k8s——secret配置资源管理

于 2024-06-07 08:56:23 发布
阅读量1.4k 收藏 25
点赞数 40
文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sea_bunch/article/details/139471800
版权

一、Secret

  1.1 Secret定义

    Secret是用来保存密码、token、密钥等敏感数据的k8s资源,这类数据虽然也可以存放在Pod或者镜像中,但是放在Secret中是为了更方便的控制如何使用数据,并减少暴露的风险

  1.2 Secret类型

  • kubernetes.io/service-account-token:由Kubernetes自动创建,用来访问APIServer的 Secret,Pod 会默认使用这个Secret与APIServer通信, 并且会自动挂载到Pod的 /run/secrets/kubernetes.io/serviceaccount目录中
  • Opaque:base64 编码格式的Secret,用来存储用户自定义的密码、密钥等,默认的Secret 类型
  • kubernetes.io/dockerconfigjson:用来存储私有docker registry的认证信息

  1.3 使用secret方式

  • 作为挂载到一个或多个容器上的卷中的文件。
  • 作为容器的环境变量。
  • 由 kubelet 在为Pod拉取镜像时使用。

  1.4 Secret应用场景

Secrets | KubernetesA Secret is an object that contains a small amount of sensitive data such as a password, a token, or a key. Such information might otherwise be put in a Pod specification or in a container image. Using a Secret means that you don't need to include confidential data in your application code.Because Secrets can be created independently of the Pods that use them, there is less risk of the Secret (and its data) being exposed during the workflow of creating, viewing, and editing Pods.icon-default.png?t=N7T8https://kubernetes.io/docs/concepts/configuration/secret/

二、Secret应用实例

  2.1 创建Secret

  2.1.1 用kubectl create secret命令创建Secret,在Kubernetes集群中创建一个名为mysecret的通用(generic)类型的Secret对象,并从本地文件中加载用户名和密码信息作为Secret的数据

这个命令执行的操作包括:

  • 创建一个名为mysecret的通用类型的Secret对象。
  • 使用--from-file选项从本地文件中加载数据,其中username.txt文件的内容将作为Secret对象中的用户名数据,而password.txt文件的内容将作为Secret对象中的密码数据。

这样,Kubernetes将会创建一个包含用户名和密码信息的Secret对象,可以在容器中挂载并使用这些敏感数据,而无需明文暴露在Pod的配置文件中。

get或describe指令都不会展示secret的实际内容,这是出于对数据的保护的考虑

  2.1.2 内容用base64编码,创建Secret

  2.1.2.1 base64编码
echo -n zhangsan | base64

echo -n bac1234 | base64

   2.1.2.2 编辑yaml文件

apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: nginx
    image: nginx
    volumeMounts:
    - name: secrets
      mountPath: "/etc/secrets"
      readOnly: true
  volumes:
  - name: secrets
    secret:
      secretName: mysecret
#指定了一个名为secrets的卷(volume),并将一个名为mysecret的Secret对象挂载到这个卷上。这样,Pod 中的容器就可以访问这个Secret对象中存储的敏感数据。

  2.1.2.3 运行yaml文件

  2.1.2.4 加密显示secret 

  2.2 使用Secret方式

  2.2.1 将Secret挂载到Volume中,以Volume的形式挂载到Pod的某个目录下

  2.2.1.1 编辑yaml文件
apiVersion: v1
kind: Pod
metadata:
  name: mypod1        
spec:
  containers:
  - name: nginx
    image: nginx
    env:
      - name: TEST_USER
        valueFrom:
          secretKeyRef:
            name: mysecret1
            key: username
      - name: TEST_PASSWORD
        valueFrom:
          secretKeyRef:
            name: mysecret1
            key: password

  2.2.1.2 运行yaml文件
kubectl create -f secret-test.yaml

kubectl get pod 

  2.2.1.3 运行mypod,查看账户密码
kubectl exec -it mypod sh 

  2.2.2 将secret挂载到环境变量调用

  2.2.2.1 编辑yaml文件
apiVersion: v1
kind: Pod
metadata:
  name: mypod1        
spec:
  containers:
  - name: nginx
    image: nginx
    env:
      - name: TEST_USER
        valueFrom:
          secretKeyRef:      #调用,此处调用的是kubectl get secret创建出来的mysecret1
            name: mysecret1
            key: username
      - name: TEST_PASSWORD
        valueFrom:
          secretKeyRef:
            name: mysecret1
            key: password

  2.2.2.2 运行yaml文件

  2.2.2.3 运行mypod,查看账户密码

三、ConfigMap

  3.1 configmap定义

    与Secret类似,区别在于ConfigMap保存的是不需要加密配置的信息。

  3.2 configmap应用场景

  • ConfigMap功能在Kubernetes1.2版本中引入,许多应用程序会从配置文件、命令行参数或环境变量中读取配置信息。ConfigMap API给我们提供了向容器中注入配置信息的机制,ConfigMap可以被用来保存单个属性,也可以用来保存整个配置文件或者JSON二进制对象。
  • 应用场景:应用配置

  3.3 应用示例

  3.3.1 创建Configmap

  3.3.1.1 导入nginx.conf配置文件

导入配置文件方式
导入nginx.conf配置文件
kubectl create configmap nginx-config -h(不会后面的参数可以使用h)查看


kubectl create configmap nginx-config --from-file=nginx.conf


列出当前集群中的所有ConfigMap对象,并显示它们的名称、命名空间、数据等信息——kubectl get cm 

含义: 

kubectl create configmap nginx-config --from-file=nginx.conf:在当前创建一个名为nginx-config的configmap对象并将nginx.conf中的内容转移到该对象中。如果当前目录下没有nginx.conf文件,则会出现错误

kubectl get cm——列出当前集群中的所有ConfigMap对象,并显示它们的名称、命名空间、数据等信息

  3.3.1.2 查看nginx-config详细信息

  3.3.1.3 使用目录创建

  3.3.1.3.1 编辑game.properties
enemies=aliens
lives=3
enemies.cheat=true
enemies.cheat.level=noGoodRotten
secret.code.passphrase=UUDDLRLRBABAS
secret.code.allowed=true
secret.code.lives=30

  3.3.1.3.2 编辑
color.good=purple
color.bad=yellow
allow.textmode=true
how.nice.to.look=fairlyNice

  3.3.1.3.3 指定在目录下的所有文件都会被用在ConfigMap里面创建一个键值对

  3.3.1.3.4 以yaml格式查看game-config详细信息

  3.3.1.4 使用文件创建

    只要指定为一个文件就可以从单个文件中创建ConfigMap,–from-file 这个参数可以使用多次,即可以使用两次分别指定上个实例中的那两个配置文件,效果就跟指定整个目录是一样的

  3.3.1.4.1 --from-file用来分别指定配置文件

  3.3.1.4.2 以yaml查看game-config-2

  3.3.1.4.3 详细查看game-config-2

  3.3.1.5 使用字面值创建
  3.3.1.5.1 使用文字值创建,利用--from-literal参数传递配置信息,该参数可以使用多次

  3.3.1.5.2 清除所有cm和pod

  3.3.1.5.3 举例说明
  3.3.1.5.3.1 编辑内容,使用文字值创建,利用--from-literal参数传递配置信息

  3.3.1.5.3.2 查看详细信息

  3.3.1.5.4 调用方式
  3.3.1.5.4.1 编辑web-blue.yaml文件
apiVersion: v1
kind: Pod
metadata:
  name: mypod-cm-web
  labels:
    run: myapp-cm-web
spec:
  volumes:
  - name: web-cm
    configMap:
      name: web-nj
  containers:
  - name: myapp-cm-web
    image: soscscs/myapp:v1
    ports:
    - containerPort: 80
    volumeMounts:
    - name: web-cm
      mountPath: /usr/share/nginx/html

  3.3.1.5.4.2 运行yaml文件

  3.3.2 Pod中使用ConfigMap

  3.3.2.1 使用ConfigMap来替代环境变量
  3.3.2.1.1 编辑env.yaml文件
apiVersion: v1
kind: ConfigMap
metadata:
  name: special-config
  namespace: default
data:
  special.how: very
  special.type: good
---
apiVersion: v1
kind: ConfigMap
metadata:
  name: env-config
  namespace: default
data:
  log_level: INFO #记录信息level(正常级别)日志

  3.3.2.1.2 运行env.yaml文件

  3.3.2.1.3 编辑test-pod文件

  3.3.2.1.4 运行yaml文件

  3.3.2.1.5 查看test-pod日志信息

  3.3.2.2 用ConfigMap设置命令行参数
  3.3.2.2.1 编辑test-pod2.yaml文件
apiVersion: v1
kind: Pod
metadata:
  name: test-pod2
spec:
  containers:
  - name: busybox
    image: busybox:1.28.4
    command: 
	- /bin/sh
	- -c
	- echo "$(SPECIAL_HOW_KEY) $(SPECIAL_TYPE_KEY)"
    env:
      - name: SPECIAL_HOW_KEY
        valueFrom:
          configMapKeyRef:
            name: special-config
            key: special.how
      - name: SPECIAL_TYPE_KEY
        valueFrom:
          configMapKeyRef:
            name: special-config
            key: special.type
    envFrom:
      - configMapRef:
          name: env-config
  restartPolicy: Never

  3.3.2.2.2 运行yaml文件

  3.3.2.2.3  查看test-pod日志信息

  3.3.2.3 通过数据卷插件使用ConfigMap

    在数据卷里面使用ConfigMap,就是将文件填入数据卷,在这个文件中,键就是文件名,键值就是文件内容

  3.3.2.3.1 编辑test-pod.yaml文件
apiVersion: v1
kind: Pod
metadata:
  name: test-pod3
spec:
  containers:
  - name: busybox
    image: busybox:1.28.4
    command: [ "/bin/sh", "-c", "sleep 36000" ]
    volumeMounts:
    - name: config-volume
      mountPath: /etc/config
  volumes:
    - name: config-volume
      configMap:
        name: special-config
  restartPolicy: Never

   3.3.2.3.2 运行yaml文件

  3.3.2.3.3 进入test-pod3查看内容

  3.3.2.4 ConfigMap的热更新

    相关标签查看可用命令——kubectl api-resources

  3.3.2.4.1 编辑test-pod4文件
#ConfigMap 的热更新(如果少加参数可以在外面直接热更新)
apiVersion: v1
kind: ConfigMap
metadata:
  name: log-config
  namespace: default
data:
  log_level: INFO
---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: my-nginx
spec:
  replicas: 1
  selector:
    matchLabels:
      app: my-nginx
  template:
    metadata:
      labels:
        app: my-nginx
    spec:
      containers:
      - name: my-nginx
        image: nginx
        ports:
        - containerPort: 80
        volumeMounts:
        - name: config-volume
          mountPath: /etc/config
      volumes:
        - name: config-volume
          configMap:
            name: log-config

  3.3.2.4.2 运行yaml文件

  3.3.2.4.3 进入my-nginx-xxxx查看内容

  3.3.2.4.4 查看log-config

  3.3.2.4.5 数据同步更新

  3.3.2.4.6 ConfigMap更新后滚动更新Pod

    更新ConfigMap目前并不会触发相关Pod的滚动更新,可以通过在 .spec.template.metadata.annotations中添加version/config ,每次通过修改version/config来触发滚动更新

更新ConfigMap后:

  • 使用该ConfigMap挂载的Env不会同步更新。
  • 使用该ConfigMap挂载的Volume中的数据需要一段时间(实测大概10秒)才能同步更新。 
sea_bunch
关注
  • 40
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
K8S部署流程和配置文件
03-13
7. **设置kubectl访问集群**:在需要管理K8S的机器上,使用`kubeadm config view`命令获取kubeconfig文件,然后将其配置到kubectl中。 二、K8S配置文件详解 K8S的配置文件通常为YAML格式,包含了定义各种对象的...
k8s之Secret详细理解及使用
热门推荐
skh2015java的博客
10-22 3万+
Secret介绍 k8s secrets用于存储和管理一些敏感数据,比如密码,token,密钥等敏感信息。它把 Pod 想要访问的加密数据存放到 Etcd 中。然后用户就可以通过在 Pod 的容器里挂载 Volume 的方式或者环境变量的方式访问到这些 Secret 里保存的信息了。 Secret有三种类型 Opaque:base64 编码格式的 Secret,用来存储密码、密钥等;但数据也可以通过base64 –decode解码得到原始数据,所有加密性很弱。 Service Account:.
K8S 创建 Secret
一直被模仿,从未被超越
12-09 9198
secret用于存储和管理一些敏感数据,比如密码,token,密钥等敏感信息。它把 Pod 想要访问的加密数据存放到 Etcd 中。然后用户就可以通过在 Pod 的容器里挂载 Volume 的方式或者 环境变量 的方式访问到这些 Secret 里保存的信息 Secret 有三种类型 Opaque:base64 编码格式的 Secret,用来存储密码、密钥等;但数据也可以通过base64 –decode解码得到原始数据,所有加密性很弱。 Service Account:用来访问Kubernetes ..
k8s配置资源管理|secret|configmap
m0_75015568的博客
05-26 1803
k8s配置资源管理|secret|configmap
k8s学习-Secret(创建、使用、更新、删除等)
关注网络安全、云原生安全
08-20 8622
注意:Base64只是一种编码,不含密钥的,并不安全。任何拥有 API 访问权限的人都可以检索或修改 Secret,任何有权访问 etcd 的人也可以。此外,任何有权限在命名空间中创建 Pod 的人都可以使用该访问权限读取该命名空间中的任何 Secret;使用该 ServiceAccount 创建的任何 Pod 和默认使用该 ServiceAccount 的 Pod 将会将其的 imagePullSecret 字段设置为服务帐户的 imagePullSecret 值。中的安全部分详细展开。
【Kubernetes】第十五篇 - Secret 对象的简介与创建
BraveWangDev
03-02 812
上一篇,介绍了 docker 私有镜像仓库的安装和使用;本篇,介绍 Secret 对象的创建;Secret 是 Kubernetes 中的一种资源类型,可以用来储存机密信息,如:密码,token,密钥等;信息被存入 Secret 后,可以通过挂载卷的方式挂载到 Pod 内;也可以用于存放 docker 私有镜像库的登录名和密码,用于拉取私有镜像使用;Opaque 类型;
K8s集群部署配置文件包
10-27
本压缩包“K8s集群部署配置文件包”提供了全面的资源,帮助用户快速构建并配置Kubernetes集群。以下将详细阐述其中涉及的关键知识点。 首先,ETCD是Kubernetes集群的核心组件,它是轻量级、分布式的键值存储系统,...
【k8s】——Kubernetes知识盘点
01-20
Kubernetes(简称k8s)是Google开源的一个容器编排系统,用于自动化容器化的应用部署、扩展和管理。它提供了一个平台,使得开发者可以方便地在分布式环境中运行微服务架构的应用程序。 2. **基本概念** - **Pod**...
k8s1.5版本集群配置
03-05
k8s配置,master配置文件在 nodes/master/conf目录下,在服务器根目录建立conf,mkidir conf,将文件上传到/conf目录下。运行sh mastersevice.sh。 note配置文件在 nodes/130/conf目录下,在服务器根目录建立conf,...
k8s集群环境搭建资源
10-27
Kubernetes(简称k8s)是Google开源的一种容器编排系统,用于自动化容器化的应用程序部署、...以上就是关于“k8s集群环境搭建资源”的主要知识点,通过深入理解和实践这些概念,你可以成功地构建和管理自己的k8s集群。
k8s secret对象详解
zxyuliwuzhognzx11的博客
11-03 979
k8s secret对象详解
k8s的Secret(密文)和configmap(明文)的使用
很多时候犯错都是在不知情的情况下发生的
08-13 4929
执行一下。
k8s学习-Secret(创建、使用、更新、删除等)_kubectl delete secret
最新发布
2401_84281594的博客
05-02 920
任何拥有 API 访问权限的人都可以检索或修改 Secret,任何有权访问 etcd 的人也可以。此外,任何有权限在命名空间中创建 Pod 的人都可以使用该访问权限读取该命名空间中的任何 Secret;对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!中的安全部分详细展开。
Kubernetes详解(四十一)——Secret创建
永远是少年
05-06 4754
今天继续给大家介绍Linux运维相关知识,本文主要内容是Secret创建。 一、--from-literal参数创建 二、--from-file参数创建 三、--from-env-file参数创建 四、清单创建
K8S:配置资源管理 Secret和configMap
Katie_ff的博客
10-07 1314
本文主要是对K8S的配置资源管理 Secret和configMap两者的介绍,Secret 主要是用来保存密码、token、密钥等敏感数据的 k8s 资源,这类数据虽然也可以存放在 Pod 或者镜像中,但是放在 secret 中是为了更方便的控制如何使用数据,并减少暴露的风险ConfigMap与Secret类似,区别在于configMap保存的是不需要加密配置的信息。并且对ConfigMap和Secret两者如何创建及应用场景、案例使用列举
k8s --使用secret
IT艺术家-rookie的博客
04-20 4012
为什么要使用secret 官网说明 以前一些数据库密码可能会写在配置文件中springboot工程中一般是application.yaml。有的会直接写明文,有的加密之后把密文写在配置文件中。 k8s中secret是一种包含少量敏感信息例如密码、令牌或密钥的对象。 这样的信息可能会被放在 Pod 规约中或者镜像中。 使用 Secret 意味着你不需要在应用程序代码中包含机密数据。 Secret 类似于 ConfigMap 但专门用于保存机密数据。 Pod使用Secret Pod有用三种方式来使用 Sec
K8S中的Secret创建和使用
分享式获得也是一种学习的态度
01-08 790
每个人都有惰性,但不断学习是好好生活的根本,共勉!
Kubernetes详解——Secret创建
jundao1997的专栏
11-13 896
但是根据给Secret指定数据方式的不同,我们可以有四种方法来创建Secret。–from-literal参数可以在命令行中指定Secret具体内容。该命令执行结果如下:从上图中可以看出,我们的Secret创建成功!
k8s secret 证书
05-13
Kubernetes Secret 是一个用来存储敏感数据的 Kubernetes 对象,包括 API 密钥、密码、 OAuth 令牌和 TLS 证书等。要创建一个 TLS 证书的 Secret,可以执行以下步骤: 1. 创建一个包含证书和私钥的 PEM 文件。可以通过 OpenSSL 等工具生成这个文件。 2. 将 PEM 文件的内容放入 Kubernetes Secret 中。可以使用 `kubectl create secret tls` 命令创建 Secret,如下所示: ``` kubectl create secret tls <secret-name> --cert=<path-to-cert-file> --key=<path-to-key-file> ``` 也可以将 PEM 文件的内容以 base64 编码的形式放入 Secret 中,如下所示: ``` kubectl create secret tls <secret-name> --cert=<path-to-cert-file> --key=<path-to-key-file> --dry-run=client -o yaml | kubectl apply -f - ``` 其中 `--dry-run=client -o yaml` 选项会将 Secret 的 YAML 配置输出到标准输出,`| kubectl apply -f -` 会将 YAML 配置应用到 Kubernetes 集群中。 3. 在需要使用证书的 Kubernetes 对象(如 Ingress、Service 等)的 YAML 配置中,将 Secret 的名称和证书密钥的名称指定为 TLS 配置的一部分,如下所示: ``` apiVersion: extensions/v1beta1 kind: Ingress metadata: name: my-ingress annotations: nginx.ingress.kubernetes.io/ssl-cert: <secret-name> spec: tls: - hosts: - example.com secretName: <secret-name> ... ``` 在这个例子中,`nginx.ingress.kubernetes.io/ssl-cert` 注解指定了使用哪个 Secret,`tls.secretName` 指定了 Secret 的名称。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值