K8s存储-----(二)Secret配置管理

最新推荐文章于 2024-05-02 04:21:30 发布
最新推荐文章于 2024-05-02 04:21:30 发布
阅读量3.3k 收藏
点赞数
分类专栏: 企业部分 K8s
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41582883/article/details/114052700
版权

K8s存储之Secret配置管理

1 Secret 的作用

Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 ssh key。 敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。

Pod 可以用两种方式使用 secret:

  • 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里
  • 当 kubelet 为 pod 拉取镜像时使用

2 Secret的类型

Service Account:Kubernetes 自动创建包含访问 API 凭据的 secret,并自动修改 pod 以使用此类型的 secret。

Opaque:使用base64编码存储信息,可以通过base64 --decode解码获得原始数据,因此安全性弱。

  • kubernetes.io/dockerconfigjson:用于存储docker registry的认证信息。

(1)每个namespace下有一个名为default的默认的ServiceAccount对象

  • 查看所有serviceaccounts信息:kubectl get sa
  • 查看默认的serviceaccounts的详细信息:kubectl describe sa default
  • 查看secrets 的信息:kubectl get secrets

在这里插入图片描述

(2)serviceaccout 创建时 Kubernetes 会默认创建对应的 secret。对应的 secret 会自动挂载到 Pod 的 /run/secrets/kubernetes.io/serviceaccount 目录中。

  • 创建pod:kubectl run demo --image=nginx
  • 查看pod的信息: kubectl get pod

在这里插入图片描述

(3)查看指定pod的详细信息:kubectl describe pod demo-5756f5b97-xwv46

  • ServiceAccount里有一个名为Tokens的可以作为Volume一样被Mount到Pod里的Secret,当Pod启动时这个Secret会被自动Mount到Pod的指定目录下,用来协助完成Pod中的进程访问API Server时的身份鉴权过程

在这里插入图片描述

## 在容器内执行指令,查看容器挂载目录的内容
[root@server2 mnt]# kubectl exec  demo-5756f5b97-xwv46 -- ls /var/run/secrets/kubernetes.io/serviceaccount
ca.crt
namespace
token

2.1 secret作为 volume 中的文件被挂载到 pod 中的容器里

(1)用仓库的用户名和用户密码文件创建secret

  • 如果密码具有特殊字符,则需要使用 \ 字符对其进行转义
[root@server2 mnt]# echo -n 'admin' > username.txt
[root@server2 mnt]# echo -n 'linux' > passwd.txt
[root@server2 mnt]# kubectl create secret generic db-user-pass --from-file=username.txt  --from-file=passwd.txt
secret/db-user-pass created
[root@server2 mnt]# kubectl get secrets 
NAME                  TYPE                                  DATA   AGE
basic-auth            Opaque                                1      24h
db-user-pass          Opaque                                2      18s
default-token-h2p8m   kubernetes.io/service-account-token   3      3d1h
tls-secret            kubernetes.io/tls                     2      7h11m
  • 默认情况下 kubectl get和kubectl describe 为了安全是不会显示密码的内容,可以通过以下方式查看:kubectl get secrets db-user-pass -o yaml

在这里插入图片描述

  • 仓库的用户名和密码采用的是base64的加密方式

在这里插入图片描述

(2)编写一个 secret 对象

[root@server2 mnt]# echo -n 'admin' | base64
YWRtaW4=
[root@server2 mnt]# echo -n 'linux' | base64
bGludXg=
  • 应用文件:kubectl apply -f mysecret.yml
apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  username: YWRtaW4=
  password: bGludXg=
  • 查看 secrets 的信息:kubectl get secrets

在这里插入图片描述

  • 查看指定secret的详细信息:kubectl describe secrets mysecret

在这里插入图片描述

(3)将Secret挂载到Volume中

  • 应用文件:kubectl apply -f pod2.yml
apiVersion: v1
kind: Pod
metadata:
  name: mysecret
spec:
  containers:
 - name: demo
    image: myapp:v1
    volumeMounts:
    - name: secrets
      mountPath: "/secret"
      readOnly: true
  volumes:
 - name: secrets
    secret:
      secretName: mysecret
  • 查看pod的信息:kubectl get pod
  • 查看容器内/secret的文件:kubectl exec mysecret -- ls /secret
  • 查看容器内secret/password的内容:kubectl exec mysecret -- cat /secret/password

在这里插入图片描述

(4)向指定路径映射 secret 密钥

  • 应用文件:kubectl apply -f pod2.yml
apiVersion: v1
kind: Pod
metadata:
  name: mysecret
spec:
  containers:
  - name: demo
    image: myapp:v1
    volumeMounts:
    - name: secrets
      mountPath: "/secret"
      readOnly: true  ## 只读
  volumes:
  - name: secrets
    secret:
      secretName: mysecret
      items:
      - key: username
        path: my-group/my-username  ## 相当于挂载到/secret/my-group/my-username

[root@server2 mnt]# kubectl get pod
NAME       READY   STATUS    RESTARTS   AGE
mysecret   1/1     Running   0          107s
[root@server2 mnt]# kubectl exec mysecret -- ls /secret
my-group
[root@server2 mnt]# kubectl exec mysecret -- ls /secret/my-group
my-username
[root@server2 mnt]# kubectl exec mysecret -- cat  /secret/my-group/my-username
admin[root@server2 mnt]#

(5)将Secret设置为环境变量

  • 应用文件:kubectl apply -f pod3.yml
apiVersion: v1
kind: Pod
metadata:
  name: secret-env
spec:
  containers:
 - name: nginx
    image: myapp:v1
    env:
      - name: SECRET_USERNAME
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: username
      - name: SECRET_PASSWORD
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: password
  • 查看pod的信息:kubectl get pod
  • 查看容器内的环境变量:kubectl exec secret-env -- env

在这里插入图片描述

  • 环境变量读取Secret很方便,但无法支撑Secret动态更新

2.2 使用私有仓库的镜像拉取

(1)拉取私有仓库的镜像

在这里插入图片描述

在这里插入图片描述

  • 应用文件:kubectl apply -f pod4.yml
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
    - name: myapp
      image: reg.westos.org/linux/redis-photon:v1.10.1  ## 镜像的地址
  • 查看pod的信息:kubectl get pod,镜像拉取失败,原因是拉取私有仓库的文件需要认证

在这里插入图片描述

  • 查看pod的详细信息:kubectl describe pod mypod

在这里插入图片描述

  • 删除pod:kubectl delete pod --all --force

(2)生成认证私有仓库的secret

  • docker registry私有仓库认证:kubectl create secret docker-registry myregistrykey --docker-server=reg.westos.org --docker-username=admin --docker-password=westos --docker-email=123@localhost

  • 查看secrets的信息:kubectl get secrets

  • 查看myregistrykey 的详细信息:kubectl describe secrets myregistrykey

在这里插入图片描述

  • 将myregistrykey 输出为yaml格式:kubectl get secrets myregistrykey -o yaml

在这里插入图片描述
在这里插入图片描述

(3)应用文件:kubectl apply -f pod4.yml

apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
    - name: myapp
      image: reg.westos.org/linux/redis-photon:v1.10.1  ## 拉取仓库的镜像
  imagePullSecrets:
    - name: myregistrykey
  • 私有仓库的镜像拉取成功

在这里插入图片描述

  • 查看pod的信息:kubectl describe pod mypod,镜像成功拉取

在这里插入图片描述

KKang@
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
k8s-dashboardv2.0.3.zip
10-08
`k8s-dashboard-configmap-secret.yaml` 文件可能包含了 Dashboard 的配置映射(ConfigMap)和秘密(Secret)。ConfigMap 用于存储非敏感的配置数据,如设置或配置文件,而 Secret 则用于安全地存储密码、密钥等敏感...
Kubernetes之secrets使用
Harry的博客
10-11 3782
Secret解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。 ​
K8S:配置资源管理 Secret和configMap
Katie_ff的博客
10-07 1278
本文主要是对K8S的配置资源管理 Secret和configMap两者的介绍,Secret 主要是用来保存密码、token、密钥等敏感数据的 k8s 资源,这类数据虽然也可以存放在 Pod 或者镜像中,但是放在 secret 中是为了更方便的控制如何使用数据,并减少暴露的风险ConfigMap与Secret类似,区别在于configMap保存的是不需要加密配置的信息。并且对ConfigMap和Secret两者如何创建及应用场景、案例使用列举
k8s学习-Secret(创建、使用、更新、删除等)_kubectl delete secret
最新发布
2401_84281594的博客
05-02 732
任何拥有 API 访问权限的人都可以检索或修改 Secret,任何有权访问 etcd 的人也可以。此外,任何有权限在命名空间中创建 Pod 的人都可以使用该访问权限读取该命名空间中的任何 Secret;对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!中的安全部分详细展开。
Kubernetes Secrets 详解
奋斗菜鸟
09-08 412
Kubernetes Secrets 详解
k8s中kubelet接口的认证和授权
weixin_47729423的博客
08-11 1381
访问kubelet接口的认证和授权
k8s应用机密信息与配置管理(九)
wenjianfeng的专栏
06-22 407
secret 应用启动过程中可能需要一些敏感信息,比如访问数据库的用户名密码或者秘钥。将这些信息直接保存在容器镜像中显然不妥,Kubernetes 提供的解决方案是 Secret。 Secret 会以密文的方式存储数据,避免了直接在配置文件中保存敏感信息。Secret 会以 Volume 的形式被 mount 到 Pod,容器可通过文件的方式使用 Secret 中的敏感数据;此外,容器也...
k8s-进制yaml.zip
09-15
在“k8s-进制yaml.zip”这个压缩包中,我们很显然关注的是Kubernetes的YAML配置文件,这些文件是k8s集群中定义和管理对象(如Pods、Services、Deployments等)的主要方式。YAML是一种易读的数据序列化语言,特别...
k8s-coredns-1.8.6镜像包和安装文件
12-01
在容器编排领域,Kubernetes(简称k8s)是一个广泛应用的开源系统,用于自动化容器化应用程序的部署、扩展和管理。在这个场景中,我们关注的是k8s的一个关键组件——CoreDNS,它是一个高性能、插件化的DNS服务器,被...
k8s-config:配置存储
02-12
`k8s-config` 可能是一个用于存储、管理和版本控制 Kubernetes 配置资源的仓库,类似于 Git 仓库管理代码的方式。这种做法有助于保持集群的可维护性和一致性,同时提供了回滚到先前工作配置的能力。 1. **...
CC00179.CloudKubernetes——|KuberNetes&配置管理.V10|——|secret.v02|创建特殊字符的secrets|
yanqi_vip
03-30 208
一、创建特殊字符的secrets,需要转译 ### --- 创建特殊字符的secrets ~~~ 特殊字符,例如$,\,*,和!将被你解释外壳和需要逃逸。 ~~~ 在大多数Shell中,最简单的转义密码方法是用单引号(')引起来。 ~~~ 例如,如果您的实际密码是S!B\*d$zDsb [root@k8s-master01 secrets]# kube...
kubernetes secret私密凭据
qq_37377136的博客
10-17 1229
kubernetes Secret官方地址 一、简介 Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 SSH 密钥。 将这些信息放在 secret 中比放在 Pod 或者 容器镜像 中来说更加安全和灵活 Secret
k8s---存储Secret配置管理
m0_51140575的博客
03-16 188
每个namespace下有一个名为default的默认的ServiceAccount对象 编写一个secret对象 [root@server2 ~]# mkdir secret [root@server2 ~]# cd secret/ [root@server2 secret]# vim mysecret.yaml apiVersion: v1 kind: Secret metadata: name: mysecret type: Opaque data: username: YWRt..
k8s概念-secret
hey_lie的博客
08-03 571
k8s secrets用于存储和管理一些敏感数据,比如密码,token,密钥等敏感信息。它把 Pod 想要访问的加密数据存放到中。然后用户就可以通过在 Pod 的容器里或者的方式访问到这些 Secret 里保存的信息了。
【云原生--Kubernetes】配置管理
夏颜的博客
08-05 789
定义: Configmap 是 k8s 中的资源对象,用于保存非机密性的配置的,数据可以用 key/value 键值对的形式保存,也可通过文件的形式保存。作用: 我们在部署服务的时候,每个服务都有自己的配置文件,如果一台服务器上部署多个服务:nginx、tomcat、apache。...
k8s-secret 配置使用secret
weixin_44204737的博客
04-27 968
◆ kubernetes.io/basic-auth:用于使用基本认证(账号密码)的Secret,可以使用Opaque取代;secret的使用方式和configmap很像,secret使用加密的方式更加安全,configmap更适合传递配置文件。◆ kubernetes.io/tls:用于存储HTTPS域名证书文件的Secret,可以被Ingress使用;◆ kubernetes.io/dockerconfigjson:下载私有仓库镜像使用的Secret,◆Opaque:通用型Secret,默认类型;
k8s初级实战09--Secret
脚步不能达到的地方,眼光可以达到;眼光不能达到的地方,精神可以飞到
01-09 757
k8s初级实战09--Secret1 基础概念2 常见用法2.1 创建configmap2.2 使用configmap3 注意事项4 说明 1 基础概念 2 常见用法 2.1 创建configmap 2.2 使用configmap 3 注意事项 4 说明 github feiskyer/kubernetes-handbook/blob/master/concepts/secret ...
关于 Kubernetes中secret、configmap实操的一些笔记
山河已无恙
12-12 1863
我不再装模作样地拥有很多朋友,而是回到了孤单之中,以真正的我开始了独自的生活。有时我也会因为寂寞而难以忍受空虚的折磨,但我宁愿以这样的方式来维护自己的自尊,也不愿以耻辱为代价去换取那种表面的朋友。 ——余华《在细雨中呼喊》
k8s学习(十五)Secret的使用
码易的博客
12-29 1961
目录前言一、创建Secret、使用Secret 前言 。 一、创建Secret 1、base64加密 [root@k8s-master k8s]# echo -n "root" | base64 cm9vdA== [root@k8s-master k8s]# echo -n "root123" | base64 cm9vdDEyMw== 2、secret.yaml [root@k8s-master k8s]# cat secret.yaml apiVersion: v1 kind: Secr..
从零开始入门 K8s - 如何实现应用配置管理?1
08-03
除了依赖容器镜像来定义运行的 Container,Pod 还需要解决不可变基础设施的可变配置、敏感信息的存储和使用、集群中 Pod 的身份认证、容器运行资源的配置管理、容器的运行安全管控以及容器启动前置条件校验等问题。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值