Kubernetes 8 (Secret配置管理)

最新推荐文章于 2024-06-07 08:56:23 发布
最新推荐文章于 2024-06-07 08:56:23 发布
阅读量432 收藏
点赞数
文章标签: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38664479/article/details/120229596
版权

目录

一、Secret简介

Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 ssh key。 敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。

Pod 可以用两种方式使用 secret:
作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里;
当 kubelet 为 pod 拉取镜像时使用;

Secret的类型:
Service Account:Kubernetes 自动创建包含访问 API 凭据的 secret,并自动修改 pod 以使用此类型的 secret;
Opaque:使用base64编码存储信息,可以通过base64 --decode解码获得原始数据,因此安全性弱;
kubernetes.io/dockerconfigjson:用于存储docker registry的认证信息。

二、serviceaccout

1、Service Account为Pod中的进程和外部用户提供身份信息。所有的kubernetes集群中账户分为两类,Kubernetes管理的serviceaccount(服务账户)和useraccount(用户账户);
2、api server集群的入口,对于kunbernetes的api server 是肯定不能随便访问。所以我们需要一些认证信息。
例如:
当用户访问集群(例如使用kubectl命令)时,apiserver 会将您认证为一个特定的 User Account(目前通常是admin,除非您的系统管理员自定义了集群配置)。Pod 容器中的进程也可以与 apiserver 联系。 当它们在联系 apiserver 的时候,它们会被认证为一个特定的 Service Account。

创建时 Kubernetes 会默认创建对应的 secret,对应的 secret 会自动挂载到 Pod 的 /run/secrets/kubernetes.io/serviceaccount 目录中;
kubectl run demo --image=myapp:v1 运行一个pod,名为demo;
进入demo查看,ServiceAccount里有一个名为Tokens的可以作为Volume一样被Mount到Pod里的Secret,当Pod启动时这个Secret会被自动Mount到Pod的指定目录下,用来协助完成Pod中的进程访问API Server时的身份鉴权过程。
在这里插入图片描述
每个namespace下有一个名为default的默认的ServiceAccount对象
请添加图片描述

三、Opaque Secret 类型

1.从文件中创建secret

Opaque Secret 其value为base64编码后的值
请添加图片描述
在configmap目录下创建并编写username和password文本文件;
请添加图片描述
用文件创建secret,查看到新创建的db-user-pass
请添加图片描述
默认情况下 kubectl get和kubectldescribe 为了安全不会显示密码的内容,可以通过以下方式查看;
可以看到用户和密码是经过base64编码后的密文
请添加图片描述
使用-d参数就可以解码
请添加图片描述

2.使用yaml文件创建secret

编辑secret.yaml文件,编写一个 secret 对象在这里插入图片描述
创建mysecret
请添加图片描述
查看详细信息
请添加图片描述

3.将Secret挂载到Volume中

修改secret.yaml文件,将mysecret数据挂载到pod名为mysecret的/secret目录下,设置为只读请添加图片描述
应用配置
请添加图片描述
查看pod信息,可以看到mysecret被创建
请添加图片描述
连接到mysecret容器,切换到secret目录下,可以看到两个文本文件
请添加图片描述

4.向指定路径映射 secret 密钥

删除之前创建的mysecret这个pod
请添加图片描述
继续编辑secret.yaml文件,指定key为username,其值为指定路径/secret/my-group/my-username
请添加图片描述
应用配置,可以看到mysecret被创建,连接到mysecret切换到mygroup目录,可以看到my-username的内容请添加图片描述

5.将Secret设置为环境变量

修改secret.yaml文件,为pod设置环境变量;
env: 设置环境变量
valueFrom: 把mysecret中的username这个key值取出来,作为SECRET_USERNAME变量
valueFrom: 把mysecret中的password这个key值取出来,作为SECRET_PASSWORD变量
请添加图片描述
应用配置,可以看到secret-env内被创建
请添加图片描述
连接到该容器,查看环境变量,可以看到刚才配置的SECRET_USERNAME变量和SECRET_USERNAME变量
请添加图片描述
请添加图片描述
将redhat输出为base64编码
请添加图片描述
然后进入mysecret编辑,修改密码为redhat
请添加图片描述
再次进入secret-env,查看环境变量,还是westos,没有改变;
说明环境变量读取Secret很方便,但无法支撑Secret动态更新,即修改yaml文件后,容器内无法及时更改
请添加图片描述

四、kubernetes.io/dockerconfigjson

kubernetes.io/dockerconfigjson用于存储docker registry的认证信息;
创建myregistrykey,通过命令参数指定仓库名字、用户名和密码
请添加图片描述
将westos仓库设置为私有,这样就需要用户名和密码
请添加图片描述
编辑registry.yaml文件,配置镜像地址;
应用配置文件
请添加图片描述
查看pod信息,看到mypod没有运行成功,这是因为仓库权限问题
请添加图片描述
修改registry.yaml文件,加上仓库secret认证信息
请添加图片描述
删除之前的mypod,重新创建
在这里插入图片描述
此时pod状态是running
请添加图片描述
已经成功拉取到镜像
请添加图片描述
请添加图片描述
查看ServiceAccount详细信息
请添加图片描述

奋斗的小猴猴
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
秘密服务-与秘密服务API交互的库-Rust开发
05-27
特勤局特勤局Rust库。 通过dbus与Linux Secret Service API接口。 该库功能齐全,具有稳定的Secret Service Secret Service Rust库。 通过dbus与Linux Secret Service API接口。 该库功能完善,已稳定其API,并删除了无关的依赖关系,因此我将其设置为1.0。 文档获取文档! 基本用法需要dbus库。 在ubuntu上,构建时为libdbus-1-dev,运行时为libdbus-1-3。 在Cargo.toml中:[dependencies] secret-service =“ 1.0.0”如果您安装了货物附加服务,则可以使用以下命令替换上面的步骤:
K8S(kubernetes)学习指南
03-19
Kubernetes(简称K8s)是Google开源的一种容器编排系统,用于自动化容器化的应用程序部署、扩展和管理。K8s以其强大的功能和易用性在云原生领域中占据了核心地位。以下是一份详细的K8S学习指南,涵盖多个关键知识点...
Linux企业运维——Kubernetes(十)存储之Secret配置管理
weixin_44310047的博客
08-06 433
Linux企业运维——Kubernetes(十)存储之Secret配置管理 文章目录Linux企业运维——Kubernetes(十)存储之Secret配置管理1、Secret简介2、ServiceAccount3、Opaque Secret3.1、从文件中创建secret3.2、使用yaml文件创建secret3.3、将Secret挂载到Volume中3.4、向指定路径映射 secret 密钥3.5、将Secret设置为环境变量3.6、kubernetes.io/dockerconfigjson存储dock
k8s——secret配置资源管理
最新发布
sea_bunch的博客
06-07 1479
Secret类似,区别在于ConfigMap保存的是不需要加密配置的信息。
Linux学习-KubernetesSecret和ConfigMap
丢爸
11-28 226
k8s中configmap和secret使用
k8s编排、Secret加密文件详解,configmap文件详解,基本操作
mingqing的博客
11-27 3838
文章目录总结Secret详解yaml方式创建Secret使用Secret,挂载方式映射secret key到指定的路径被挂载的secret内容自动更新环境变量的形式使用SecretYAML 文件的方式创建SecretConfigMap详解创建ConfigMap使用ConfigMap1 通过环境变量使用环境变量引用文件所有值2 作为volume挂载使用 总结 数据卷 1.secret:保存敏感信息,比如用户名、密码、token 创建方式2种: 命令行 yaml文件 引用3种: volume挂载 secret
Kubernetes(k8s)面试题.pdf
05-10
Helm是一个Kubernetes的应用包管理器,提供了一种方便的方式来安装、升级和管理复杂的应用程序部署。 **40. 解释什么是Kubernetes的Liveness和Readiness探针。** - **Liveness探针**:用于检测容器是否处于健康...
kubernetes进阶,k8s详解
05-14
Kubernetes 支持垃圾回收机制来清理不再使用的资源,例如删除 Pod 或 Deployment 时,Kubernetes 可以自动清理与之相关的资源,比如 ServiceAccount、Secret 等。这有助于保持集群的整洁性并释放不必要的资源占用。 ...
zeebe-kubernetes:Zeebe Kubernetes配置
02-05
总结,Zeebe-Kubernetes配置涉及到Kubernetes的多种核心组件和概念,如Deployment、StatefulSet、Service、PV/PVC、ConfigMap和Secret。通过合理的配置,可以在Kubernetes上构建一个高可用、可扩展的Zeebe集群,实现...
k8s指南 kubernetes指南
05-04
* Secret:提供安全敏感信息管理 kubernetes的架构原理设计理念基于以下几点: * 声明式配置 * 自动化管理 * 高可用性和负载均衡 * 可扩展性和灵活性 * 开放式架构 kubernetes的主要应用场景包括: * 云计算和...
dashboard-secret.yaml
10-14
kubernetes组件安装完成后,大家在安装kubernetes的可视化图形web界面所需下载的yaml文件
linux http secret
weixin_33725272的博客
10-24 225
在/var/www/html创建一个secret目录,仅允许本地用户访问 1,访问需要密码 yum install httpd* service httpd restart tcp 80 chkconfig httpd on mkdir /var/www/html/secret vim /etc/httpd/conf/httpd.conf <Direc...
Linux(企业级)——kubernetes(secret)
weixin_45699877的博客
07-30 187
Secretsecret简介- serviceaccout- Opaque Secret- 从文件中创建- 通过yaml文件创建- 将Secret挂载到Volume中- 向指定路径映射 secret 密钥- kubernetes.io/dockerconfigjson secret简介 Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 ssh key。 敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。 Pod 可以用两种方式使用 secret:
Linux高级---configmap和secret
m0_54232496的博客
05-27 1302
ConfigMap 并不提供保密或者加密功能。如果你想存储的数据是机密的,请使用Secret, 或者使用其他第三方工具来保证你的数据的私密性,而不是用 ConfigMap。。
Linux Kubernetes Secret存储
weixin_45029822的博客
08-20 203
Kubernetes 存储 之 Secret一、Secret简介二、Service Account三、Opaque Secret通过命令创建Secret通过yaml文件创建Secret将Secret挂载到Volume中将Secret设置为环境变量四、kubernetes.io/dockerconfigjson 类型 一、Secret简介 Secret对象类型用来保存敏感信息,例如密码、OAuth令牌和ssh key。 敏感信息放在Secret中比放在Pod的定义或者容器镜像中来说更加安全和灵活。 Pod可以
k8s教程07(kubernetes-存储secret)
DDJ_TEST的博客
06-07 890
k8s教程07(kubernetes-存储secret)
k8s Secret配置资源,ConfigMap 存储配置信资源管理详解
qq_51545656的博客
03-11 1119
为了确保Secret的安全性,Kubernetes还提供了一些额外的保护措施,比如限制对Secret的访问,以及在Pod被删除后自动清除其在节点上的Secret副本。在实际使用中,可以通过Pod的定义来引用这个Secret,并将其作为环境变量或卷挂载到容器中,以便容器内的应用程序可以安全地访问这些凭据。这样,Secret中的数据就会以文件的形式出现在容器的文件系统中。在Kubernetes中,ConfigMap是管理应用配置的一种非常有效的方式,它允许在不修改应用代码的情况下,动态地调整应用的配置。
linux 微信告警消息secret,Linux----------zabbix监控-微信、钉钉告警
weixin_31265041的博客
05-25 313
[toc]一,zabbix配置微信告警写先声明:本人完全python小白,脚本内容有许多看不懂,这都不影响接下来的操作,写这个就是为了复习记忆,也多谢官网推荐的,用于WeChat报警的python脚本,主要是图文教程,配合作者火星小刘的README和脚本,更容易学习. https://blog.csdn.net/wenhs5479/article/details/90514159 注意事项等,作者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值