1 Secret 的作用
Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 ssh key。 敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。
Pod 可以用两种方式使用 secret:
- 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里
- 当 kubelet 为 pod 拉取镜像时使用
2 Secret的类型
Service Account:Kubernetes 自动创建包含访问 API 凭据的 secret,并自动修改 pod 以使用此类型的 secret。
Opaque:使用base64编码存储信息,可以通过base64 --decode解码获得原始数据,因此安全性弱。
- kubernetes.io/dockerconfigjson:用于存储docker registry的认证信息。
(1)每个namespace下有一个名为default的默认的ServiceAccount对象
- 查看所有serviceaccounts信息:
kubectl get sa
- 查看默认的serviceaccounts的详细信息:
kubectl describe sa default
- 查看secrets 的信息:
kubectl get secrets
(2)serviceaccout 创建时 Kubernetes 会默认创建对应的 secret。对应的 secret 会自动挂载到 Pod 的 /run/secrets/kubernetes.io/serviceaccount
目录中。
- 创建pod:
kubectl run demo --image=nginx
- 查看pod的信息:
kubectl get pod
(3)查看指定pod的详细信息:kubectl describe pod demo-5756f5b97-xwv46
- ServiceAccount里有一个名为Tokens的可以作为Volume一样被Mount到Pod里的Secret,当Pod启动时这个Secret会被自动Mount到Pod的指定目录下,用来协助完成Pod中的进程访问API Server时的身份鉴权过程
## 在容器内执行指令,查看容器挂载目录的内容
[root@server2 mnt]# kubectl exec demo-5756f5b97-xwv46 -- ls /var/run/secrets/kubernetes.io/serviceaccount
ca.crt
namespace
token
2.1 secret作为 volume 中的文件被挂载到 pod 中的容器里
(1)用仓库的用户名和用户密码文件创建secret
- 如果密码具有特殊字符,则需要使用 \ 字符对其进行转义
[root@server2 mnt]# echo -n 'admin' > username.txt
[root@server2 mnt]# echo -n 'linux' > passwd.txt
[root@server2 mnt]# kubectl create secret generic db-user-pass --from-file=username.txt --from-file=passwd.txt
secret/db-user-pass created
[root@server2 mnt]# kubectl get secrets
NAME TYPE DATA AGE
basic-auth Opaque 1 24h
db-user-pass Opaque 2 18s
default-token-h2p8m kubernetes.io/service-account-token 3 3d1h
tls-secret kubernetes.io/tls 2 7h11m
- 默认情况下 kubectl get和kubectl describe 为了安全是不会显示密码的内容,可以通过以下方式查看:
kubectl get secrets db-user-pass -o yaml
- 仓库的用户名和密码采用的是base64的加密方式
(2)编写一个 secret 对象
[root@server2 mnt]# echo -n 'admin' | base64
YWRtaW4=
[root@server2 mnt]# echo -n 'linux' | base64
bGludXg=
- 应用文件:
kubectl apply -f mysecret.yml
apiVersion: v1
kind: Secret
metadata:
name: mysecret
type: Opaque
data:
username: YWRtaW4=
password: bGludXg=
- 查看 secrets 的信息:
kubectl get secrets
- 查看指定secret的详细信息:kubectl describe secrets mysecret
(3)将Secret挂载到Volume中
- 应用文件:
kubectl apply -f pod2.yml
apiVersion: v1
kind: Pod
metadata:
name: mysecret
spec:
containers:
- name: demo
image: myapp:v1
volumeMounts:
- name: secrets
mountPath: "/secret"
readOnly: true
volumes:
- name: secrets
secret:
secretName: mysecret
- 查看pod的信息:
kubectl get pod
- 查看容器内/secret的文件:
kubectl exec mysecret -- ls /secret
- 查看容器内secret/password的内容:
kubectl exec mysecret -- cat /secret/password
(4)向指定路径映射 secret 密钥
- 应用文件:
kubectl apply -f pod2.yml
apiVersion: v1
kind: Pod
metadata:
name: mysecret
spec:
containers:
- name: demo
image: myapp:v1
volumeMounts:
- name: secrets
mountPath: "/secret"
readOnly: true ## 只读
volumes:
- name: secrets
secret:
secretName: mysecret
items:
- key: username
path: my-group/my-username ## 相当于挂载到/secret/my-group/my-username
[root@server2 mnt]# kubectl get pod
NAME READY STATUS RESTARTS AGE
mysecret 1/1 Running 0 107s
[root@server2 mnt]# kubectl exec mysecret -- ls /secret
my-group
[root@server2 mnt]# kubectl exec mysecret -- ls /secret/my-group
my-username
[root@server2 mnt]# kubectl exec mysecret -- cat /secret/my-group/my-username
admin[root@server2 mnt]#
(5)将Secret设置为环境变量
- 应用文件:
kubectl apply -f pod3.yml
apiVersion: v1
kind: Pod
metadata:
name: secret-env
spec:
containers:
- name: nginx
image: myapp:v1
env:
- name: SECRET_USERNAME
valueFrom:
secretKeyRef:
name: mysecret
key: username
- name: SECRET_PASSWORD
valueFrom:
secretKeyRef:
name: mysecret
key: password
- 查看pod的信息:
kubectl get pod
- 查看容器内的环境变量:
kubectl exec secret-env -- env
- 环境变量读取Secret很方便,但无法支撑Secret动态更新
2.2 使用私有仓库的镜像拉取
(1)拉取私有仓库的镜像
- 应用文件:
kubectl apply -f pod4.yml
apiVersion: v1
kind: Pod
metadata:
name: mypod
spec:
containers:
- name: myapp
image: reg.westos.org/linux/redis-photon:v1.10.1 ## 镜像的地址
- 查看pod的信息:
kubectl get pod
,镜像拉取失败,原因是拉取私有仓库的文件需要认证
- 查看pod的详细信息:
kubectl describe pod mypod
- 删除pod:
kubectl delete pod --all --force
(2)生成认证私有仓库的secret
-
docker registry私有仓库认证:
kubectl create secret docker-registry myregistrykey --docker-server=reg.westos.org --docker-username=admin --docker-password=westos --docker-email=123@localhost
-
查看secrets的信息:
kubectl get secrets
-
查看myregistrykey 的详细信息:
kubectl describe secrets myregistrykey
- 将myregistrykey 输出为yaml格式:
kubectl get secrets myregistrykey -o yaml
(3)应用文件:kubectl apply -f pod4.yml
apiVersion: v1
kind: Pod
metadata:
name: mypod
spec:
containers:
- name: myapp
image: reg.westos.org/linux/redis-photon:v1.10.1 ## 拉取仓库的镜像
imagePullSecrets:
- name: myregistrykey
- 私有仓库的镜像拉取成功
- 查看pod的信息:
kubectl describe pod mypod
,镜像成功拉取