kubernetes Secret 使用方法,个人学习记录

最新推荐文章于 2023-10-07 09:01:23 发布
最新推荐文章于 2023-10-07 09:01:23 发布
阅读量494 收藏
点赞数
分类专栏: kubernetes 文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shm19990131/article/details/106801704
版权

kubernetes Secret

secret 解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Sepc 中。 Secret 可以以 Volume 或者环境变量的方式使用。


Secret 有三种类型:

  • Service Account:用来访问 Kubernetes API ,由 kubernetes 自动创建,并且会自动挂载到 Pod 的 /run/secrets/kubernetes.io/serviceaccount 目录当中
  • Opaque:base64编码格式的 Secret,用来存储密码、密钥
  • kubernetes.io/dockerconfigjson:用来存储私有 docker registry 的认证信息


Service Account(SA)

进入一个容器:kubectl exec nginx-deployment-f5945d6fc-m57zl -it -- /bin/bash

进入该目录:/run/secrets/kubernetes.io/serviceaccount

存在三个认证文件:ca.crt namespace token

默认存在一个Account 的 secret :kubectl get secret

在这里插入图片描述

Opaque Secret

Ⅰ、创建说明

Opaque 类型的数据是一个 map 类型,要求 value 是 base64 编码格式:

[root@k8s-master ~]# echo "admin" | base64
YWRtaW4K
[root@k8s-master ~]# echo "123.com" | base64
MTIzLmNvbQo=

解密:echo -n "YWRtaW4K"  | base64 -d
admin

secret.yaml

apiVersion: v1
kind: Secret
metadata: 
  name: mysecret
type: Opaque
data: 
  password: MTIzLmNvbQo=
  username: YWRtaW4K

查看创建成功后的 secret

kubectl get secret kubectl describe secret mysecret


Ⅱ、使用方法

1、将定义好的 Secret 挂载到 Volume 数据卷中
apiVersion: v1	
kind: Secret			#定义一个Secret
metadata: 
  name: mysecret		#名字叫 mysecret
type: Opaque			#类型是 Opaque
data: 				#保存的数据
  password: MTIzLmNvbQo=	#密码:*
  username: YWRtaW4K		#用户名:*

#如果没有定义 Secret 将以上内容一并复制,如果提前定义好了则直接复制下面的内容
---
apiVersion: v1	
kind: Pod
metadata: 
  labels: 
    app: secret-test	
  name: secret-test
spec:		
  volumes: 				#准备一个数据卷	
     - name: secrets			#数据卷的名字
       secret: 				#数据卷内容从secret挂载
         secretName: mysecret		#指定secret的名字
  containers: 				#容器
     - name: nginx-secret		#容器名字
       image: nginx:1.9.1		#容器镜像
       imagePullPolicy: IfNotPresent	#镜像策略
       volumeMounts: 			#挂载数据卷
       	  - name: secrets		#挂载数据卷的名字
       	    mountPath: "/etc/secrets"	#挂载到容器的哪个路径下
       	    readOnly: true		#只读权限

查看数据卷共享效果

kubectl exec secret-test -it -- /bin/bash
root@secret-test:/# cd /etc/secrets
root@secret-test:/etc/secrets# ls
password  username


2、将 Secret 导出到环境变量中

通过 ENV 来定义变量名,为变量名赋予 secret 的键值对数据

apiVersion: apps/v1
kind: Deployment
metadata:
 name: pod-deployment
spec: 
  replicas: 2
    matchLabels:
      app: pod-deployment
  template: 
    metadata: 
      labels: 
        app: pod-deployment
    spec:
      containers: 
         - name: nginx-1
           image: nginx:1.9.1
           ports: 
             - containerPort: 80
           env: 
             - name: NGINX_USER
               valueFrom: 
                 secretKeyRef: 
                   name: mysecret 
                   key: username
             - name: NGINX_PASSWD
               valueFrom: 
                 secretKeyRef: 
                   name: mysecret
                   key: password

查看容器的 env 环境变量是否赋值

kubectl exec pod-deployment-77dcfb5bc7-g9z45 -it – env

在这里插入图片描述

kubernetes.io/dockerconfigjson 私有仓库认证

使用 kubectl 创建 docker registry 认证的 secret ,如下固定格式单词,不能随意改变

#样板格式
$ kubectl create secret docker-registry myregistrykey \
--docker-server=DOCKER_REGISTRY_SERVER \
--docker-username=DOCKER_USER \
--docker-password=DOKCER_PASSWORD \
--docker-email=DOCKER_EMAIL


#根据自己的情况指定,docker-server可以是主机名
$ kubectl create secret docker-registry myregistrykey \
--docker-server=192.168.168.14 \
--docker-username=admin \
--docker-password=Harbor12345 \
--docker-email=1136265636@qq.com


#secret "myharborKey" created 成功

创建一个 Pod,主要 image 指定私有仓库,使用 myregistrykey 进行 harbor 权限认证

apiVersion: v1
kind: Pod
metadata: 
  name: nginx
spec: 
  containers: 
    - name: nginx
      image: 192.168.168.14/harbor/nginx:latest
  imagePullSecrets:
    - name: myregistrykey

在执行 Pod 的同时会通过 myregistrykey secret策略 对 Harbor 仓库进行认证
kubectl describe pod nginx
在这里插入图片描述

 清欢渡.
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
synator:Synator Kubernetes Secret和ConfigMap同步器
04-23
Synator Kubernetes Secret和ConfigMap同步器 有时,我们想在不同的名称空间中使用机密,不幸的是,我们不能没有任何辅助运算符或手动复制,因为在kubernetes中,机密和configmaps是名称空间。 当我们有几个命名空间...
k8s的Secret(密文)和configmap(明文)的使用
很多时候犯错都是在不知情的情况下发生的
08-13 4874
执行一下。
Kubernetessecrets使用
Harry的博客
10-11 3777
Secret解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。 ​
【CKA考试笔记】七、密码管理
戴陵FL的博客
07-05 843
secret于configMap的创建和使用
KubernetesSecret使用详解
热门推荐
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
10-26 1万+
Secret解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用Secret类型 Secret有三种类型: Opaque:base64编码格式的Secret,用来存储密码、密钥等;但数据也通过base64 –decode解码得到原始数据,所有加密性很弱。 kubernetes.io/doc...
k8s初级实战09--Secret
脚步不能达到的地方,眼光可以达到;眼光不能达到的地方,精神可以飞到
01-09 753
k8s初级实战09--Secret1 基础概念2 常见用法2.1 创建configmap2.2 使用configmap3 注意事项4 说明 1 基础概念 2 常见用法 2.1 创建configmap 2.2 使用configmap 3 注意事项 4 说明 github feiskyer/kubernetes-handbook/blob/master/concepts/secret ...
kubernetes学习
最新发布
01-22
Kubernetes学习是指学习Kubernetes的安全配置资源Secret,ConfigMap和downwardAPI的概念和使用方法Secret是Kubernetes集群中的一种配置管理资源对象,主要用于存储密码、OAuth令牌和SSH密钥等敏感信息。ConfigMap...
kubernetes-secret-manager:使用Kubernetes集群中的Vault管理秘密
02-03
目标该项目的主要目的是允许从MySQL数据库请求动态机密,并使Kubernetes集群中的Pod能够使用这些动态密码。 机密应与租约相关联,以使它们在预定义的ttl之后过期,并且应在满足最大ttl之前旋转机密。 应当执行该实现...
kubernetes-learning.pdf
06-04
k8s学习 介绍 序⾔ 课程介绍 Docker 基础 Docker 简介 镜像和容器的基本操作 Dockerfile 定制镜像 私有镜像仓库 数据共享与持久化 Docker 的⽹络模式 Docker 三架⻢⻋ Docker Compose Docker Machine Docker Swarm ...
kubernetes-vault:使用保管库存储Kubernetes的机密!
02-03
Kubernetes Vault集成 Kubernetes-Vault项目允许吊舱... 您必须使用正确的策略生成定期令牌,才能使用AppRole后端生成secret_id 。 Kubernetes-Vault控制器使用Kubernetes服务帐户来监视新的Pod。 该服务帐户必须具
k8s 向容器提供配置 变量信息总结configmap
码农崛起
01-26 6884
以下将介绍向容器提供配置信息的几种方法 通过命令行参数进行配置 在制作Docker镜像时,Dockerfile中的ENTRYPOINT和CMD指令可用于指定容器启动时要运行的程序及相关参数。CMD指令以列表的形式指定要运行的程序和相关参数,但是如果同时存在ENTRYPOINT指令,则CMD指令中列表的所有元素都将被作为由ENTRYPOINT指定程序的命令行参数。另外在基于某镜像使用Docker命令创建容器时,可以在命令行向ENTRYPOINT中的程序传递额外的自定义参数,甚至还可以修改...
k8s Configmap配置与Secret加密
MrLee的博客
07-28 1874
ConfigMap功能在Kubernetes1.2版本中引入,许多应用程序会从配置文件、命令行参数或环境变量中读取配置信息。ConfigMapAPI给我们提供了向容器中注入配置信息的机制,ConfigMap可以被用来保存单个属性,也可以用来保存整个配置文件或者JSON二进制大对象。将配置信息放到configmap对象中,然后在pod的对象中导入configmap对象,实现导入配置的操作。ConigMap是一种API对象,用来将非机密性的数据保存到键值对中。......
Kubernetes 笔记(05)— 创建 ConfigMap/Secret 对象、分别使用环境变量Env和 Volume 配置ConfigMap/Secret 对象
wohu1104的专栏
01-14 1882
ConfigMap记录了一些Key-Value格式的字符串数据,描述字段是data,不是spec。Secret与ConfigMap很类似,也使用data保存字符串数据,但它要求数据必须是Base64编码,起到一定的保密效果。在Pod的字段中可以引用ConfigMap和Secret,把它们变成应用可以访问的环境变量。在Pod的字段中可以引用ConfigMap和Secret,把它们变成存储卷,然后在字段中加载成文件的形式。ConfigMap和Secret。
Kubernetes 集群安全
果子哥丶的博客
10-07 629
Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部各个组件通信的中介,也是外部控制的入口。所以Kubernetes的安全机制基本就是围绕保护API Server来设计的。Kubernetes使用了认证(Authentication)、鉴权(Authorization)、准入控制(Admission Control)三步来保证API Server的安全
K8S:配置资源管理 Secret和configMap
Katie_ff的博客
10-07 1255
本文主要是对K8S的配置资源管理 Secret和configMap两者的介绍,Secret 主要是用来保存密码、token、密钥等敏感数据的 k8s 资源,这类数据虽然也可以存放在 Pod 或者镜像中,但是放在 secret 中是为了更方便的控制如何使用数据,并减少暴露的风险ConfigMap与Secret类似,区别在于configMap保存的是不需要加密配置的信息。并且对ConfigMap和Secret两者如何创建及应用场景、案例使用列举
每天5分钟玩转Kubernetes | 查看Secret
COCO_gsta的博客
06-24 832
书籍来源:cloudman《每天5分钟玩转Kubernetes》一边学习一边整理老师的课程内容及试验笔记,并与大家分享,侵权即删,谢谢支持!通过kubectl get secret查看存在的secret,如图所示。显示有两个数据条目,通过kubectl describe secret查看条目的Key,如图所示。如果还想查看Value,可以用kubectl edit secret mysecret,如图所示。然后通过base64将Value反编码,如图所示。......
kubernetes secret 管理
爱死亡机器人
09-15 4466
Secret 概览 Secret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 这样的信息可能会被放在 Pod 规约中或者镜像中。 用户可以创建 Secret,同时系统也创建了一些 Secret。 要使用 Secret,Pod 需要引用 Secret。 Pod 可以用三种方式之一来使用 Secret: 作为挂载到一个或多个容器上的 卷 中的文件。 作为容器的环境变量 由 kubelet 在为 Pod 拉取镜像时使用 使用 kubectl 创建 Secret # 创建本例中要使用的文件 echo -
k8s实践(7)- k8s Secrets
黄规速博客:学如逆水行舟,不进则退
06-16 1075
Secrets是Kubernetes中一种对象类型,用来保存密码、私钥、口令等敏感信息。与直接将敏感信息嵌入image、pod相比,Secrets更安全、更灵活,用户对敏感信息的控制力更强。同Docker对敏感信息的管理类似,首先用户创建Secrets将敏感信息加密后保存在集群中,创建pod时通过volume、环境变量引用Secrets。 1. Secret类型 Secret有三种类型: O...
kubernetes使用 (十四) Secret 加密凭证
默子昂
01-25 2359
Secret 这个单词我百度了一下,意思是"秘密" (。・∀・)ノ) Secret主要是用来对数据进行加密,并将加密后的数据存放在etcd中, 可以在使用时让pod容器,以挂载的方式进行访问 他给我们提供了一定的安全性,所以会经常用来存放一些密码、密钥等重要的数据 Secret 常用的类型 1. Opaque #base64 编码格式的 Secret,用来存储密码、密钥等; #但数据也可以通过base64 –decode解码得到原始数据,所有加密性很弱。 ...
Kubernetes Secret 的几种类型
02-21
Kubernetes Secret 有四种类型:Opaque、Service Account、docker-registry 和 tls。Opaque 是最常用的类型,用于存储任意类型的数据;Service Account 用于存储服务帐户信息;docker-registry 用于存储对私有的 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值