企业项目实战k8s篇(九)Secret配置管理

最新推荐文章于 2024-09-27 20:34:11 发布
最新推荐文章于 2024-09-27 20:34:11 发布
阅读量227 收藏 1
点赞数
分类专栏: docker容器 k8s linux学习 文章标签: kubernetes docker linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42003848/article/details/119255970
版权
linux学习 同时被 3 个专栏收录
87 篇文章 4 订阅
订阅专栏
docker容器
31 篇文章 4 订阅
订阅专栏
k8s
21 篇文章 8 订阅
订阅专栏

Secret配置管理

一.Secret概述

Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 ssh key。

敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。

Pod 可以用两种方式使用 secret:

  • 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里。

  • 当 kubelet 为 pod 拉取镜像时使用。

Secret的类型:

  • Service Account:Kubernetes 自动创建包含访问 API 凭据的 secret,并自动修改 pod 以使用此类型的 secret。

  • Opaque:使用base64编码存储信息,可以通过base64 --decode解码获得原始数据,因此安全性弱。

  • kubernetes.io/dockerconfigjson:用于存储docker registry的认证信息。

二.Service Account

serviceaccout 创建时 Kubernetes 会默认创建对应的 secret。对应的 secret 会自动挂载到 Pod 的 /run/secrets/kubernetes.io/serviceaccount 目录中。

[root@server1 secret]# kubectl  run nginx --image=nginx
pod/nginx created
[root@server1 secret]# kubectl  exec -it   nginx  -- bash
root@nginx:/# cd /var/run/secrets/kubernetes.io/serviceaccount/

root@nginx:/var/run/secrets/kubernetes.io/serviceaccount# ls
ca.crt	namespace  token

每个namespace下有一个名为default的默认的ServiceAccount对象

[root@server1 ingress]# kubectl  get secrets 
NAME                  TYPE                                  DATA   AGE
default-token-t5dst   kubernetes.io/service-account-token   3      6d3h

ServiceAccount里有一个名为Tokens的可以作为Volume一样被Mount到Pod里的Secret,当Pod启动时这个Secret会被自动Mount到Pod的指定目录下,用来协助完成Pod中的进程访问API Server时的身份鉴权过程。

 kubectl get pod -o yaml

  volumeMounts:
  - mountPath: /etc/nginx/conf.d
    name: config-volume
  - mountPath: /var/run/secrets/kubernetes.io/serviceaccount
    name: kube-api-access-rttrg
    readOnly: true

三.Opaque Secret

Opaque Secret 其value为base64编码后的值。

从文件中创建Secret

echo -n 'admin' > ./username.txt
echo -n 'westos' > ./password.txt

 kubectl create secret generic db-user-pass --from-file=./username.txt --from-file=./password.txt
secret/db-user-pass created

kubectl get secrets

NAME                  TYPE                                  DATA   AGE
db-user-pass          Opaque                                2      5s

如果密码具有特殊字符,则需要使用 \ 字符对其进行转义,执行以下命令

[root@server1 secret]# kubectl create secret generic dev-db-secret --from-literal=username=devuser --from-literal=password=S\!B\\*d\$zDsb
secret/dev-db-secret created

默认情况下 kubectl get和kubectl describe 为了安全是不会显示密码的内容,可以通过以下方式查看:

[root@server1 secret]# kubectl get secrets dev-db-secret -o yaml
apiVersion: v1
data:
  password: UyFCXCpkJHpEc2I=
  username: ZGV2dXNlcg==
kind: Secret
metadata:
  creationTimestamp: "2021-07-30T06:52:16Z"
  name: dev-db-secret
  namespace: default
  resourceVersion: "221156"
  uid: 9ab47acb-131d-491f-a91e-a781940a52ed
type: Opaque
[root@server1 secret]# echo UyFCXCpkJHpEc2I= | base64 -d
S!B\*d$zDsb
[root@server1 secret]# 
[root@server1 secret]# echo ZGV2dXNlcg== | base64 -d

四.secret应用

1.创建secret

[root@server1 secret]# echo -n 'admin' | base64
YWRtaW4=
[root@server1 secret]# echo -n 'westos' | base64
d2VzdG9z
[root@server1 secret]# vim mysecret.yaml
[root@server1 secret]# kubectl  apply  -f mysecret.yaml 
secret/mysecret created
[root@server1 secret]# kubectl  get secrets 
NAME                  TYPE                                  DATA   AGE
basic-auth            Opaque                                1      3h52m
default-token-t5dst   kubernetes.io/service-account-token   3      5d20h
mysecret              Opaque                                2      6s
tls-secret            kubernetes.io/tls                     2      4h3m

2.将Secret挂载到Volume中

[root@server1 secret]# cat vlo.yaml 
    apiVersion: v1
    kind: Pod
    metadata:
      name: mysecret
    spec:
      containers:
    
      - name: nginx
        image: nginx
        volumeMounts:
        - name: secrets
          mountPath: "/secret"
          readOnly: true
          volumes:
      - name: secrets
        secret:
          secretName: mysecret
        [root@server1 secret]# kubectl  apply  -f vlo.yaml 
        pod/mysecret created
        [root@server1 secret]# kubectl  get pod
        NAME                                READY   STATUS    RESTARTS   AGE
        my-nginx-6b67dc79c9-zrbcz           1/1     Running   0          118m
        myapp-deployment-67f8c948cf-45h6n   1/1     Running   1          29h
        myapp-deployment-67f8c948cf-hq9xg   1/1     Running   1          29h
        myapp-deployment-67f8c948cf-rr9bz   1/1     Running   1          29h
        mysecret                            1/1     Running   0          8s
        nginx-deployment-6456d7c676-8jsrd   1/1     Running   3          46h
        nginx-deployment-6456d7c676-bcx9b   1/1     Running   3          46h
        nginx-deployment-6456d7c676-kwqfr   1/1     Running   3          46h

​ 查看volume下的password文件

[root@server1 secret]# kubectl exec mysecret cat  /secret/password
westos

3.向指定路径映射 secret 密钥

指定路径/secret/my-group/my-username

[root@server1 secret]# cat path.yaml 
apiVersion: v1
kind: Pod
metadata:
  name: mysecret
spec:
  containers:
  - name: nginx
    image: nginx
    volumeMounts:
    - name: secrets
      mountPath: "/secret"
      readOnly: true
  volumes:
  - name: secrets
    secret:
      secretName: mysecret
      items:
      - key: username
        path: my-group/my-username


[root@server1 secret]# kubectl  apply  -f path.yaml 
pod/mysecret created
[root@server1 secret]# kubectl exec mysecret cat /secret/my-group/my-username

admin

[root@server1 secret]#

4.将Secret设置为环境变量

apiVersion: v1
kind: Pod
metadata:
  name: secret-env
spec:
  containers:
  - name: nginx
    image: nginx
    env:
      - name: SECRET_USERNAME
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: username
      - name: SECRET_PASSWORD
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: password

五.docker registry

#kubernetes.io/dockerconfigjson用于存储docker registry的认证信息

kubectl create secret docker-registry myregistrykey --docker-server=reg.westos.org --docker-username=admin --docker-password=westos --docker-email=root@westos.org

未公开仓库,在拉取仓库时,无secret信息则无法拉取

[root@server1 secret]# cat mypod.yml 
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
    - name: nginx
      image: reg.westos.org/westos/nginx
  #imagePullSecrets:

  #  - name: myregistrykey

[root@server1 secret]# kubectl  apply  -f mypod.yml 
pod/mypod created
[root@server1 secret]# kubectl  get pod
NAME                                READY   STATUS             RESTARTS   AGE
mypod                               0/1     ImagePullBackOff   0          4s

添加secrect认证

[root@server1 secret]# cat mypod.yml 
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
    - name: nginx
      image: reg.westos.org/westos/nginx
  imagePullSecrets:

    - name: myregistrykey

拉取成功

[root@server1 secret]# kubectl  apply  -f mypod.yml 
pod/mypod created
[root@server1 secret]# kubectl  get pod
NAME                                READY   STATUS      RESTARTS   AGE
mypod                               1/1     Running     0          14s
张一不二
关注
专栏目录
《云原生之K8s实战》K8s配置管理中心Secret
君逍遥o
03-10 245
generic:通用类型,通常用于存储密码数据。 tls:仅用于存储私钥和证书。 docker-registry:用于保存docker仓库的认证信息。
k8s核心操作_存储抽象_K8S中使用Secret功能来存储密码_使用免密拉取镜像_k8s核心实战总结---分布式云原生部署架构搭建033
添柴程序猿的专栏
07-17 8756
可以看到这个是镜像内容,注意这里面没有引入secret,上面的配置文件引入了,可以先去掉.看效果。比如我们在公共仓库中个guignginx仓库,我们看到右边,显示他现在是。可以看到拉取镜像的时候报错了对吧,说access denied 因为镜像是私有的.然后下面我们会看一个更强大的,工具,可以进行完全在线,将监控等等,都统合起来。我们现在是从公共仓库拉取的,如果我们从私有仓库拉取,有密码。比如我们有个pod,他的镜像,如果是需要密码的,那么。
K8s项目实战!阿里大佬带你深度解析Kubernetes
l688899886的博客
08-02 1328
Kubernetes(简称K8S)是开源的容器集群管理系统,可以实现容器集群的自动化部署、自动扩缩容、维护等功能。它既是一款容器编排工具,也是全新的基于容器技术的分布式架构领先方案。在Docker技术的基础上,为容器化的应用提供部署运行、资源调度、服务发现和动态伸缩等功能,提高了大规模容器集群管理的便捷性。【Kubernetes是容器集群管理工具】网上检索大量资料来学习,往往会一头雾水,找不到正确的切入点;而官方文档像工具书一样晦涩难懂,往往学起来不得其法,事倍功半。...
项目实战k8s部署考试系统
最新发布
m0_70848838的博客
09-27 1361
[root@localhost ~]# yum -y install ntpdate.x86_64 [root@localhost ~]# ntpdate time2.aliyun.com 27 Sep 10:28:08 ntpdate[1634]: adjust time server 203.107.6.88 offset 0.014965 sec [root@localhost ~]# crontab -e //设置计划任务 * 3 * * * /sbin/ntp
k8s项目(弹性云实战)
kali_yao的博客
02-19 3398
(1条消息) k8s搭建一个基于ingress,service,pv,pvc,deployment等的nginx项目_kali_yao的博客-CSDN博客 上面的nginx与php服务部署简单但是弹性阔容比较麻烦,要把nginx和php一起阔容;这里就把nginx和php从一个pod中剥离出来;但是由于php负载较高,所以这里还加了HPA控制器(弹性伸缩),但是在配置文件中要指定服务IP与端口,但是容器的ip是会变的不好掌控(如下图指定),这里就起一个php服务,后端php直接指定php服务,nginx
K8s项目实战-业务容器化-Day 05
qq_42515722的博客
07-11 1674
本章主要讲实际工作中,如何实现业务容器化的思路
K8s项目实战教程一(k8s安装)
qq_35719502的博客
06-18 473
k8s全称kubernetes,是用于自动部署,扩展和管理容器化应用程序的开源系统
企业入门实战--k8s之存储之configMap配置管理Secret配置管理和Volumes配置管理
鱼子酱
07-30 477
企业入门实战--k8s之存储之configMap配置管理Secret配置管理和Volumes配置管理一、configMap配置管理创建configmap使用configmap 一、configMap配置管理 Configmap用于保存配置数据,以键值对形式存储。 configMap资源提供了向Pod 注入配置数据的方法。旨在让镜像和配置文件解耦,以便实现镜像的可移植性和可复用性。 典型的使用场景:·填充环境变量的值 ·设置容器内的命令行参数 ·填充卷的配置文件 创建configmap 使用字面值指定创建
企业运维实战--k8s学习笔记7.k8s存储之configMap配置管理Secret配置管理和Volumes配置管理
Rabbit_hyl的博客
07-30 525
企业运维实战--k8s学习笔记7.k8s存储之configMap配置管理Secret配置管理和Volumes配置管理前言k8s存储一、configMap配置管理configMap简介创建configmap使用configmap二、Secret配置管理三、Volumes配置管理持久卷PV --静态 前言 k8s存储 一、configMap配置管理 configMap简介 Configmap用于保存配置数据,以键值对形式存储。 configMap 资源提供了向 Pod 注入配置数据的方法。 旨在让镜像和配置
k8s环境部署与管理PHP项目实战
小石潭记丶
06-17 694
Wordpress是PHP语言开发的博客平台,是运行在典型的LNMP/LAMP环境中,本案例需要将Wordpress部署在 kubernetes 集群中,并实现外部访问。
Kubernetesk8s)实战:Kubernetesk8s)部署Springboot项目
秃了也弱了
07-05 3757
在集群中,pod之间可以通过service 的name进行访问,不仅仅是ip,这就意味着,service中不仅帮我们做了负载均衡,而且做了dns处理。如上,加上hostNetwork: true,就会在nacos上注册的ip端口,会映射成宿主机的ip和端口。如果在同一个k8s集群下,这样部署是没问题的,但是不同k8s集群下,微服务之间就互相不可访问了。我们发现,搭建成功了,用浏览器访问192.168.56.101:30493,发现访问成功了!访问:http://localhost:8080/k8s
K8S管理系统项目实战[前端开发]
niwoxiangyu的博客
05-05 874
Vue ElementPlus 组件库。K8s管理系统项目实战[前端开发]
K8S管理系统项目实战[API开发]-1
niwoxiangyu的博客
05-05 2329
K8s管理系统项目实战[API开发]
企业项目实战k8s(四)k8s控制器
qq_42003848的博客
07-27 297
k8s控制器一.控制器分类二.Replication Controller和ReplicaSet三.Deployment四.DaemonSet五.StatefulSet六.Job七.HPA 一.控制器分类 Pod 的分类: 自主式 Pod:Pod 退出后不会被创建 控制器管理的 Pod:在控制器的生命周期里,始终要维持 Pod 的副本数目 控制器类型: Replication Controller和ReplicaSet Deployment DaemonSet StatefulSet Job Cron
【实战】K8S集群部署nacos并接入Springcloud项目容器化运维
勤于笔记,成于点滴。
03-07 2469
k8s中部署nacos还是使用helm比较简单,直接下载安装包修改配置文件安装即可。我们在Springcloud、Springboot项目中集成nacos需要注意需要使用集群内部地址,当我们将项目部署在k8s集群中可以直接使用nacos配置和查询服务集群。
大家期待的k8s项目实战课,它终于来了!
伤心的辣条
07-15 495
随着容器化技术的发展,Kubernetes(简称 K8S)已成为现代软件开发和部署的核心工具之一。对于测试工程师而言,掌握 K8S不仅能提升测试效率,还能增强自动化测试的能力,K8S为测试工程师提供了强大的工具和灵活的环境,能够显著提升测试工作的效率和质量。通过掌握 K8S的核心技能,测试工程师能够更好地管理测试环境、自动化测试流程、执行性能测试和安全测试,从而确保应用的高质量交付。在现在的软件开发过程中,K8S已经成为测试工程师必备的技能之一。
企业项目实战k8s(一)k8s集群部署
qq_42003848的博客
07-25 2078
k8s集群部署一.k8s简介二.k8s部署 一.k8s简介 Kubernetes主要由以下几个核心组件组成: etcd:保存了整个集群的状态 apiserver:提供了资源操作的唯一入口,并提供认证、授权、访问控制、API注册和发现 等机制 controller manager:负责维护集群的状态,比如故障检测、自动扩展、滚动更新等 scheduler:负责资源的调度,按照预定的调度策略将Pod调度到相应的机器上 kubelet:负责维护容器的生命周期,同时也负责Volume(CVI)和网络(CNI)的管理
K8s实战:MySQL初始化与主从复制
"这文章主要介绍了在Kubernetes(k8s)环境中进行MySQL数据库的实战操作,包括遇到的问题、解决策略以及数据库的初始化、持久化、主从复制等关键步骤。" 在Kubernetes(k8s)中部署和管理MySQL数据库时,会面临几个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值