Kubernetes7——Secret配置管理

最新推荐文章于 2023-12-25 08:51:26 发布
最新推荐文章于 2023-12-25 08:51:26 发布
阅读量316 收藏
点赞数
分类专栏: 企业实战系列 文章标签: kubernetes docker linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qwejiaji/article/details/119295745
版权
本文介绍了Kubernetes的Secret管理,用于存储敏感信息如密码、token等,提供安全性和灵活性。详细讲述了Opaque Secret、Service Account及其用法,包括作为Volume挂载和Docker registry认证。并展示了创建、挂载Secret及设置为环境变量的操作步骤。
摘要由CSDN通过智能技术生成

目录

一、secret介绍

  • k8s secrets用于存储和管理一些敏感数据,比如密码,token,密钥等敏感信息。它把 Pod 想要访问的加密数据存放到 Etcd 中。然后用户就可以通过在 Pod 的容器里挂载 Volume 的方式或者环境变量的方式访问到这些 Secret 里保存的信息了。
  • 敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。
  • Secret有三种类型
    Opaque:base64 编码格式的 Secret,用来存储密码、密钥等;但数据也可以通过base64 –decode解码得到原始数据,所有加密性很弱。
    Service Account:用来访问Kubernetes API,由Kubernetes自动创建,并且会自动挂载到Pod的 /run/secrets/kubernetes.io/serviceaccount 目录中。
    kubernetes.io/dockerconfigjson : 用来存储私有docker registry的认证信息。
  • 两种方式使用 secret:
    作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里。
    当 kubelet 为 pod 拉取镜像时使用。

二、Service Account

serviceaccout 创建时 Kubernetes 会默认创建对应的 secret。对应的 secret 会自动挂载到 Pod 的 /run/secrets/kubernetes.io/serviceaccount 目录中。

[root@server2 ~]# kubectl exec -it nginx -- bash
root@nginx:/# cd /var/run/secrets/kubernetes.io/serviceaccount/
root@nginx:/var/run/secrets/kubernetes.io/serviceaccount# ls
ca.crt	namespace  token
root@nginx:/var/run/secrets/kubernetes.io/serviceaccount# exit
[root@server2 ~]# kubectl get secrets 
NAME                  TYPE                                  DATA   AGE
default-token-m4zpd
最低0.47元/天 解锁文章
贾几人要努力
关注
专栏目录
Kubernetes身份认证和授权操作全攻略:访问控制之Service Account
Rancher
09-06 885
这是本系列的最后一篇文章,前面我们了解了访问控制中的基本概念以及身份认证和授权的具体操作,本文我们将进一步了解访问控制中的service account。 Kubernetes中有用户和service account的概念,可用于访问资源。用户与密钥和证书相关联用于验证API请求,使用其中一个配置方案对在集群外部发起的任何请求进行身份验证。最常见的方案是通过X.509证书进行身份认证请求。有关创建...
k8s之ServiceAccount
weixin_37337210的博客
01-17 1万+
导读 上一篇说了k8s的RBAC授权模式,今天就来简单看一下其中涉及到的ServiceAccount。 简介 k8s创建两套独立的账号系统,原因如下: (1)User账号给用户用,Service Account是给Pod里的进程使用的,面向的对象不同 (2)User账号是全局性的,Service Account则属于某个具体的Namespace (3)User账号是与后端的用户数据库同步的,创建一个新用户通常要走一套复杂的业务流程才能实现,Service Account的创建则需要极轻量级的实现
Openshift安装helm
运维求生之路
10-16 715
参考:https://segmentfault.com/a/1190000019608181 安装helm wget https://get.helm.sh/helm-v2.14.2-linux-amd64.tar.gz tar fxz helm-v2.14.2-linux-amd64.tar.gz 1.安装tiller: oc new-project helm-tiller oc project...
k8s安全学习
Python_0011的博客
03-22 1064
如果我们在创建Pod时,将Node节点的根目录挂载到Pod的某个目录下,由于我们能在Pod内部执行命令,所以我们可以修改挂载到Pod下的Node节点根目录中文件的内容,如果我们写入恶意crontab、web shell、ssh公钥,便可以从Pod逃逸到宿主机Node,获取Node控制权。一个 Node(节点)可以有多个Pod(容器组),kubernetes master 会根据每个 Node(节点)上可用资源的情况,自动调度 Pod(容器组)到最佳的 Node(节点)上。
Kubernetes之ServiceAccount+Secret(超详细汇总)
BigData_Mining的博客
03-13 1万+
第一章、前言 每一个用户对API资源进行操作都需要通经过以下三个步骤: 第一步:对客户端访问进行认证操作,确认是否具有访问k8s权限 token(共享秘钥) SSL(双向SSL认证) ....通过任何一个认证即表示认证通过,进入下一步 第二步:授权检查,确认是否对资源具有相关的权限 ABAC(基于属性的访问控制) RBAC(基于角色的访问控制) NODE(基...
kubernetes存储(一)——Configmap配置管理Secret配置管理
weixin_56993834的博客
07-30 352
一Configmap配置管理 1 简介 Configmap用于保存配置数据,以键值对形式存储。 configMap 资源提供了向 Pod 注入配置数据的方法。 旨在让镜像和配置文件解耦,以便实现镜像的可移植性和可复用性。 典型的使用场景: 填充环境变量的值 设置容器内的命令行参数 填充卷的配置文件 2 创建ConfigMap的方式 使用字面值创建 使用文件创建 使用目录创建 编写configmap的yaml文件创建 2.1 使用字面值创建 [root@server1 ~]# kubectl cr
kubernetes——存储之Volumes配置管理
S_K15的博客
08-03 1581
kubernetes——存储之Volumes配置管理一、Volumes的简介二、emptyDir卷1、emptyDir的引入2、emptyDir 的使用场景3、emptyDir 示例 一、Volumes的简介 1、问题引入 容器中的文件在磁盘上是临时存放的,这给容器中运行的特殊应用程序带来一些问题。 首先,当容器崩溃时,kubelet 将重新启动容器,容器中的文件将会丢失,因为容器会以纯净的状态重建。 其次,当在一个 Pod 中同时运行多个容器时,常常需要在这些容器之间共享文件。 2、Kubernete
kubernetes运维——CentOS 7 部署Kubernetes 1.19.0 集群测试环境
Jack__iT的博客
11-16 1137
1、准备三台测试机器安装centos7并配置好环境 系统 CentOS Linux release 7.8.2003 (Core) 内存 2G CPU 双核 磁盘 50G 安装过程: [root@slave122 opt]# yum install -y kubelet-1.19.0 kubeadm-1.19.0 kubectl-1.19.0 Loaded plugins: fastestmirror Loading mirror speeds from cached hostfile Coul...
kubernetes10——访问控制(serviceaccount、useraccount、RBAC)
qwejiaji的博客
08-05 902
目录一、访问控制二、ServiceAccount三、UserAccount四、RBAC基于角色访问控制授权五、服务账户的自动化 一、访问控制 流程:认证、授权和准入控制 Authentication(认证) 认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式。 Authorization(授权) 必须经过认证阶段,才到授权请求,根据所有授权策略匹配请求资源属性
如何在不同 Kubernetes 版本中管理 ServiceAccount Token
最新发布
easylife206的专栏
12-25 658
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !ServiceAccount 为 Pod 中运行的进程提供了一个身份,Pod 内的进程可以使用其关联服务账号的身份,向集群的 APIServer 进行身份认证。当创建 Pod 的时候规范下面有一个spec.serviceAccount的属性用来指定该 Pod 使用哪个 ServiceAccount,如果没有指定的...
Kubernetes_认证授权_ServiceAccount_服务账号全解析
毛毛的专栏
10-23 2116
梳理出ServiceAccount服务账号一条线
服务账户service account在kubernetes1.24中的变化
老段工作室
07-07 1709
当创建pod时需要在pod里的.spec.serviceAccount指定pod以哪个service account运行,如果没有指定的话则默认使用default这个sa。不同版本的kubernetes在使用serviceaccount时是不一样的。
Kubernetes客户端认证—— 基于ServiceAccount的JWTToken认证
2301_77342543的博客
08-04 403
Kubernetes 官方手册中给出了 “用户” 的概念,Kubernetes 集群中存在的用户包括 “普通用户” 与 “ServiceAccount”, 但是 Kubernetes 没有普通用户的管理方式,通常只是将使用集群根证书签署的有效证书的用户都被视为合法用户。那么对于使得 Kubernetes 集群有一个真正的用户系统,就可以根据上面给出的概念将 Kubernetes 用户分为“内部用户”与“外部用户”。如何理解内部与外部用户呢?
关于Kubernetes中Service Account的一些笔记:Pod内部如何访问K8s集群
山河已无恙
04-27 1843
真正的坚持归于平静,靠的是温和的发力,而不是时时刻刻的刺激。
KubernetesSecret使用详解
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
10-26 1万+
Secret解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。 Secret类型 Secret有三种类型: Opaque:base64编码格式的Secret,用来存储密码、密钥等;但数据也通过base64 –decode解码得到原始数据,所有加密性很弱。 kubernetes.io/doc...
k8s教程07(kubernetes-存储secret)
DDJ_TEST的博客
06-07 914
k8s教程07(kubernetes-存储secret)
kubernetes安全控制认证与授权(一)
热门推荐
程序源234的专栏
07-22 2万+
kubernetes 对于访问 API 来说提供了两个步骤的安全措施:认证和授权。认证解决用户是谁的问题,授权解决用户能做什么的问题。通过合理的权限管理,能够保证系统的安全可靠。通俗的讲,认证就是验证用户名密码,授权就是检查该用户是否拥有权限访问请求的资源。
详解 ServiceAccount -- k8s的服务账号是如何工作的?
千里之行
12-17 8042
Kubernetes 的 Service Account 是如何工作的
Kubernetes中的ConfigMap与Secret管理配置
"ConfigMap和Secret是Kubernetes集群中用于管理和传递应用配置信息的重要工具,旨在解决在容器化环境中配置管理的复杂性和安全性问题。" 在Kubernetes生态系统中,ConfigMap和Secret是两种关键的资源类型,它们允许...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

贾几人要努力

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值