Kubernetes Secret Opaque 存储敏感数据

已于 2023-09-27 11:05:30 修改
阅读量351 收藏
点赞数
分类专栏: Kubernetes 安全 文章标签: kubernetes
于 2021-07-12 20:27:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34556414/article/details/118682762
版权
Secret是一个用于存储敏感数据的资源,所有的数据要经过base64编码,数据实际会存储在K8s中Etcd, 然后通过创建Pod时引用该数据。
应用场景:凭据   Pod使用configmap数据有两种方式:
• 变量注入
• 数据卷挂载
kubectl create secret 支持三种数据类型:
• docker-registry:存储镜像仓库认证信息
• generic:从文件、目录或者字符串创建,例如存储用户名密码
• tls:存储证书,例如HTTPS证书

示例:将Mysql用户密码保存到Secret中存储 (敏感的数据可以存储在secret当中)

下面就是123456经过base64位编码,-n是去掉换行符

[root@k8s-master ~]# echo -n 123456 | base64
MTIzNDU2

通过这种方式在yaml文件里面来指定mysql的密码现然是不安全的,mysql可以读取注入的变量MYSQL_ROOT_PASSWORD值作为其密码,以为describe一下就能够看得到。

        env:
        - name: MYSQL_ROOT_PASSWORD
          value: 123456
[root@k8s-master ~]# cat mysql.yaml 
apiVersion: v1
kind: Secret
metadata:
  name: mysql
type: Opaque
data:
  mysql-root-password: "MTIzNDU2"
---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: mysql
spec:
  selector:
    matchLabels:
      app: mysql
  template:
    metadata:
      labels:
        app: mysql
    spec:
      containers:
      - name: db
        image: mysql:5.7.30
        env:
        - name: MYSQL_ROOT_PASSWORD
          valueFrom:
            secretKeyRef:
              name: mysql
              key: mysql-root-password



[root@k8s-master ~]# kubectl get secret
NAME                  TYPE                                  DATA   AGE
default-token-j9294   kubernetes.io/service-account-token   3      239d
mysql                 Opaque                                1      7m24s
[root@k8s-master ~]# kubectl describe secret mysql
Name:         mysql
Namespace:    default
Labels:       <none>
Annotations:  <none>

Type:  Opaque

Data
====
mysql-root-password:  6 bytes





[root@k8s-master ~]# kubectl get pod
NAME                     READY   STATUS    RESTARTS   AGE
mysql-5467bf5d7d-g67dm   1/1     Running   0          6m27s
[root@k8s-master ~]# kubectl exec -it mysql-5467bf5d7d-g67dm bash
kubectl exec [POD] [COMMAND] is DEPRECATED and will be removed in a future version. Use kubectl exec [POD] -- [COMMAND] instead.
root@mysql-5467bf5d7d-g67dm:/# echo $MYSQL_ROOT_PASSWORD
123456

root@mysql-5467bf5d7d-g67dm:/# mysql -rroot -p123456
mysql: [Warning] Using a password on the command line interface can be insecure.
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 2
Server version: 5.7.30 MySQL Community Server (GPL)

Copyright (c) 2000, 2020, Oracle and/or its affiliates. All rights reserved.

Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

mysql>

要查看具体的值可以使用如下: 

[root@k8s-master ~]# kubectl get secret mysql -n default -o jsonpath={.data.mysql-root-password} | base64 -d
123456
富士康质检员张全蛋
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
opaque:加密的数据分析平台
03-16
目的是在不受信任的云中启用对敏感数据的分析。 加密DataFrame的内容后,后续操作将在硬件区域(例如Intel SGX)中运行。 该项目基于以下NSDI 2017论文[1]。 遗忘的执行模式不包含在此版本中。 这是Opaque的Alpha...
OPAQUE 密码认证密钥交换协议的实现
06-28
安装Cargo.toml添加到Cargo.toml的依赖Cargo.toml :opaque-ke = "0.5.0"资源OPAQUE 学术出版物,包括正式定义和安全证明Draft-irtf-cfrg-opaque-03 ,包含 OPAQUE 的详细(字节级)规范“让我们谈谈 PAKE” ,由 ...
kubernetes-9 存储Secret配置管理Service Account、Opaque、dockerconfigjson
Ma_JunSSR的博客
08-05 756
1、什么是SecretSecret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 ssh key。 敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。 Pod 可以用两种方式使用 secret: (1)作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里。 (2)当 kubelet 为 pod 拉取镜像时使用。 Secret的类型: (1)Service Account:Kubernetes 自动创建包含访问 API 凭据的 secret,并
Secret的三种形式
weixin_34088838的博客
05-30 2719
Secret ConfigMap这个资源对象是Kubernetes当中非常重要的一个对象,一般情况下ConfigMap是用来存储一些非安全的配置信息,如果涉及到一些安全相关的数据的话用ConfigMap就非常不妥了,因为ConfigMap是名为存储的,我们说这个时候我们就需要用到另外一个资源对象了:SecretSecret用来保存敏感信息,例如密码、OAuth 令牌和 ssh key等等,将这...
Kubernetes基于Secret存储敏感数据
Java大数据联盟
09-09 477
Kubernetes基于Secret存储敏感数据1 简介Secret1.1 用途1.2 类型2 Opaque类型的Secret2.1 创建Secret2.1.1 使用命令的方式创建2.1.1.1 通过文字值创建2.1.1.2 通过目录创建2.1.1.3 通过文件创建2.1.1.4 通过配置文件创建2.1.2 使用声明的方式创建2.2 使用Secret2.2.1 通过环境变量的方式使用2.2.1.1 使用Secret中指定的配置项2.2.1.2 使用Secret中所有的配置项2.2.2 通过挂载的方式使用2.
Kubernetes Secret存储敏感数据
小楼一夜听春雨,深巷明朝卖杏花
01-07 1014
Secret 与ConfigMap类似,区别在于Secret主要存储敏感数据,所有的数据要经过base64编码。 应用场景:凭据 kubectl create secret 支持三种数据类型: docker-registry(kubernetes.io/dockerconfigjson):存储镜像仓库认证信息 generic(Opaque):存储密码、密钥等 tls(kubernetes.io/tls):存储TLS证书 [root@k8s-master ~]# kubectl cr.
kubernetes secret 管理
爱死亡机器人
09-15 4393
Secret 概览 Secret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 这样的信息可能会被放在 Pod 规约中或者镜像中。 用户可以创建 Secret,同时系统也创建了一些 Secret。 要使用 Secret,Pod 需要引用 Secret。 Pod 可以用三种方式之一来使用 Secret: 作为挂载到一个或多个容器上的 卷 中的文件。 作为容器的环境变量 由 kubelet 在为 Pod 拉取镜像时使用 使用 kubectl 创建 Secret # 创建本例中要使用的文件 echo -
Kubernetes Secret简介
驰兔的博客
03-10 756
Secret用来保存敏感信息,例如密码、OAuth 令牌和 ssh key等等,将这些信息放在Secret中比放在Pod的定义中或者docker镜像中来说更加安全和灵活。
揭秘 Kubernetes Secret:安全存储敏感信息的秘密武器
最新发布
知道自己不要什么,不管多么大的诱惑(欢迎关注:职谷智享)
03-13 974
SecretKubernetes 中用于存储敏感信息的资源,例如密码、API 密钥和 SSH 密钥。通过选择合适的 Secret 类型并使用安全实践,可以保护您的敏感信息并确保您的应用程序安全可靠。如果您要存储 Docker 镜像仓库的认证信息,请使用 DockerConfig SecretOpaque Secret: 用于存储任意类型的数据,例如密码和 API 密钥。如果您要存储任意类型的数据,请使用 Opaque Secret。如果您要存储 TLS 证书和密钥,请使用 TLS Secret
Kubernetes数据存储
Button的博客
07-16 626
kubernetes中的数据存储
zzxwill#zhouzhengxi.com#每天学一点-Kubernetes-039-generic-secret1
07-25
每天学一点-Kubernetes-039-generic-secretPosted on Apr. 12 2021Opaque is the default S
kubernetes-dashboard.yaml
08-11
secretName: kubernetes-dashboard-certs - name: tmp-volume emptyDir: {} serviceAccountName: kubernetes-dashboard # Comment the following tolerations if Dashboard must not be deployed on master ...
cert-manager:在Kubernetes中自动配置和管理TLS证书
02-02
证书经理cert-manager是Kubernetes的附加组件,用于自动管理和颁发各种发行来源的TLS证书。 它将确保证书有效并定期更新,并尝试在到期前的适当时间更新证书。 它大致基于的工作,并从其他类似项目(例如借鉴了一些...
Kubernetes kubeconfig配置文件详细解读
热门推荐
小楼一夜听春雨,深巷明朝卖杏花
11-23 2万+
kubeconfig配置文件 在node节点上可以执行kubectl命令吗? [root@k8s-node1 ~]# kubectl get node The connection to the server localhost:8080 was refused - did you specify the right host or port? localhost:8080这个端口是k8s api(kube-apiserver非安全端口)的端口,在master上面可以执行成功其...
Kubernetes SecurityContext 安全上下文 runAsUser以及阻止容器使用 root 户运行
小楼一夜听春雨,深巷明朝卖杏花
08-05 7959
配置节点的安全上下文 除了让 pod 使用宿主节点的 Linux 命名空间,还可以在 pod 或其所属容器的描述中通过 security Context 边项配置其他与安全性相关的特性。这个选项可以运用于整个 pod ,或者每个 pod 中单独的容器。 了解安全上下文中可以配置的内容,配置安全上下文可以允许你做很多事 指定容器中运行进程的用户(用户ID )。 阻止容器使用 root 户运行(容器的默认运行用户通常在其镜像中指定,所以可能需要阻止容器 root 用户运行 使用特权模式运行
Kubernetes RBAC 为指定用户授权访问不同命名空间权限
小楼一夜听春雨,深巷明朝卖杏花
01-18 6821
在开启了 TLS 的集群中,每当与集群交互的时候少不了的是身份认证,使用 kubeconfig(即证书) 和 token 两种认证方式是最简单也最通用的认证方式。 以kubectl为例介绍kubeconfig的配置。kubectl只是个go编写的可执行程序,只要为kubectl配置合适的kubeconfig,就可以在集群中的任意节点使用。kubectl默认会从$HOME/.kube目录下查找文件名为config的文件,也可以通过设置环境变量KUBECONFIG或者通过设置--kubeconfig...
Kubernetes SecurityContext 安全上下文 特权模式运行pod
小楼一夜听春雨,深巷明朝卖杏花
08-06 6185
使用特权模式运行 pod 有时pod 需要做它们的宿主节点上能够做的任何事,例如操作被保护的系统设备,或使用其他在通常容器中不能使用的内核功能 ,这种 pod 个样例就是 kube-proxy pod ,该 pod需要修改宿主机的 iptables规则来让 kubernetes 中的服务规生效。 使用 kubeadm 部署集群时,你会看到每个节点上都运行了 kube-proxy pod,并且可 以查 YAML描述文件中所有使用到的特殊特性。 [root@k8s-master ~]# ..
Kubernetes 容器安全 Seccomp 限制容器进程系统调用
小楼一夜听春雨,深巷明朝卖杏花
07-05 3851
Seccomp(Secure computing mode) 是一个 Linux 内核安全模块,可用于应用进程允许使用的系统调用。 容器实际上是宿主机上运行的一个进程,共享宿主机内核,如果所有容器都具有任何系统调用的能力,那么容器如果被入侵,就很轻松绕过容器隔离更改宿主机系统权限或者进入宿主机。 这就可以使用Seccomp机制限制容器系统调用,有效减少攻击面。 Linux发行版内置:CentOS、Ubuntu 在Kubernetes中使用Seccomp:Seccomp在K8
Kubernetes Secret 的几种类型
02-21
Kubernetes Secret 有四种类型:Opaque、Service Account、docker-registry 和 tls。Opaque 是最常用的类型,用于存储任意类型的数据;Service Account 用于存储服务帐户信息;docker-registry 用于存储对私有的 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值