Kubernetes Secrets

最新推荐文章于 2024-05-11 06:39:09 发布
最新推荐文章于 2024-05-11 06:39:09 发布
阅读量212 收藏
点赞数
分类专栏: K8S 文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ryanlll3/article/details/112144820
版权

Kubernetes Secrets

K8S Secrets配置原理

K8S Secrets用于支持敏感数据配置。Secrets是一种特殊的配置,可以提供较安全的存储和访问配置的机制。同样支持两种常见方式和POD进行绑定:

  • 环境变量 - 跟ConfigMap一样,如果以环境变量的方式跟POD绑定,配置更新的时候,需要重启POD来使用最新的secret.
  • 存储卷挂载到POD - Secrets可以做到热加载,不必要重启POD。

在这里插入图片描述

演示部署架构

在这里插入图片描述
结合上一篇文章中的所有yaml文件。K8S ConfigMap配置

我们将数据库的用户名,密码存到petclinic-secret.yml文件中。

修改1个文件:petclinic-config.yml
增加2个文件:petclinic-secret.yml
更新1个文件:petclinic-svc.yml

petclinic-config.yml 文件内容如下:

apiVersion: v1
kind: ConfigMap
metadata:
  name: petclinic-config-v2
data:
  SPRING_PROFILES_ACTIVE: mysql
  DATASOURCE_URL: jdbc:mysql://mysql/petclinc
  DATASOURCE_INIT_MODE: always
  # 下面TEST_CONFIG 只是为实验演示效果用,跟petclinic应用没有关系,可以不加。
  TEST_CONFIG: test_config_v2

petclinic-secret.yml文件内容如下:
注: 如果选择data,需要用base64将字符编码加密。方法如下:

echo -n petclinic | base64

apiVersion: v1
kind: Secret
metadata:
  name: petclinic-secret
type: Opaque
#data:
#  DATASOURCE_USERNAME: cm9vdA==
#  DATASOURCE_PASSWORD: cGV0Y2xpbmlj
stringData:
  DATASOURCE_USERNAME: root
  DATASOURCE_PASSWORD: petclinic

petclinic-svc.yml文件内容如下:

apiVersion: apps/v1
kind: Deployment
metadata:
  name: petclinic
spec:
  replicas: 1
  selector:
    matchLabels:
      app: petclinic
  template:
    metadata:
      labels:
        app: petclinic
    spec:
      containers:
      - name: petclinic
        # Run this image
        image: spring2go/spring-petclinic:1.0.0.RELEASE
        envFrom:
          - configMapRef:
              name: petclinic-config-v2
          - secretRef:
              name: petclinic-secret
---
apiVersion: v1
kind: Service
metadata:
  # Unique key of the Service instance
  name: petclinic
spec:
  ports:
    # Accept traffic sent to port 80
    - name: http
      # port为集群内部服务前通信的端口
      port: 8080
      targetPort: 8080
      nodePort: 31080
  selector:
    # 下面标签app: petclinic表示本服务会路由指向所有app标签为petclinic的pod。
    app: petclinic
  type: NodePort

再准备好mysql-svc.yml文件:

apiVersion: v1
kind: Pod
metadata:
  name: mysql
  labels:
    app: mysql
spec:
  containers:
    - name: mysql
      #mysql官方5.7镜像
      image: mysql:5.7
      env:
        #支持启动的时候配置数据库
        - name: MYSQL_ROOT_PASSWORD
          #root用户密码,实际生产环境要配置在ConfigMap/Secret中。
          value: petclinic
        - name: MYSQL_DATABASE
          #创建数据库
          value: petclinic
---
apiVersion: v1
kind: Service
metadata:
  name: mysql
spec:
  selector:
    app: mysql
  ports:
    - name: tcp
      port: 3306
      targetPort: 3306
  type: ClusterIP

发布命令

发布配置文件

kubectl apply -f petclinic-config.yml
kubectl apply -f petclinic-secret.yml
kubectl describe secret petclinic-secret
#用下面命令查看data,Stringdata已经转化成data,并且用base64加密。
kubectl get secret petclinic-secret -o yaml

发布mysql

kubectl apply -f mysql-svc.yml

发布petclinic

kubectl apply -f petclinic-svc.yml

查看

kubectl get all

浏览器校验 http://localhost:31080

登录POD验证配置信息

kubectl exec pod_name printenv

清理环境

kubectl delete cm petclinic-config-v2
kubectl delete secret petclinic-secret
kubectl delete deploy --all
kubectl delete svc --all
kubectl delete po --all

查看环境是否已干净

kubectl get all

Secrets的安全性

Secret是K8S提供的一种敏感信息配置对象,便于在微服务间共享敏感信息配置。

Secret仅提供有限安全:

  • 协作时防止敏感数据泄露
  • 为Secret资源设置单独安全访问策略
ryanlll3
关注
专栏目录
Python configparser模块封装及构造配置文件
菜鸟教程
11-09 504
更多编程教程请到:菜鸟教程 https://www.piaodoo.com/ 1.configparser模块简介 使用配置文件来灵活的配置一些参数是一件很常见的事情,配置文件的解析并不复杂,在python里更是如此,在官方发布的库中就包含有做这件事情的库,那就是configParser configParser解析的配置文件的格式比较象ini的配置文件格式,就是文件中由多个section构成,每个section下又有多个配置项 2.看一下configparser生成的配置文件的格式 ini配置
KubernetesSecrets
山不转的博客
07-24 2652
SecretsKubernetes中一种对象类型,用来保存密码、私钥、口令等敏感信息。与直接将敏感信息嵌入image、pod相比,Secrets更安全、更灵活,用户对敏感信息的控制力更强。同Docker对敏感信息的管理类似,首先用户创建Secrets将敏感信息加密后保存在集群中,创建pod时通过volume、环境变量引用Secrets。 创建Secrets 假设pod需要访问数据库。首先将用...
Kubernetes Secrets 详解
奋斗菜鸟
09-08 461
Kubernetes Secrets 详解
kubernetes之十四–kubernetes secrets
运维阿峰
08-09 1200
1. 简介 有时候,我们在群集中有一些机密数据,比如说密码、API key的密钥或者证书。这些机密信息只允许那些授权过的或者特定的服务可见,其它运行在群集中的服务不能访问这些数据。 针对这个原因 ,kubernetes提供了secrets. 一对key-value密钥对就是那些key是唯一的,而密钥是敏感数据。往往存储在etcd中。Kubernetes可以配置密钥在etcd、传输中都是加密的,...
linkedsecrets:链接的秘密在Cloud Secret Manager和Kubernetes Secrets之间同步秘密
03-20
LinkedsecretsKubernetes运营商,旨在在云秘密管理器解决方案和kubernetes秘密之间同步数据。 支持的云秘密解决方案: Google秘密管理员 AWS Secret Manager 安装 转到并下载带有说明和示例的安装软件包。
使用 External Secrets Operator 安全管理 Kubernetes Secrets
NewTyun的博客
08-04 528
新钛云服已累计为您分享672篇技术干货关键要点· Kubernetes Secret 管理有助于将 Secret 与应用程序代码分离,并在需要时在集群中启用它们。·默认情况下,Secret 以不安全的 base64 形式存储,这是一种编码方法而不是加密。·第三方 Secret 管理系统是拥有集中、强大的 Secret 管理机制的更好的选择。· ESO 是一个 Kube...
secrets-store-csi-driver:用于Kubernetes密钥的Secrets Store CSI驱动程序-通过CSI卷将密钥存储与Kubernetes集成。
02-03
Kubernetes Secrets Store CSI驱动程序 Kubernetes机密的Secrets Store CSI驱动程序-通过卷将机密存储与Kubernetes集成。 Secrets Store CSI驱动程序secrets-store.csi.k8s.io允许Kubernetes将存储在企业级外部...
Python之configparser模块的封装
qq_35653145的博客
05-10 510
# -*- encoding:utf-8 -*- from configparser import ConfigParser import os class ConfigFileUtils: def __init__(self, config_file, encode="utf-8"): if os.path.exists(config_file): self.__cfg_file = config_file else:
KubernetesSecret 详解
升仔聊编程的博客
12-27 598
在微服务和容器化环境中,敏感数据的管理是一个重要且挑战性的问题。KubernetesSecret 对象提供了一种在集群中安全地存储和管理敏感数据(如密码、密钥、证书等)的机制。Kubernetes 中的 Secret 是管理敏感数据的有效工具。通过正确地使用和保护 Secret,可以确保敏感数据在 Kubernetes 环境中的安全性。理解和熟练使用 Secret 对于维护一个安全且高效的 Kubernetes 集群至关重要。
Python ConfigParser模块的使用示例
12-16
前言 在做项目的时候一些配置文件都会写在settings配置文件中,今天在研究”州的先生”开源文档写作系统-MrDoc的时候,发现部分配置文件写在config.ini中,并利用configparser进行相关配置文件的读取及修改。 一、ConfigParser模块简介 该模块适用于配置文件的格式与windows ini文件类似,是用来读取配置文件的包。配置文件的格式如下:中括号“[ ]”内包含的为section。section 下面为类似于key-value 的配置内容。格式如下: [DEFAULT] ServerAliveInterval = 45 Compression = yes
KubernetesSecrets解析
最新发布
专注于数据库技术分享,包含但不限于Oracle,MySQL,PostgreSQL,ElasticSearch及国产数据库等
05-11 379
Kubernetes中,Secrets是一种用于存储敏感信息(如密码、API密钥、TLS证书等)的对象,旨在确保这些信息在集群内部安全地管理和分发给需要的应用程序容器。Secrets 的管理是确保云原生应用程序安全的关键部分。
python封装configparser模块获取conf.ini值
weixin_34297704的博客
01-26 126
  configparser模块是python自带的从文件中获取固定格式参数的模块,因为是python只带的,大家用的应该很多,我觉得这个参数模块比较灵活,添加参数、修改参数、读取参数等都有对应的参数供用户使用。因为本人看的都是接近自动化框架方面的,主要用读取参数,手动操作添加和修改参数也许更方便。   configparser模块读取的参数应该是不限文档格式:*.ini、*.conf、*.*,...
kubernetes secrets 保存敏感信息
kozazyh的专栏
04-23 1452
kubernetes secrets 是用来保存密码、token、密钥...敏感信息的对象。例如:有时我们在pod中需要连接aws 应用(s3、ddb),一般需要在env设置AWS_ACCESS_KEY_ID、AWS_SECRET_KEY,这时候,我们就可以把aws的key 保存在kubernetessecrets中,一来可以保证不在image中保存敏感信息、二来多个pod可以共用secrets...
python封装configparser模块获取conf.ini值(优化版)
weixin_33896069的博客
01-27 234
  昨天晚上封装了configparser模块,是根据keyname获取的value。python封装configparser模块获取conf.ini值   我原本是想通过config.ini文件中的section和keyname获取value的,前两天怎么都调试不通过。今天百度了一下,有人通过字典的方式把我的和这个想法实现了,我把这个例子修改了一下,代码如下,并通过测试,以后可以用在自动化测试...
Kubernetes---Secret配置管理
Jelly
04-21 1131
一、Secret配置管理介绍 Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 ssh key。 敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。 Pod 可以用两种方式使用 secret: • 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里; • 当 kubelet 为 pod 拉取镜像时使用。 Secret的类型: • Service Account:K...
python常用模块-ConfigParser配置文件
如果没有梦想,那跟咸鱼有什么分别
06-04 237
ConfigParser ConfigParser 是用来读取配置文件的类 首先要明白两个概念: section(节点):如下图中 “[]”中括号包含的就是节点(不可重复) option(选项):如下图中 key = value 键值对形式就是选项(也可以用:分隔) 理解: 把整个配置文件想像成一个住宅小区,节点就是小区的栋数编号,每栋编号一定不一样,选项中的key 就是门牌号, value就是里面住的人。 配置文件示例: [ENV] environment = test [REPORT] title
KubernetesSecret使用详解
热门推荐
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
10-26 1万+
Secret解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。 Secret类型 Secret有三种类型: Opaque:base64编码格式的Secret,用来存储密码、密钥等;但数据也通过base64 –decode解码得到原始数据,所有加密性很弱。 kubernetes.io/doc...
python工具封装:读写配置文件config
04-26 325
读写配置文件 class Properties(object): def __init__(self, file_name): self.file_name = file_name self.properties = {} def _get_dict(self, str_name, dict_name, value): if (s...
使用Docker和Kubernetes构建微服务
此外,书中还可能涉及Kubernetes的其他关键特性,如ConfigMaps和Secrets用于管理应用配置,Deployments和StatefulSets用于声明式地更新和管理应用实例,以及Ingress用于定义外部访问服务的规则。 《Kubernetes ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值