kubernetes-存储-Secret

最新推荐文章于 2023-04-03 18:03:54 发布
最新推荐文章于 2023-04-03 18:03:54 发布
阅读量239 收藏
点赞数
分类专栏: k8s
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39122146/article/details/105877929
版权

Secret存在的意义:
Secret解决了密码、token、秘钥等敏感数据的配置问题,而不需要把这秀敏感数据暴露到镜像或者Pod Spec中。Secret可以以volume或者环境变量的方式使用。

Secret有三种类型:

  • Service Account:用来访问kubernetes
    API,由Kubernetes自动创建,并且会自动挂载到Pod的/run/secrets/kubernetes.io/serviceaccount目录下
    在这里插入图片描述

  • Opaque:base64编码格式的Secret,用来存储密码、秘钥等。

  • kubernetes.io/dockerconfigjson: 用来存储私有docker registryde 的认证信息。

示例:

用的比较多的是Opaque:

一、将Secret挂载到Volume中
1.获得base64编码:

prod@xqkang:/usr/local$ echo -n "admin"| base64
YWRtaW4=
prod@xqkang:/usr/local$ echo -n "12356"| base64
MTIzNTY=

2.创建secret(根据上面获得的base64位编码):

[root@master secret]# cat secrets.yml 

apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  passwd: MTIzNDU2
  name: YWRtaW4=

3.应用到pod中

[root@apiserver secret]# cat volume-secret.yaml 
apiVersion: v1
kind: Pod
metadata:
 name: secret-test
 labels:
  name: secret-test
spec:
 containers:
 - name: secretsdb
   image: nginx
   volumeMounts:
    - name: secret-volumes
      mountPath: /etc/secrets
      readOnly: true
 volumes:
  - name: secret-volumes
    secret:
      secretName: mysecret

进入容器查看

[root@apiserver secret]# kubectl exec -it secret-test bash
root@secret-test:/# cd /etc/secrets/
root@secret-test:/etc/secrets# ls
name  password
root@secret-test:/etc/secrets# cat name
admin

二、将Secret导入环境变量中
1.配置pod:

[root@apiserver secret]# cat env.yaml 

apiVersion: extensions/v1beta1
kind: Deployment
metadata:
    name: secret-deployment1
spec:
    replicas: 3
    template: 
       metadata: 
         labels:
           app: secret-env
       spec:
         containers:
         - name: secret-env
           image: nginx:v1
           ports: 
           - containerPort: 80
           env:
           - name: TEST_USER
             valueFrom:
              secretKeyRef:
               name: mysecret
               key: name
           - name: TEST_PASSWORD
             valueFrom:
              secretKeyRef:
               name: mysecret
               key: password

查看成功与否:

[root@apiserver secret]# kubectl exec -it secret-deployment1-6796f74774-dqmgf bash
root@secret-deployment1-6796f74774-dqmgf:/# echo $TEST_USER
admin

命令: echo $TEST_USER 书写:admin表示成功.

kubernetes.io/dockerconfigjson
使用Kubectl创建docker registry认证的secret:
用法:拉去自己仓库的镜像时,需要登录时使用

[root@apiserver secret]# kubectl create secret docker-registry myregistrykey(Secret名称) --docker-server=服务器 --docker-username=tb1993723_2013 --docker-password=密码 --docker-email=邮箱
secret/myregistrykey created

编写pod:

[root@apiserver secret]# cat secret-docker.yaml 
apiVersion: v1
kind: Pod
metadata:
 name: secret-doc
 labels:
  name: secret-doc
spec:
 containers:
 - name: secretsdoc
   image: registry.cn-hangzhou.aliyuncs.com/命名空间/镜像:版本号
 imagePullSecrets:
 - name: myregistrykey

如果不注册报错:
在这里插入图片描述

注册后pod运行成功.

[root@apiserver secret]# kubectl get pod
NAME                                             READY   STATUS     RESTARTS   AGE
secret-doc                                       1/1     Running    0          10s
小二来碗面
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kubernetes 笔记 -- 创建pod,deploymentsecret
qq_35069018的博客
03-26 807
创建pod,deploymentsecret 创建1个名为 qc01ex01-eid 的 pod,在 pod 里面分别为以下每个 images 单独运行一个container: nginx+redis+busybox(提示,1个pod可以包含多个container) C:\Users\fan.hai> kubectl run qc01xe01-fan.hai --image=nginx --dry-run=client -o yaml >qc01ex01.yaml yaml文件修改 (
关于更改Deployment Config的初始化环境变量中的secret,重新deploy后不生效的问题
weixin_43606893的博客
06-05 1605
最近为加强安全性,需要修改mysql或者influxdb的deployment config的环境变量中定义的secret,但是更改并重新部署后并不生效。 诸如上述这种,其实原因并不在于secret和deployment config存在什么问题,而是由于这些环境变量是用于容器初始化时使用,而我们这些DC上都挂载有存储,所以再次部署时,不会重新初始化,也就是数据库存储中,已经固有了原来的密码不会...
k8s学习-Secret(创建、使用、更新、删除等)
关注网络安全、云原生安全
08-20 8625
注意:Base64只是一种编码,不含密钥的,并不安全。任何拥有 API 访问权限的人都可以检索或修改 Secret,任何有权访问 etcd 的人也可以。此外,任何有权限在命名空间中创建 Pod 的人都可以使用该访问权限读取该命名空间中的任何 Secret;使用该 ServiceAccount 创建的任何 Pod 和默认使用该 ServiceAccount 的 Pod 将会将其的 imagePullSecret 字段设置为服务帐户的 imagePullSecret 值。中的安全部分详细展开。
【K8S】k8s中secret使用方法
最新发布
qq_42391153的博客
04-03 1056
在k8s中使用secret挂载访问凭证和账号密码
kubernetes-server-linux-amd64.tar.gz
11-29
- **ConfigMap**与**Secret**:用于存储非敏感和敏感的应用配置数据,提供安全的环境变量注入方式。 - **Ingress**:定义外部网络到服务内部的访问规则,支持负载均衡和路由。 2. **Kubernetes 1.21.0新特性**: ...
kubernetes-learning.pdf
06-04
持久化存储: PV PVC StorageClass 服务发现 kubedns ingress 安装配置 ingress tls 和 path 的使⽤ 包管理⼯具 Helm Helm 的安装使⽤ Helm 的基本使⽤ Helm 模板之内置函数和Values 211.4 11.5 11.6 11.7 11.8 12.1 ...
kubernetes-rabbitmq-cluster:适用于kubernetes的可部署的Rabbitmq集群
02-03
Kubernetes中,RabbitMQ通常会以StatefulSet的形式运行,因为StatefulSet保证了Pods的唯一标识、稳定的网络身份和持久存储,这些特性对于像RabbitMQ这样的分布式系统至关重要。StatefulSet中的每个Pod代表一个...
KubernetesSecret使用详解
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
10-26 1万+
Secret解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。 Secret类型 Secret有三种类型: Opaque:base64编码格式的Secret,用来存储密码、密钥等;但数据也通过base64 –decode解码得到原始数据,所有加密性很弱。 kubernetes.io/doc...
Kubernetes系列之四:使用yaml文件创建deployment来部署一个应用程序到k8s集群
热门推荐
wucong60的专栏
08-11 3万+
系列链接 Kubernetes系列之一:在Ubuntu上快速搭建一个集群Demo Kubernetes系列之二:将Slave节点加入集群 Kubernetes系列之三:部署你的第一个应用程序到k8s集群 Kubernetes系列之四:使用yaml文件创建deployment来部署一个应用程序到k8s集群 Kubernetes系列之五:使用yaml文件创建service向外暴露服务 Ku...
kubernetes使用 (十四) Secret 加密凭证
默子昂
01-25 2387
Secret 这个单词我百度了一下,意思是"秘密" (。・∀・)ノ) Secret主要是用来对数据进行加密,并将加密后的数据存放在etcd中, 可以在使用时让pod容器,以挂载的方式进行访问 他给我们提供了一定的安全性,所以会经常用来存放一些密码、密钥等重要的数据 Secret 常用的类型 1. Opaque #base64 编码格式的 Secret,用来存储密码、密钥等; #但数据也可以通过base64 –decode解码得到原始数据,所有加密性很弱。 ...
实战 Kubectl 创建 Deployment 部署应用
CSDN云计算
07-11 2677
作者 | 洲的学习笔记来源 | CSDN博客本篇文章主要是实战 Kubectl 创建 Deployment 部署应用。通过本期文章:我们将学习创建在 Kubernetes 集群上运行应用程序的 Deployment 所需的最常见的 Kubectl 命令。用 Kubectl 创建 Deployment当运行Kubernetes 集群,就可以在其上部署容器化应用程序。此时,...
『中级篇』k8s重要的Deployment(64)
weixin_34067102的博客
10-03 111
原创文章,欢迎转载。转载请注明:转载自IT人故事会,谢谢!原文链接地址:『中级篇』k8s重要的Deployment(64) 之前介绍了,pod,ReplicationController,ReplicaSet。这次主要说下Deoloyments。源码:https://github.com/limingios/docker/tree/master/No.9 官方介绍 https://kub...
k8s往secret里导入证书_K8S集群中部署Secret保存密钥(14)
weixin_39866867的博客
12-22 339
之前我们学习了ConfigMap的时候,我们说ConfigMap这个资源对象是Kubernetes当中非常重要的一个对象,但是如果要是密码之类的文件存放到这里就不合适了,k8s已经为我们准备了另外的一种方式专门保存密码的文件,就是我们今天要介绍的secret。Secret用来保存敏感信息,例如密码、OAuth 令牌和 ssh key等等,将这些信息放在Secret中比放在Pod的定义中或者dock...
Docker Zero Deployment and Secrets (一)
weixin_34194551的博客
06-06 118
在本节中,主要介绍在Docker swarm中如何不中断应用高可靠性的情况下更新服务和stack.这也叫做zero downtime deployment.还有就是swam如何管理密钥,保证容器之间的通信是安全可靠的。 一. Zero downtime deployment 1. 比较常见的更新方法 (1) Rolling updates (2) Blue-green deploymen...
kubernetes secrets 保存敏感信息
kozazyh的专栏
04-23 1427
kubernetes secrets 是用来保存密码、token、密钥...敏感信息的对象。例如:有时我们在pod中需要连接aws 应用(s3、ddb),一般需要在env设置AWS_ACCESS_KEY_ID、AWS_SECRET_KEY,这时候,我们就可以把aws的key 保存在kubernetessecrets中,一来可以保证不在image中保存敏感信息、二来多个pod可以共用secrets...
kubernetes Secret 使用方法,个人学习记录
北海牧野
06-17 498
kubernetes Secret Secret 有三种类型:Service Account(SA)Opaque SecretⅠ、创建说明Ⅱ、使用方法1、将定义好的 Secret 挂载到 Volume 数据卷中2、将 Secret 导出到环境变量中kubernetes.io/dockerconfigjson 私有仓库认证 ​ secret 解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Sepc 中。 Secret 可以以 Volume 或者环境变量的方式使用
3-5 使用secret实现私有仓库镜像下载认证
分享云原生,容器,运维等干货知识
08-15 263
单机拉取私有仓库镜像可以先docker login登录,后保存成认证文件。但在K8s集群,不可能每台node都登录一次,于是可以使用secret实现镜像拉取的认证功能。
Kubernetes入门与核心组件详解
Deployment用于批量创建和更新Pod,Secret用于安全地存储敏感信息;StatefulSet确保每个Pod拥有唯一的配置,适用于有状态服务; DaemonSet用于在每个Node上运行一个后台进程;ServiceAccount为Pod提供身份和权限管理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值