Kubernetes secret使用详解

最新推荐文章于 2024-07-19 14:11:43 发布
最新推荐文章于 2024-07-19 14:11:43 发布
阅读量1.4k 收藏 5
点赞数
文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34556414/article/details/109777745
版权

Secret 存在意义

K8s configmap可以注入pod之内成为环境变量或者是配置文件,这些都是以明文方式保存,如果碰到密码这种的以明文方式保存就不行了,Secret更加倾向于保存要加密的文件。 

Secret 解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Spec中。Secret 可以以 Volume 或者环境变量的方式使用。密码这种可以先存储到secret里面,然后挂载到Pod里面即可。

Secret 有三种类型:

  • Service Account:用来访问 Kubernetes API,由 Kubernetes 自动创建,并且会自动挂载到 Pod 的/run/secrets/kubernetes.io/serviceaccount目录中
  • Opaque:base64编码格式的Secret,用来存储密码、密钥等
  • kubernetes.io/dockerconfigjson:用来存储私有 docker registry 的认证信息

Service Account:对于有些pod来说需要和apiserver进行交互,比如flanned,coredns这些需要和api进行交互,kube api不是谁都可以过来访问的,因为它是一切访问的入口。所以pod的访问方式就是挂载Service Account

Opaque:这种方式就是加密的方式存储,加密程度并不高,很容易就进行解密

kubernetes.io/dockerconfigjson: 如果有私有仓库那么下载的时候需要认证,这些认证方案是由docker仓库去完成的,这个可以保存私有仓库认证的用户名密码信息

 

Service Account

Service Account 用来访问 Kubernetes API,由 Kubernetes 自动创建,并且会自动挂载到 Pod的/run/secrets/kubernetes.io/serviceaccount目录中

$ kubectl run nginx --image nginxdeployment "nginx" created

$ kubectlget podsNAME                     READY     STATUS    RESTARTS   AGEnginx-3137573019-md1u2   1/1       Running   0          13s

$ kubectl exec nginx-3137573019-md1u2 ls /run/secrets/kubernetes.io/serviceaccount 
ca.crt namespace token

Sa是不需要我们去创建管理的,是由k8s自动创建的

[root@k8s-master ~]# kubectl exec kube-flannel-ds-amd64-lb6vm -it  -n kube-system -- /bin/sh
/ # cd /run/secrets/kubernetes.io/serviceaccount/
/run/secrets/kubernetes.io/serviceaccount # ls
ca.crt (证书信息,双向认证)    namespace  token(认证的密钥信息)
/run/secrets/kubernetes.io/serviceaccount # cat namespace 
kube-system

上面这三个组成了sa,这三个使得flanneld可以访问api达成一致

 

Opaque Secret

1.创建说明

Opaque 类型的数据是一个 map 类型,要求 value 是 base64 编码格式,如果要进行用户名密码的保存,那么先要将其以base64位加密,再将加密的值保存在文件当中

[root@k8s-master ~]# echo -n "admin" | base64
YWRtaW4=
[root@k8s-master ~]# echo -n "1f2d1e2e67df" | base64
MWYyZDFlMmU2N2Rm

只要字符串一样加密的结果就是一样的
[root@k8s-master ~]# echo -n "YWRtaW4=" | base64 -d
Admin
解密

创建一个secret

[root@k8s-master secret]# cat test.yml 
apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  password: MWYyZDFlMmU2N2Rm
  username: YWRtaW4=
[root@k8s-master secret]# kubectl get secret
NAME                  TYPE                                  DATA   AGE
default-token-dfmvc   kubernetes.io/service-account-token   3      42d
mysecret              Opaque                                2      48s

[root@k8s-master ~]# kubectl describe secret mysecret
Name:         mysecret
Namespace:    default
Labels:       <none>
Annotations:  <none>

Type:  Opaque

Data
====
username:  5 bytes
password:  12 bytes

这里有默认的default-token-dfmvc,其实在任何的名称空间下都有

[root@k8s-master secret]# kubectl get secret -n kube-system
NAME                          TYPE                                  DATA   AGE
default-token-hdkh5           kubernetes.io/service-account-token   3      42d

K8s会为每个名称空间下都创建sa用于pod挂载

 2.使用方式

1.将 Secret 挂载到 Volume 中

[root@k8s-master secret]# cat mytest.yml
apiVersion: v1
kind: Pod
metadata:
    name: secret-test
spec:
  volumes:
  - name: secrets
    secret:
      secretName: mysecret
  containers: 
  - name: busybox
    image: busybox
    command: ["/bin/sh","-c","sleep 3600s"]
    volumeMounts:    
    - name: secrets      
      mountPath: "/etc/secrets"      
      readOnly: true
[root@k8s-master secret]# kubectl exec -it secret-test -- /bin/sh
/ # cd /etc/secrets/
/etc/secrets # ls
password  username

/etc/secrets # cat password 
1f2d1e2e67df
/etc/secrets # cat username 
Admin

可以看到在创建的时候是加密保存的,在使用的时候会自动完成解密

2、将 Secret 导出到环境变量中

[root@k8s-master secret]# kubectl apply -f mytest1.yml 
pod/secret-test-env created
[root@k8s-master secret]# cat mytest1.yml 
apiVersion: v1
kind: Pod
metadata:
    name: secret-test-env
spec:
  containers: 
  - name: busybox
    image: busybox
    command: ["/bin/sh","-c","sleep 3600s"]
    env:
    - name: TEST_USER
      valueFrom:
        secretKeyRef:
          name: mysecret
          key: username
    - name: TEST_PASSWORD
      valueFrom:
        secretKeyRef:
          name: mysecret
          key: password
[root@k8s-master secret]# kubectl exec -it secret-test-env -- /bin/sh
/ # echo $TEST_USER
admin
/ # echo $TEST_PASSWORD
1f2d1e2e67df

 

Secret保存docker仓库认证信息  harbor

对于公司内部的项目, 我们不可能使用公有开放的镜像仓库, 一般情况可能会花钱买 docker私仓服务, 或者说自己在服务器上搭建自己的私仓, 但不管怎样, 我们如何让k8s能够拉取私有仓库的镜像 

 使用 Kuberctl 创建 docker registry 认证的 secret,格式如下

kubectl create secret docker-registry myregistrykey --docker-server=DOCKER_REGISTRY_SERVER --docker-username=DOCKER_USER --docker-password=DOCKER_PASSWORD --docker-email=DOCKER_EMAIL
[root@k8s-master ~]# kubectl create secret docker-registry myregistrykey --docker-server=hub.test.com --docker-username=admin --docker-password=Harbor12345 --docker-email=test@163.com
secret/myregistrykey created
[root@k8s-master ~]# kubectl describe secret myregistrykey 
Name:         myregistrykey
Namespace:    default
Labels:       <none>
Annotations:  <none>

Type:  kubernetes.io/dockerconfigjson

Data
====
.dockerconfigjson:  129 bytes

其中:
regsecret: 指定密钥的键名称, 可自行定义
--docker-server: 指定docker仓库地址
--docker-username: 指定docker仓库账号
--docker-password: 指定docker仓库密码
--docker-email: 指定邮件地址(选填)

 yml文件加入密钥参数

在创建 Pod 的时候,通过imagePullSecrets来引用刚创建的 `myregistrykey`

apiVersion: v1
kind: Pod
metadata:  
  name: foo
spec:  
  containers:    
    - name: foo      
    image: reg.harbor.com/library:v1  
  imagePullSecrets:    
  - name: myregistrykey

其中imagePullSecrets是声明拉取镜像时需要指定密钥, myregistrykey 必须和上面生成密钥的键名一致, 另外检查一下pod和密钥是否在同一个namespace, 之后k8s便可以拉取镜像

富士康质检员张全蛋
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【云原生】kubernetessecret原理详解与应用实战
景天科技苑
06-04 2万+
对于一些敏感数据,如密码、私钥等数据时,要用secret类型。 Secret解决了密码、token、秘钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。 Secret可以以Volume或者环境变量的方式使用。 要使用 secret,pod 需要引用 secret。Pod 可以用两种方式使用 secret: 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里, 或者当 kubelet 为 pod 拉取镜像时使用
Kubernetes Secret 详解
最新发布
TechEnthusiast的博客
07-23 154
Kubernetes Secret 是一种用于存储和管理敏感信息的对象,如密码、OAuth 令牌和 SSH 密钥等。使用 Secret 可以避免将机密数据直接放在 Pod 规约或容器镜像中,从而增加了应用程序的安全性。
Kubernetes Secrets 详解
奋斗菜鸟
09-08 446
Kubernetes Secrets 详解
Kubernetes-Secret使用说明
iov_aaron的专栏
07-08 3568
Kubernetes提供Secret资源用于解决密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用Secret类型 Opaque:base64编码格式的Secret,用来存储密码、密钥等;但数据也通过base64 –decode解码得到原始数据,所有加密性很弱。 kubernetes.i...
kubernetes-Secert配置管理详解
m0_71163619的博客
07-19 331
secrets用于存储和管理一些敏感数据,比如密码,token,密钥等敏感信息。它把 Pod 想要访问的加密数据存放到Etcd中。然后用户就可以通过在 Pod 的容器里挂载 Volume 的方式或者环境变量的方式访问到这些 Secret 里保存的信息了。Secret 类似于 ConfigMap 但专门用于保存机密数据。
kubernetessecret
weixin_30698297的博客
07-29 134
secret 作用: 保管私密数据 secret使用场景 1. 创建pod时候, 为pod指定serviceaccount来自动使用secret 2. 通过挂载该secret到pod来使用它 3. 下载docker镜像, 通过指定pod的spec.ImagePullSecrets来引用 4. 生成变量 通过挂载该secret到pod来使用它, pod容器里生成文件 创建secret ...
k8s --使用secret
IT艺术家-rookie的博客
04-20 4041
为什么要使用secret 官网说明 以前一些数据库密码可能会写在配置文件中springboot工程中一般是application.yaml。有的会直接写明文,有的加密之后把密文写在配置文件中。 k8s中secret是一种包含少量敏感信息例如密码、令牌或密钥的对象。 这样的信息可能会被放在 Pod 规约中或者镜像中。 使用 Secret 意味着你不需要在应用程序代码中包含机密数据。 Secret 类似于 ConfigMap 但专门用于保存机密数据。 Pod使用Secret Pod有用三种方式来使用 Sec
【K8S】k8s中secret使用方法
qq_42391153的博客
04-03 1067
在k8s中使用secret挂载访问凭证和账号密码
K8S第一讲 KubernetesSecret详解
程序员路同学
04-23 566
K8S第一讲 k8s之Secret详解
Kubernetes K8S之存储Secret详解
踏歌行的专栏
09-28 7443
K8S之存储Secret概述与类型说明,并详解常用Secret示例
k8s-secret 配置使用secret
weixin_44204737的博客
04-27 1497
kubernetes.io/basic-auth:用于使用基本认证(账号密码)的Secret,可以使用Opaque取代;secret的使用方式和configmap很像,secret使用加密的方式更加安全,configmap更适合传递配置文件。◆ kubernetes.io/tls:用于存储HTTPS域名证书文件的Secret,可以被Ingress使用;◆ kubernetes.io/dockerconfigjson:下载私有仓库镜像使用Secret,◆Opaque:通用型Secret,默认类型;
k8s学习(十五)Secret的使用
码易的博客
12-29 1982
目录前言一、创建Secret二、使用Secret 前言 。 一、创建Secret 1、base64加密 [root@k8s-master k8s]# echo -n "root" | base64 cm9vdA== [root@k8s-master k8s]# echo -n "root123" | base64 cm9vdDEyMw== 2、secret.yaml [root@k8s-master k8s]# cat secret.yaml apiVersion: v1 kind: Secr..
Kubernets笔记(十六)--Secrect
BigData_Mining的博客
08-13 448
Secret 上节课我们学习了ConfigMap的时候,我们说ConfigMap这个资源对象是Kubernetes当中非常重要的一个对象,一般情况下ConfigMap是用来存储一些非安全的配置信息,如果涉及到一些安全相关的数据的话用ConfigMap就非常不妥了,因为ConfigMap是名为存储的,我们说这个时候我们就需要用到另外一个资源对象了:Secret,Secret用来保存敏感信息,例如密码...
k8s学习--Secret详细解释与应用
lwxvgdv的博客
05-31 995
类似与ConfigMap 区别在于ConfigMap存储明文Secret存储密文ConfigMap可以用作配置文件管理,Secret用于密码、密钥、token等敏感数据配置管理##Secret特性1非敏感数据:专门用于存储非敏感的配置信息。2.多种数据源:数据可以从命令行、文件、目录等多种来源创建。3.动态更新:更新 ConfigMap 后,Pod 可以动态加载新的配置信息(需要应用支持热加载)
k8s配置资源管理|secret|configmap
m0_75015568的博客
05-26 1822
k8s配置资源管理|secret|configmap
K8s核心技术配置管理Secret 和ConfigMap
weixin_45181388的博客
10-19 440
K8s核心技术配置管理SecretSecret步骤创建secret加密数据通过挂载使用以变量形式挂载到pod容器中编写yaml文件创建pod进入容器中查看是否存在这个值以volume数据卷的形式挂载到pod容器中查看挂载卷ConfigMap创建配置文件以volume形式挂载到pod容器中以变量形式挂载到pod容器中创建yaml文件,声明变量信息。configmap创建以变量形式挂载查看日志 Secret 作用:加密数据存储在etcd中,让pod容器以挂载volume的方式访问。 场景: 凭证 base64编
k8s学习-Secret(创建、使用、更新、删除等)_kubectl delete secret
2401_84281594的博客
05-02 1072
任何拥有 API 访问权限的人都可以检索或修改 Secret,任何有权访问 etcd 的人也可以。此外,任何有权限在命名空间中创建 Pod 的人都可以使用该访问权限读取该命名空间中的任何 Secret;对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!中的安全部分详细展开。
容器编排技术 -- Kubernetes kubectl create secret 命令详解
YunWisdom
08-28 4036
容器编排技术 -- Kubernetes kubectl create secret 命令详解 1kubectl create secret 2语法 3参考: kubectl create secret 使用指定的子命令创建secret。 语法 $ secret 参考: create docker-registry 命令 create secret generic...
k8s secret 详细理解和使用
koukouwuwu的专栏
05-13 333
参见: https://blog.csdn.net/skh2015java/article/details/109228364
Kubernetes入门与核心组件详解
这部分还介绍了命令行工具kubectl的使用,它是与Kubernetes交互的主要界面。 1.3.2至1.4.3部分深入讲解了实际操作中的关键步骤,如集群管理和访问控制。管理员会关注如何管理TLS安全、配置跨集群认证、通过端口转发...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值