kubernetes之Secret

最新推荐文章于 2024-05-11 14:08:13 发布
最新推荐文章于 2024-05-11 14:08:13 发布
阅读量436 收藏
点赞数
分类专栏: Kubernetes 文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25854057/article/details/124884681
版权

Secret 解决了密码、Token、秘钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Spec 中。Secret可以以 Volume 或者环境变量的方式使用。 使用 Secret 意味着你不需要在应用程序代码中包含机密数据。

一、概述

由于创建 Secret 可以独立于使用它们的 Pod, 因此在创建、查看和编辑 Pod 的工作流程中暴露 Secret(及其数据)的风险较小。 Kubernetes 和在集群中运行的应用程序也可以对 Secret 采取额外的预防措施, 例如避免将机密数据写入非易失性存储。Secret 类似于 ConfigMap 但专门用于保存机密数据。

1、类型

内置类型用法
Opaque用户定义的任意数据
kubernetes.io/service-account-token服务账号令牌
kubernetes.io/dockercfg~/.dockercfg 文件的序列化形式
kubernetes.io/dockerconfigjson~/.docker/config.json 文件的序列化形式
kubernetes.io/basic-auth用于基本身份认证的凭据
kubernetes.io/ssh-auth用于 SSH 身份认证的凭据
kubernetes.io/tls用于 TLS 客户端或者服务器端的数据
bootstrap.kubernetes.io/token启动引导令牌数据

一般用到这三种类型类型比较多:Opaquekubernetes.io/dockerconfigjson以及kubernetes.io/service-account-token

二、Service Account

Service Account 用来访问 Kubernetes API,由 Kubernetes 自动创建,并且会自动挂载到 Pod/run/secrets/kubernetes.io/serviceaccount 目录中。

# kubectl run nginx --image nginx:1.7.9
pod/nginx created

# kubectl exec nginx -- ls /run/secrets/kubernetes.io/serviceaccount 
ca.crt
namespace
token

三、Opaque Secret

Secret 配置文件中未作显式设定时,默认的 Secret 类型是 OpaqueOpaque 类型的数据是一个map 类型,要求 valuebase64 编码格式,这个加密性很弱,可以认定为不是一种加密类型只是一种编码方式。

1、创建说明

使用 kubectl 来创建一个 Secret

#  echo -n "admin" | base64
YWRtaW4=
# echo -n "123456" | base64
MTIzNDU2

# cat secret-test.yml 
apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  password: MTIzNDU2
  username: YWRtaW4=

# kubectl create -f secret-test.yml 
secret/mysecret created
# kubectl get secret
NAME                  TYPE                                  DATA   AGE
default-token-g2rb9   kubernetes.io/service-account-token   3      35d
mysecret              Opaque                                2      7s

2、使用方式

1. Secret 挂载到Volume中

如果你希望在 Pod 中访问 Secret 内的数据,一种方式是让 KubernetesSecretPod 中一个或多个容器的文件系统中的文件的形式呈现出来。

apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: mypod
    image: nginx:1.7.9
    volumeMounts:
    - name: foo
      mountPath: "/etc/foo"
      readOnly: true
  volumes:
  - name: foo
    secret:
      secretName: mysecret
      optional: false # 默认设置,意味着 "mysecret" 必须已经存在

# kubectl exec -it mypod /bin/bash
kubectl exec [POD] [COMMAND] is DEPRECATED and will be removed in a future version. Use kubectl exec [POD] -- [COMMAND] instead.
root@mypod:/# ls /etc/foo/
password  username
root@mypod:/# ls /etc/foo/password 
/etc/foo/password
root@mypod:/# cat /etc/foo/password 
123456root@mypod:/#

2. Secret 导出到环境变量中

通过环境变量来使用 Secret 的示例 Pod

apiVersion: v1
kind: Pod
metadata:
  name: secret-env-pod
spec:
  containers:
  - name: mycontainer
    image: redis
    env:
      - name: SECRET_USERNAME
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: username
            optional: false # 此值为默认值;意味着 "mysecret"
                            # 必须存在且包含名为 "username" 的主键
      - name: SECRET_PASSWORD
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: password
            optional: false # 此值为默认值;意味着 "mysecret"
                            # 必须存在且包含名为 "password" 的主键
  restartPolicy: Never

四、dockerconfigjson

1、创建 Docker Secret

使用下面 kubernetes.io/dockerconfigjson 值来创建 Secret,用以存放访问 Docker 仓库 来下载镜像的凭据。

kubectl create secret docker-registry myregistrykey \
  --docker-email=test123@acme.example \
  --docker-username=test123\
  --docker-password=pass113 \
  --docker-server=registry.example:5000

2、引用 Docker Secret

在创建 Pod 的时候,通过 ImagePullSecrets 来引用刚创建的 myregistrykey

apiVersion: v1
kind: Pod
metadata:
  name: "MYAPP"
spec:
  containers:
  - name: MYAPP
    image: "nginx:1.7.9"
  imagePullSecrets:
    - name: myregistrykey


Reference:
https://www.kubernetes.org.cn/secret
https://kubernetes.io/zh/docs/concepts/configuration/secret

小王格子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kubernetes-dashboard.yaml
08-11
# Copyright 2017 The Kubernetes Authors. # # Licensed under the Apache License, Version 2.0 (the "License"); # you may not use this file except in compliance with the License. # You may obtain a copy of the License at # # http://www.apache.org/licenses/LICENSE-2.0 # # Unless required by applicable law or agreed to in writing, software # distributed under the License is distributed on an "AS IS" BASIS, # WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. # See the License for the specific language governing permissions and # limitations under the License. # ------------------- Dashboard Secret ------------------- # apiVersion: v1 kind: Secret metadata: labels: k8s-app: kubernetes-dashboard name: kubernetes-dashboard-certs namespace: kube-system type: Opaque --- # ------------------- Dashboard Service Account ------------------- # apiVersion: v1 kind: ServiceAccount metadata: labels: k8s-app: kubernetes-dashboard name: kubernetes-dashboard namespace: kube-system --- # ------------------- Dashboard Role & Role Binding ------------------- # kind: Role apiVersion: rbac.authorization.k8s.io/v1 metadata: name: kubernetes-dashboard-minimal namespace: kube-system rules: # Allow Dashboard to create 'kubernetes-dashboard-key-holder' secret. - apiGroups: [""] resources: ["secrets"] verbs: ["create"] # Allow Dashboard to create 'kubernetes-dashboard-settings' config map. - apiGroups: [""] resources: ["configmaps"] verbs: ["create"] # Allow Dashboard to get, update and delete Dashboard exclusive secrets. - apiGroups: [""] resources: ["secrets"] resourceNames: ["kubernetes-dashboard-key-holder", "kubernetes-dashboard-certs"] verbs: ["get", "update", "delete"] # Allow Dashboard to get and update 'kubernetes-dashboard-settings' config map. - apiGroups: [""] resources: ["configmaps"] resourceNames: ["kubernetes-dashboard-settings"] verbs: ["get", "update"] # Allow Dashboard to get metrics from heapster. - apiGroups: [""] resources: ["services"] resourceNames: ["heapster"] verbs: ["proxy"] - apiGroups: [""] resources: ["services/proxy"] resourceNames: ["heapster", "http:heapster:", "https:heapster:"] verbs: ["get"] --- apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: name: kubernetes-dashboard-minimal namespace: kube-system roleRef: apiGroup: rbac.authorization.k8s.io kind: Role name: kubernetes-dashboard-minimal subjects: - kind: ServiceAccount name: kubernetes-dashboard namespace: kube-system --- # ------------------- Dashboard Deployment ------------------- # kind: Deployment apiVersion: apps/v1 metadata: labels: k8s-app: kubernetes-dashboard name: kubernetes-dashboard namespace: kube-system spec: replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: k8s-app: kubernetes-dashboard template: metadata: labels: k8s-app: kubernetes-dashboard spec: containers: - name: kubernetes-dashboard image: k8s.gcr.io/kubernetes-dashboard-amd64:v1.10.1 imagePullPolicy: IfNotPresent ports: - containerPort: 8443 protocol: TCP args: - --auto-generate-certificates # Uncomment the following line to manually specify Kubernetes API server Host # If not specified, Dashboard will attempt to auto discover the API server and connect # to it. Uncomment only if the default does not work. #- --apiserver-host=http://192.168.140.129:8080 volumeMounts: - name: kubernetes-dashboard-certs mountPath: /certs # Create on-disk volume to store exec logs - mountPath: /tmp name: tmp-volume livenessProbe: httpGet: scheme: HTTPS path: / port: 8443 initialDelaySeconds: 30 timeoutSeconds: 30 volumes: - name: kubernetes-dashboard-certs secret: secretName: kubernetes-dashboard-certs - name: tmp-volume emptyDir: {} serviceAccountName: kubernetes-dashboard # Comment the following tolerations if Dashboard must not be deployed on master tolerations: - key: node-role.kubernetes.io/master effect: NoSchedule --- # ------------------- Dashboard Service ------------------- # kind: Service apiVersion: v1 metadata: labels: k8s-app: kubernetes-dashboard name: kubernetes-dashboard namespace: kube-system spec: type: NodePort ports: - port: 443 targetPort: 8443 selector: k8s-app: kubernetes-dashboard
kubernetes-learning.pdf
06-04
k8s学习 介绍 序⾔ 课程介绍 Docker 基础 Docker 简介 镜像和容器的基本操作 Dockerfile 定制镜像 私有镜像仓库 数据共享与持久化 Docker 的⽹络模式 Docker 三架⻢⻋ Docker Compose Docker Machine Docker Swarm Docker 实践 图形化管理和监控 Docker 的多阶段构建 Dockerfile 最佳实践 Kubernetes 基础 Kubernetes 初体验 基本概念与组件 kubeadm 搭建集群 使⽤ kubeadm 搭建集群环境 安装 Dashboard 插件 17.1 7.2 7.3 7.4 7.5 8.1 8.2 8.3 8.4 8.5 8.6 8.7 8.8 8.9 8.10 9.1 9.2 9.3 10.1 10.2 10.3 11.1 11.2 11.3 深⼊理解 Pod YAML ⽂件 静态 Pod Pod Hook Pod 的健康检查 初始化容器 常⽤对象操作: Replication Controller 与 Replica Set Deployment HPA Job/CronJob Service ConfigMap Secret RBAC 部署Wordpress示例 DaemonSet 和 StatefulSet 持久化存储: PV PVC StorageClass 服务发现 kubedns ingress 安装配置 ingress tls 和 path 的使⽤ 包管理⼯具 Helm Helm 的安装使⽤ Helm 的基本使⽤ Helm 模板之内置函数和Values 211.4 11.5 11.6 11.7 11.8 12.1 12.2 13.1 13.2 13.3 13.4 13.5 13.6 13.7 13.8 13.9 14.1 14.2 15.1 15.2 15.3 15.4 15.5 15.6 15.7 Helm 模板之模板函数与管道 Helm 模板之控制流程 Helm 模板之命名模板 Helm 模板之其他注意事项 Helm Hooks 调度器 Kubernetes 调度器介绍 Kubernetes 亲和性调度 集群监控 ⼿动安装 Prometheus 监控 Kubernetes 集群应⽤ 监控 Kubernetes 集群节点 监控 Kubernetes 常⽤资源对象 Grafana 的安装使⽤ AlertManager 的使⽤ Prometheus Operator 的安装 ⾃定义Prometheus Operator 监控项 Prometheus Operator⾼级配置 ⽇志收集 ⽇志收集架构 搭建 EFK ⽇志系统 CI/CD: 动态 Jenkins Slave Jenkins Pipeline 部署 Kubernetes 应⽤ Jenkins BlueOcean Harbor Gitlab Gitlab CI Devops
kubernetes培训视频.zip
01-09
网盘文件永久链接 1.k8s的pod健康检查机制 2.kubernetes ingress 3.基于Kubernetes-v1.25.0和Docker部署高可用集群 4.一小时精通Kubernetes的配置资源ConfigMap 5.一小时精通Kubernetes的服务暴露和七层代理Ingress 6.一小时精通Kubernetes的服务发现资源Service 7.一小时精通Kubernetes的安全配置资源Secret 973页Kubernetes笔记 ...............
每天5分钟玩转Kubernetes | chart详解
COCO_gsta的博客
06-23 2049
书籍来源:cloudman《每天5分钟玩转Kubernetes》一边学习一边整理老师的课程内容及试验笔记,并与大家分享,侵权即删,谢谢支持!附上汇总贴:每天5分钟玩转Kubernetes | 汇总_COCOgsta的博客-CSDN博客chart是Helm的应用打包格式。chart由一系列文件组成,这些文件描述了Kubernetes部署应用时所需要的资源,比如Service、Deployment、PersistentVolumeClaim、Secret、ConfigMap等。单个的chart可以非常简单,只用
Kubernetes(六):存储
学习记录和总结
08-13 530
Kubernetes存储的使用:ConfigMap、Secret、Volume、PV-PVC
k8s拉取私有镜像配置kubernetes.io/dockerconfigjson
码农的专栏
05-27 876
第一步:登录一下私有镜像仓库。
Kubernetes-Secret
「 虚幻私塾」
01-25 541
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 1. 简介 Secret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 这样的信息可能会被放在 Pod 规约中或者镜像中。 使用 Secret 意味着你不需要在应用程序代码中包含机密数据。 由于创建 Secret 可以独立于使用它们的 Pod, 因此在创建、查看和编辑 P
运维实操——kubernetes(九)存储之Secret配置管理Service Account、Opaque、dockerconfigjson
qq_40764171的博客
08-01 1013
存储之Secret配置管理Service Account、Opaque、dockerconfigjson1、什么是Secret?2、Service Account3、Opaque(1)从文件中创建Secret(2)使用yaml文件创建secret(3)将Secret挂载到Volume中(4)向指定路径映射 secret 密钥(5)将Secret设置为环境变量3、kubernetes.io/dockerconfigjson 1、什么是Secret? Secret是存储中的一种,主要用于保存敏感信息,例如密码、
KubernetesSecret使用详解
热门推荐
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
10-26 1万+
Secret解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。 Secret类型 Secret有三种类型: Opaque:base64编码格式的Secret,用来存储密码、密钥等;但数据也通过base64 –decode解码得到原始数据,所有加密性很弱。 kubernetes.io/doc...
k8s拉取私有仓库镜像:通过config.json文件或命令行来创建secret(docker-registry)
学亮编程手记
03-08 3188
通过config.json文件来创建 kubectl create secret generic xxx-key \ --from-file=.dockerconfigjson=/root/.docker/config.json \ --type=kubernetes.io/dockerconfigjson 背景说明: imagePullSecret资源将Secret提供的密码传递给kubelet从而在拉取镜像前完成必要的认证过程,简单说就是你的镜像仓库是私有的,每次拉取是需要认证的。 配
synator:Synator Kubernetes Secret和ConfigMap同步器
04-23
Synator Kubernetes Secret和ConfigMap同步器 有时,我们想在不同的名称空间中使用机密,不幸的是,我们不能没有任何辅助运算符或手动复制,因为在kubernetes中,机密和configmaps是名称空间。 当我们有几个命名空间...
kubernetes-secret-manager:使用Kubernetes集群中的Vault管理秘密
02-03
目标该项目的主要目的是允许从MySQL数据库请求动态机密,并使Kubernetes集群中的Pod能够使用这些动态密码。 机密应与租约相关联,以使它们在预定义的ttl之后过期,并且应在满足最大ttl之前旋转机密。 应当执行该实现...
kubernetes存储
m0_59749940的博客
11-10 1906
Configmap配置管理 Configmap用于保存配置数据,以键值对形式存储;ConfigMap资源提供了向Pod注入配置数据的方法,旨在让镜像和配置文件解耦,以便实现镜像的可移植性和可复用性;典型的使用场景有:填充环境变量的值、设置容器内的命令行参数、填充卷的配置文件 创建ConfigMap的方式有4种:使用字面值创建、使用文件创建、使用目录创建、编写configmap的yaml文件创建 ##使用字面值创建,键值对的方式 ##使用文件创建,文件名为key,文件内容为值 ##使
云原生】k8s(Kubernetes)中yaml文件快速阅读理解
suncat的博客
08-06 2921
2)接着我们看下一个,以---分隔符隔开的另一个类型Service,定义了一个名为suncat-endpoints的Service,同时往该Service中配置内部端口映射到Pod暴露出的端口port: 3306,以及对外暴露的端口号targetPort: 3306。首先我们看到,定义了一个名为suncat-service的Service类型,他的职责时将port: 8848端口映射到nodePort: 38011对外暴露端口,并且他的管理的对应的应用时suncat-app应用。............
kubernetes从私有仓库拉取镜像,制定你的docker-registry
Vv的博客
07-03 1362
kubernetes官方文档:https://kubernetes.io/zh/docs/tasks/configure-pod-container/pull-image-private-registry/ 从私有仓库拉取镜像 本文介绍如何使用 Secret 从私有的 Docker 镜像仓库或代码仓库拉取镜像来创建 Pod。 登录 Docker 镜像仓库 在个人电脑上,要想拉取私有镜像必须在镜像仓库上进行身份验证。 #此方式默认登录的是docker官方仓库 docker login #如果需
kubernetes配置管理:cm,sercret,sa
阿白,
04-25 2550
可变配置管理前面我们学习了一些常用的资源对象的使用,但是单纯依靠这些资源对象,还不足以满足我们的日常需求,一个重要的需求就是应用的配置管理、敏感信息的存储和使用(如:密码、Token 等)、容器运行资源的配置、安全管控、身份认证等等。对于应用的可变配置在 Kubernetes 中是通过一个 ConfigMap 资源对象来实现的,我们知道许多应用经常会有从配置文件、命令行参数或者环境变量中读取一些配置信息的需求,这些配置信息我们肯定不会直接写死到应用程序中去的,比如你一个应用连接一个 redis 服务,下一次
Kubernetes Secrets 详解
奋斗菜鸟
09-08 400
Kubernetes Secrets 详解
Kubernetessecrets使用
Harry的博客
10-11 3725
Secret解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。 ​
KubeKey 部署 K8s v1.28.8 实战
最新发布
KubeSphere
05-11 1097
本文分享了在 openEuler 22.03 LTS SP3 操作系统上,如何利用 KubeSphere 开发的工具KubeKey,部署集群的详细流程及注意事项。openEuler 22.03 LTS SP3 操作系统基础配置openEuler 22.03 LTS SP3 操作系统上 LVM 磁盘的创建配置使用 KubeKey 部署 K8s 高可用集群K8s 集群部署完成后的验证测试笔者水平有限,尽管经过多次验证和检查,尽力确保内容的准确性,但仍可能存在疏漏之处。敬请业界专家大佬不吝指教。
Kubernetes Secret 的几种类型
02-21
Kubernetes Secret 有四种类型:Opaque、Service Account、docker-registry 和 tls。Opaque 是最常用的类型,用于存储任意类型的数据;Service Account 用于存储服务帐户信息;docker-registry 用于存储对私有的 Docker 注册表的认证凭据;tls 可用于存储 TLS 密钥和证书。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值