations:  <none>

Type:  Opaque

Data
====
password.txt:  8 bytes
username.txt:  5 bytes

 5)查看文件内容——编码之后的

[root@k8s-master ~]# kubectl get secret db-user-pass -o yaml
apiVersion: v1
data:
  password.txt: MjAyNDA3MjM=
  username.txt: YWRtaW4=
kind: Secret
metadata:
  creationTimestamp: "2024-07-23T05:26:25Z"
  name: db-user-pass
  namespace: default
  resourceVersion: "18685"
  uid: ae232efd-802a-476b-bbf6-057bbf4aae3f
type: Opaque

6)base64编码、解码

[root@k8s-master ~]# echo 'MjAyNDA3MjM=' |base64 --decode
20240723[root@k8s-master ~]# 
[root@k8s-master ~]# echo 'YWRtaW4=' |base64 --decode
admin[root@k8s-master ~]# 
[root@k8s-master ~]# echo "admin" |base64
YWRtaW4K
[root@k8s-master ~]# echo "20240723" |base64
MjAyNDA3MjMK

2.使用yaml文件创建secret(常用)

1)创建secret.yaml文件

[root@k8s-master prome]# vim secret.yaml
[root@k8s-master prome]# cat secret.yaml 
---
apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  user: YWRtaW4K
  password: MjAyNDA3MjMK

2)创建

 [root@k8s-master prome]#  kubectl apply -f secret.yaml
secret/mysecret created

3)查看信息

[root@k8s-master prome]# kubectl get secrets
NAME           TYPE     DATA   AGE
db-user-pass   Opaque   2      12m
mysecret       Opaque   2      25s
[root@k8s-master prome]# kubectl get secrets mysecret -o yaml
apiVersion: v1
data:
  password: MjAyNDA3MjMK
  user: YWRtaW4K
kind: Secret
metadata:
  annotations:
    kubectl.kubernetes.io/last-applied-configuration: |
      {"apiVersion":"v1","data":{"password":"MjAyNDA3MjMK","user":"YWRtaW4K"},"kind":"Secret","metadata":{"annotations":{},"name":"mysecret","namespace":"default"},"type":"Opaque"}
  creationTimestamp: "2024-07-23T05:38:23Z"
  name: mysecret
  namespace: default
  resourceVersion: "19703"
  uid: fb436707-851f-4132-8939-c0fdd2ba783c
type: Opaque

 三、引用Secret

1.卷挂载——pod中引用secret

1)创建yaml文件

[root@k8s-master prome]# vim pod-user-secret.yaml
[root@k8s-master prome]# cat pod-user-secret.yaml
---
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: nginx
    image: daocloud.io/library/nginx:1.12.0-alpine
    volumeMounts:                     #挂载⼀个卷
    - name: fog                                #这个名字需要与定义的卷的名字⼀致
      mountPath: "/etc/fog"                #挂载到容器⾥哪个⽬录下,随便写
      readOnly: true                        
  volumes:                                #数据卷的定义
  - name: fog                                #卷的名字这个名字⾃定义
    secret:                                #卷是直接使⽤的secret
      secretName: mysecret                #调⽤刚才定义的secret

2)创建

[root@k8s-master prome]# kubectl apply -f pod-user-secret.yaml 
pod/mypod created
[root@k8s-master prome]# kubectl get pods
NAME     READY   STATUS    RESTARTS   AGE
mypod    1/1     Running   0          14s
tomcat   1/1     Running   0          56m

3)进入mypod查看

[root@k8s-master prome]# kubectl exec -it mypod /bin/sh
kubectl exec [POD] [COMMAND] is DEPRECATED and will be removed in a future version. Use kubectl exec [POD] -- [COMMAND] instead.
/ # ls /etc/fog/
password  user
/ # ls /etc/fog/password 
/etc/fog/password
/ # cat /etc/fog/password 
20240723
/ # cat /etc/fog/user 
admin
/ # exit

       注意:每⼀个被引⽤的Secret都要在spec.volumes中定义;如果Pod中的多个容器都要引⽤这个Secret那么每⼀个容器定义中都要指定⾃⼰的volumeMounts,但是Pod定义中声明⼀次spec.volumes就好了。

2.映射secret key到指定路径

1)删除上一次操作并编写yaml文件

[root@k8s-master prome]# kubectl delete -f pod-user-secret.yaml 
pod "mypod" deleted
[root@k8s-master prome]# vim pod-user-secret.yaml 
[root@k8s-master prome]# cat pod-user-secret.yaml 
---
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: nginx
    image: daocloud.io/library/nginx:1.12.0-alpine
    volumeMounts:
    - name: fog
      mountPath: "/etc/fog"
      readOnly: true
  volumes:
  - name: fog
    secret:
      secretName: mysecret
      items:                                 #定义⼀个items
        - key: password                        #将那个key重新定义到那个⽬录下
          path: my-fog/my-password        #相对路径,password被映射到了/etc/fog/my-fog/my-password而不是/etc/fog/password

2)创建并查看

[root@k8s-master prome]# kubectl apply -f pod-user-secret.yaml 
pod/mypod created
[root@k8s-master prome]# kubectl get pods
NAME     READY   STATUS    RESTARTS   AGE
mypod    1/1     Running   0          4m48s
tomcat   1/1     Running   0          75m
[root@k8s-master prome]# kubectl exec -it mypod /bin/sh
kubectl exec [POD] [COMMAND] is DEPRECATED and will be removed in a future version. Use kubectl exec [POD] -- [COMMAND] instead.
/ # ls /etc/fog/
my-fog
/ # ls /etc/fog/my-fog/
my-password
/ # cat /etc/fog/my-fog/my-password 
20240723
/ # exit

3)被挂载的secret内容自动更新

      修改secret.yaml文件中的数据,然后再kubectl  apply -f secret.yaml

      进入容器后查看修改的内容(有一定时间延迟)

3.以环境变量的形式使用Secret

1)编写yaml文件

[root@k8s-master secret]# echo 'root'| base64
cm9vdAo=
[root@k8s-master secret]# echo '123456' |base64
MTIzNDU2Cg==
[root@k8s-master secret]# vim mysql-secret.yaml
[root@k8s-master secret]# cat mysql-secret.yaml 
---
apiVersion: v1
kind: Secret
metadata:
  name: mysql-user-pass
type: Opaque
data:
  username: cm9vdAo=
  password: MTIzNDU2Cg==

---
apiVersion: v1
kind: Pod
metadata:
  name: mysql
spec:
  containers:
  - name: mysql
    image: daocloud.io/library/mysql:8.0.1
    env:
     - name: MYSQL_ROOT_PASSWORD                #创建新的环境变量名称
       valueFrom:
         secretKeyRef:                        #调⽤的key是什么
           name: mysql-user-pass                #变量的值来⾃于mysecret
           key: password                #username⾥⾯的值
[root@k8s-master secret]# kubectl apply -f mysql-secret.yaml 
secret/mysql-user-pass created
pod/mysql created

2)进入容易验证

kubectl exec -it mysql /bin/bash

mysql -uroot -p'123456'

四、docker私有仓库Secret应用

1.编写/etc/docker/daemon.json文件

{
"insecure-registries" : [ "私有仓库ip地址" ]
}

2.创建secret命令

[root@k8s-master ~] # kubectl create secret docker-registry myregistrykey -- docker-server=私有仓库地址 --docker-username=仓库用户 --docker-password=用户密码
#myregistrykey为sceret名字 

3.引用示例

kind: Pod
apiVersion: v1
metadata:
  namespace: kube-system
  name: nginx
  labels:
    app: nginx
spec:
  nodeName: k8s-node1
  imagePullSecrets:                #引用secret
  - name: myregistrykey                    #此处是创建的secret名字
  containers:
    - image: daocloud.io/library/nginx:1.12.0-alpine
      name: nginx
      ports:
        - containerPort: 80

然后再kubectl  apply -f  pod.yaml就可以了;
qinxue722
关注
  • 22
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
k8sSecret详细理解及使用
skh2015java的博客
10-22 3万+
Secret介绍 k8s secrets用于存储和管理一些敏感数据,比如密码,token,密钥等敏感信息。它把 Pod 想要访问的加密数据存放到 Etcd 中。然后用户就可以通过在 Pod 的容器里挂载 Volume 的方式或者环境变量的方式访问到这些 Secret 里保存的信息了。 Secret有三种类型 Opaque:base64 编码格式的 Secret,用来存储密码、密钥等;但数据也可以通过base64 –decode解码得到原始数据,所有加密性很弱。 Service Account:.
K8SSecret
weixin_46686835的博客
03-24 983
K8SSecret Secret介绍 k8s secrets用于存储和管理一些敏感数据,比如密码,token,密钥等敏感信息。它把 Pod 想要访问的加密数据存放到 Etcd 中。然后用户就可以通过在 Pod 的容器里挂载 Volume 的方式或者环境变量的方式访问到这些 Secret 里保存的信息了。 Secret 有三种类型: Service Account :用来访问 Kubernetes API,由 Kubernetes 自动创建,并且会自动挂载到 Pod 的 /run/secrets/kube
k8s-secret
zhangxxxww的专栏
06-23 2060
Secret解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret使用: 1. Volume 2. 环境变量Secret有三种类型: 1. Service Account:用来访问Kubernetes API,由Kubernetes自动创建,并且会自动挂载到Pod的/run/secrets/kubernetes.io/servi
k8s中的Secret
weixin_43849415的博客
09-17 1325
k8s中的secret用于保存敏感信息,例如service account、密码、docker拉取镜像的凭证等。pod使用secret方式和configMap类型,环境变量和挂载。
k8s --使用secret
IT艺术家-rookie的博客
04-20 4038
为什么要使用secret 官网说明 以前一些数据库密码可能会写在配置文件中springboot工程中一般是application.yaml。有的会直接写明文,有的加密之后把密文写在配置文件中。 k8ssecret是一种包含少量敏感信息例如密码、令牌或密钥的对象。 这样的信息可能会被放在 Pod 规约中或者镜像中。 使用 Secret 意味着你不需要在应用程序代码中包含机密数据。 Secret 类似于 ConfigMap 但专门用于保存机密数据。 Pod使用Secret Pod有用三种方式来使用 Sec
k8s-secret 配置使用secret
weixin_44204737的博客
04-27 1482
kubernetes.io/basic-auth:用于使用基本认证(账号密码)的Secret,可以使用Opaque取代;secret的使用方式和configmap很像,secret使用加密的方式更加安全,configmap更适合传递配置文件。◆ kubernetes.io/tls:用于存储HTTPS域名证书文件的Secret,可以被Ingress使用;◆ kubernetes.io/dockerconfigjson:下载私有仓库镜像使用的Secret,◆Opaque:通用型Secret,默认类型;
K8SSecret的介绍和使用
weixin_40364776的博客
03-31 1188
Secret是一种用于存储和管理敏感数据的K8s对象。它解决了密码、token、秘钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。
K8S Secret 一文详解, 全面覆盖 Secret 使用场景 | 全家桶
aifeier的博客
01-10 3653
Secret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 这样的信息可能会被放在 Pod 规约中或者镜像中。 使用 Secret 意味着你不需要在应用程序代码中包含机密数据。由于创建 Secret 可以独立于使用它们的 Pod, 因此在创建、查看和编辑 Pod 的工作流程中暴露 Secret(及其数据)的风险较小。 Kubernetes 和在集群中运行的应用程序也可以对 Secret 采取额外的预防措施, 例如避免将敏感数据写入非易失性存储。
k8sSecret(密文)和configmap(明文)的使用
很多时候犯错都是在不知情的情况下发生的
08-13 5000
执行一下。
K8S Secret
最新发布
王小工小工历程
08-23 890
K8SKubernetes)中的Secret是一种用于保存敏感信息的资源对象,如密码、OAuth令牌、SSH密钥等。这些信息通常不应该直接暴露在Pod的规范(Spec)或镜像中,因为这样做会增加数据泄露的风险。Secret提供了一种更安全的方式来管理这些敏感信息,并允许Pod以受控的方式访问它们。
Kubernetesk8s)的存储Secret 详细介绍
南宫乘风-Linux运维-虚拟化容器-Python编程 ownit.top
02-08 1111
Secret 存在意义 Secret 解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Spec 中。Secret 可以以 Volume 或者环境变量的方式使用 Secret 有三种类型: Service Account :用来访问 Kubernetes API,由 Kubernetes 自动创建,并且会自动挂载到 Pod 的/run/se...
K8Ssecret
运维@小兵的博客
10-11 621
一、概念 1.1.支持三种类型 docker-registry 存储镜像仓库认证信息 generic 通用存储,可以从文件或者目录导入,如用户名和密码 tls 存储证书,例如https证书 二、使用 kubectl 创建 Secret echo -n 'admin' > ./username.txt echo -n '1f2d1e2e67df' > ./password.txt kubectl create secret generic db-us
k8s secret 详细理解和使用
koukouwuwu的专栏
05-13 333
参见: https://blog.csdn.net/skh2015java/article/details/109228364
k8s-secret用法
weixin_30642029的博客
08-26 1220
创建username和password文件: $ echo -n "admin" > ./username $ echo -n "1f2d1e2e67df" > ./password 用kubectl生成secret对象: $ kubectl create secret generic db-user-pass --from-file=./username...
DCOS之k8ssecret
公众号
02-27 4856
作为kubernetes中一个重要的资源secret,它的设计初衷是为了解决container在访问外部网络或外部资源时验证的问题,例如访 问一个git仓库,连接一个数据库,设置一些密码配置等,需要额外验证的场景。它被作为一种资源的形式被设计,由kubernetes集群统一管理,从字 面意思来看已经表现了敏感,安全等特性,因此集群对待这类资源的管理需要额外的保护,对其内容进行加密是十分有必要的。当
k8s配置资源管理|secret|configmap
m0_75015568的博客
05-26 1820
k8s配置资源管理|secret|configmap
K8s集群部署Docker-Harbor镜像:Node认证详解
"这篇文档主要介绍了如何在Kubernetes (k8s) 集群中部署基于Docker-Harbor的镜像,并在Node节点上进行必要的认证过程。" 在Kubernetes环境中部署应用通常涉及创建Deployment、Service以及Ingress资源。在本案例中,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值