3.8 Secret传递敏感数据

最新推荐文章于 2023-11-10 01:08:05 发布
最新推荐文章于 2023-11-10 01:08:05 发布
阅读量472 收藏
点赞数
分类专栏: k8s 文章标签: Opaque service account docker-registry secret
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010502101/article/details/108090244
版权

文章目录


前文介绍的都是通过镜像或者ConfigMap向容器传递数据或配置,都是明文进行传递的数据或配置是敏感的,比如账户密码等密钥之类的数据,用Secret加密方式传递可以保证数据安全性。Secret结构与ConfigMap类似,都是键值对形式。Secret有以下3种方式

  • Opaque:使用base64编码格式的信息,但base64编码的信息也可以用base64 --decode解码,安全性相对较弱;
  • service account:用于被 service account 引用,用来访问k8s的API。serviceaccout 创建时 Kubernetes 会默认创建对应的 secret。Pod 如果使用了 serviceaccount,对应的 secret 会自动挂载到 Pod 的 /run/secrets/kubernetes.io/serviceaccount 目录中;
  • kubernetes.io/dockerconfigjson:用于存储docker registry的认证信息。

一. Opaque 类型 Secret

Opaque类型的Secret,创建secret时传递的value值都是base64编码后的值,传到容器里面的值是base64解码后的值。

1 创建Secret

1.1 通过yaml创建Secret

例如lzj通过base64编码后的值为bHpqCg==,lzj@lzj通过base64编码后的值为bHpqQGx6ago=,下面创建secret.yaml文件

apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  username: bHpqCg==
  password: bHpqQGx6ago=

创建secret,kubectl apply -f secret.yaml

1.2 通过文件创建Secret

首先创建一个user.conf文件,文件中添加内容:

lzj
lzj@lzj

通过文件创建secret

kubectl create secret generic mysecret2 --from-file=user.conf

查看创建的mysecret2,kubectl get secret mysecret2 -o yaml,发现user.conf内容已经被编码base64进行传递

apiVersion: v1
data:
  user.conf: bHpqCmx6akBsemoK
kind: Secret
metadata:
  creationTimestamp: "2020-08-19T15:23:41Z"
  name: mysecret2
  namespace: default
  resourceVersion: "8630508"
  selfLink: /api/v1/namespaces/default/secrets/mysecret2
  uid: de58bb77-3ce6-4930-a607-61fc6bb1e6d2
type: Opaque

2 利用Secret

2.1 将Secret挂载到Volume中

将上面创建的mysecret2挂载到volume中,容器从volume卷中读取账户密码文件。首先创建pod为例,如下所示:

apiVersion: v1
kind: Pod
metadata:
  name: secret-pod1
spec:
  containers:
  - name: mynginx1
    image: nginx
    imagePullPolicy: IfNotPresent
    volumeMounts:
    - name: user
      mountPath: /home/conf
      readOnly: true
  volumes:
  - name: user
    secret:
      secretName: mysecret2

创建pod ,kubectl apply -f pod1.yaml,然后进容器查看传递的mysecret2,发现传递到容器的user.conf已经被解码

[root@k8s-master01 pod]# kubectl exec -it secret-pod1 -- /bin/sh
# cd /home/conf
# ls
user.conf
# cat user.conf
lzj
lzj@lzj

2.2 将Secret导入到容器环境变量中

将上面创建的mysecret导入到容器环境变量中,创建mysecret用的base64编码的值,导入到容器中后就是解码的值了。首先创建pod的yaml如下

apiVersion: v1
kind: Pod
metadata:
  name: secret-pod2
spec:
  containers:
  - image: busybox
    name: buysbox1
    imagePullPolicy: IfNotPresent
    command: ["/bin/sh", "-c", "sleep 300"]
    env:
    - name: USER_NAME
      valueFrom:
        secretKeyRef:
          name: mysecret
          key: username
    - name: USER_PASSWORD
      valueFrom:
        secretKeyRef:
          name: mysecret
          key: password

创建该pod,并进入容器查看环境变量,发现已经时解码后的值

[root@k8s-master01 pod]# kubectl apply -f pod2.yaml 
pod/secret-pod2 created

[root@k8s-master01 pod]# kubectl exec secret-pod2 -it -- /bin/sh
/ # env
......
USER_PASSWORD=lzj@lzj
USER_NAME=lzj
......

二、service account 类型 Secret

Serice Account类型的Secret会默认挂载到所有容器中,Serice Account用来访问k8s API,由k8s自动创建,并且创建后会自动挂载到/var/run/secrets/kubernetes.io/serviceaccount目录中。对于每一个pod执行describe命令可以查看到挂载的default-token-sk5fk的secret。

[root@k8s-master01 pod]# kubectl describe pod secret-pod2
Name:         secret-pod2
Namespace:    default
......
    Mounts:
      /var/run/secrets/kubernetes.io/serviceaccount from default-token-sk5fk (ro)
Conditions:

Volumes:
  default-token-sk5fk:
    Type:        Secret (a volume populated by a Secret)
    SecretName:  default-token-sk5fk
    Optional:    false

[root@k8s-master01 pod]# kubectl get secret
NAME                  TYPE                                  DATA   AGE
default-token-sk5fk   kubernetes.io/service-account-token   3      82d
mysecret              Opaque                                2      2d2h
mysecret2             Opaque                                1      2d

三、kubernetes.io/dockerconfigjson 类型secret

创建docker仓库用来鉴权的registry,比如创建一个对docker hub的鉴权,在k8s中运行容器时,可以直接从docker hub上pull镜像。达到此功能,需创建一个docker-registry类型的secret,然后指定登录docker hub的用户名、密码、邮箱,然后在创建pod时运用该secret即可。
1、首先创建一个docker-registry类型的secret

kubectl create secret docker-registry myregistry --docker-server=hub.docker.com --docker-username=xxxxxxx --docker-password=xxxxxx --docker-email=xxxxx@163.com

2、创建pod,利用secret从docker hub中拉取镜像

apiVersion: v1
kind: Pod
metadata:
  name: myhello
spec:
  containers:
  - name: myhello
    image: softwarebird/my_hello
  imagePullSecrets:
  - name: myregistry

通过yaml创建pod,容器会从docker hub上拉取softwarebird/my_hello最新的镜像。

苍鹰蛟龙
关注
专栏目录
数据安全之——如何防范数据泄露
程序员光剑
08-08 298
2020年全球数据泄露事件频发,数字经济在不断蓬勃发展,海量数据的产生、处理和应用已经成为社会共识。无论是企业、组织还是个人都面临着巨大的风险,如何保障自身的隐私信息和数据安全,提升个人信息的保护水平,成为了影响普通人的重大问题。作为一个安全专业的人,如何加强对数据的管理、安全和使用的保障,是每个从事相关工作的人必备的技能。本文将介绍一些常用的数据安全措施及建议,以及应对数据泄露的策略,希望能对读者有所帮助。
网络工程师需要熟悉Docker吗?我觉得不需要精通,但是得懂基础
最新发布
网络技术联盟站
07-02 579
创建自定义桥接网络docker network create 将容器连接到自定义网络docker run --network mynetwork Docker作为现代容器化技术的核心,极大地改变了软件开发、测试和部署的方式。最后我们来个简单的总结,方便大家快速的掌握本文内容,能看到最后的勇士,可以好好记总结部分。
3.8 Docker最新入门教程-Docker入门-使用 Docker Compose
m0_73829151的博客
11-18 719
请记住,这是我们用来定义应用程序容器的命令。$(pwd)$(pwd)首先,让我们为容器定义服务入口和镜像。我们可以为服务选择任何名称。该名称将自动成为网络别名,这在定义我们的 MySQL 服务时会很有用。通常,您会看到command临近image定义的值,尽管对排序没有要求。所以,让我们继续将它移到我们的文件中。让我们通过为服务定义 来迁移命令的一部分。ports我们将在这里使用短语法,但也可以使用更冗长的长语法。
Kubernetes 一文理解Secret使用场景
小楼一夜听春雨,深巷明朝卖杏花
09-27 566
Secret 解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Spec 中。Secret 可以以 Volume 或者环境变量的方式使用。
kubernetes-9 存储之Secret配置管理Service AccountOpaquedockerconfigjson
Ma_JunSSR的博客
08-05 815
1、什么是Secret? Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 ssh key。 敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。 Pod 可以用两种方式使用 secret: (1)作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里。 (2)当 kubelet 为 pod 拉取镜像时使用。 Secret的类型: (1)Service Account:Kubernetes 自动创建包含访问 API 凭据的 secret,并
k8s实践(7)- k8s Secrets
黄规速博客:学如逆水行舟,不进则退
06-16 1184
Secrets是Kubernetes中一种对象类型,用来保存密码、私钥、口令等敏感信息。与直接将敏感信息嵌入image、pod相比,Secrets更安全、更灵活,用户对敏感信息的控制力更强。同Docker对敏感信息的管理类似,首先用户创建Secrets将敏感信息加密后保存在集群中,创建pod时通过volume、环境变量引用Secrets。 1. Secret类型 Secret有三种类型: O...
k8s-secret 配置使用secret
weixin_44204737的博客
04-27 1559
◆ kubernetes.io/basic-auth:用于使用基本认证(账号密码)的Secret,可以使用Opaque取代;secret的使用方式和configmap很像,secret使用加密的方式更加安全,configmap更适合传递配置文件。◆ kubernetes.io/tls:用于存储HTTPS域名证书文件的Secret,可以被Ingress使用;◆ kubernetes.io/dockerconfigjson:下载私有仓库镜像使用的Secret,◆Opaque:通用型Secret,默认类型;
SpringBoot编程基础教程:安全和身份验证
程序员光剑
11-10 80
安全性在现代社会是一个非常重要的话题。从物理到数字,安全意味着保护用户、企业及其数据不受侵犯,防止信息泄露或丢失、隐私泄漏等安全风险发生。无论是个人电脑、手机、服务器还是其他网络设备,安全都是非常重要的。另外,随着互联网的普及,越来越多的人把注意力放在了在线上以及网络交易中,而这些交易往往涉及到一些私密的信息。因此,如何确保在线交易中的信息安全就显得尤为重要。
spring - secruity
casepk的专栏
02-02 1013
下面只介绍了Servlet应用程序的,响应式的未写。由于是翻译的参考文档,有些地方应该词不达意。 1、介绍 Spring Security是一个强大且高度可定制的认证和访问控制框架。它是基于Spring的应用程序的事实上的安全标准。 主要特性: 支持全面和可扩展的身份验证和授权; 防止各种攻击,如会话固定攻击,点击劫持,跨网站请求伪造等; 集成Servlet API; 与Spring...
2.SDL规范文档
weixin_30872337的博客
02-27 2291
01.安全设计Checklist 输入验证 校验跨信任边界传递的不可信数据(策略检查数据合法性,含白名单机制等)格式化字符串时,依然要检验用户输入的合法性,避免可造成系统信息泄露或者拒绝服务 禁止向Java Runtime.exec()方法传递不可信、未净化的数据(当参数中包含空格,双引号,以-或者/符号开头表示一个参数开关时,可能会导致参数注入漏洞),建议如果可以禁止JVM...
kubernetes使用 (十四) Secret 加密凭证
默子昂
01-25 2457
Secret 这个单词我百度了一下,意思是"秘密" (。・∀・)ノ) Secret主要是用来对数据进行加密,并将加密后的数据存放在etcd中, 可以在使用时让pod容器,以挂载的方式进行访问 他给我们提供了一定的安全性,所以会经常用来存放一些密码、密钥等重要的数据 Secret 常用的类型 1. Opaque #base64 编码格式的 Secret,用来存储密码、密钥等; #但数据也可以通过base64 –decode解码得到原始数据,所有加密性很弱。 ...
k8s学习(十二) 使用secret
文若书生的专栏
09-02 5401
ConfigMap是用来存储一些非安全的配置信息,如果涉及到一些安全相关的数据的话用ConfigMap就非常不妥了, 因为ConfigMap明文存储的,这个时候使用Secret,Secret用来保存敏感信息,例如密码、OAuth 令牌和 ssh key等等, 将这些信息放在Secret中比放在Pod的定义中或者docker镜像中来说更加安全和灵活。 Secret有三种类型: Opaque:bas...
kubernetes的Service Accountsecret
热门推荐
柳清风的专栏
06-04 2万+
Service AccountService Account概念的引入是基于这样的使用场景:运行在pod里的进程需要调用Kubernetes API以及非Kubernetes API的其它服务。Service Account它并不是给kubernetes集群的用户使用的,而是给pod里面的进程使用的,它为pod提供必要的身份认证。kubectl get sa --all-namespacesNAME
K8S配置管理---secret与configmap
L2111533547的博客
08-07 796
在部署应用程序时,我们都会涉及到应用的配置,在容器中,如Docker容器中,如果将配置文件打入容器镜像,这种行为等同于写死配置,每次修改完配置,镜像就得重新构建。当然,我们也可以通过挂载包含该文件的卷进行配置管理和修改。而在k8s中,我们要讲一种更好的方式,即ConfigMap,这种资源对象的出现,更是极大的方便了应用程序的配置管理。   ConfigMap是一个或多个key/value的形式保存在k8s中,内部可以管理变量也可以管理完整的配置文件内容。注:在使用命令的时候注意单词: configmap等价
kubernetes(k8s):secret配置管理
weixin_43936969的博客
05-20 1264
文章目录1. secret配置管理的作用和类型2. 查看卷的挂载3. 每个namespace下有一个名为default的默认的serviceaccount对象4. opaque secret其value为base64编码后的值4.1 从文件中创建secret4.2 编写一个secret对象4.3 将secret挂载到volume中4.4 向指定路径映射secret密钥4.5 将secret设置为环境变量4.6 kubernetes.io/dockerconfigjson用于存储docker registry
Linux企业运维——Kubernetes(十)存储之Secret配置管理
weixin_44310047的博客
08-06 439
Linux企业运维——Kubernetes(十)存储之Secret配置管理 文章目录Linux企业运维——Kubernetes(十)存储之Secret配置管理1、Secret简介2、ServiceAccount3、Opaque Secret3.1、从文件中创建secret3.2、使用yaml文件创建secret3.3、将Secret挂载到Volume中3.4、向指定路径映射 secret 密钥3.5、将Secret设置为环境变量3.6、kubernetes.io/dockerconfigjson存储dock
一种基于http协议的敏感数据传输方案
weixin_33753845的博客
01-11 1047
最近公司需要通过公网与其它平台完成接口对接,但是基于开发时间和其它因素的考虑,本次对接无法采用https协议实现。既然不能用https协议,那就退而求其次采用http协议吧! 那么问题来了!在对接的过程中我们需要对如下问题进行相关的考虑: 1、敏感信息的不可见性   使用http协议传输数据很容易被抓包监听传输内容,如果这些数据中存在敏...
java编程规范
weixin_38166560的博客
04-05 1135
地址 一、单选题 1. 如下关于集合类的描述错误的是 B A. 含有集合意义的属性命名,尽量包含其复数的意义 B. 集合中的数据不需要释放,垃圾回收器会自动回收 C. 集合必须指定模板类型 D. 使用集合类时要设置初始化容量 2. 关于线程以下说法错误的有B A. 新起一个线程,都要使用Thread.setName(“…”)设置线程名 B. 在JDK1.5或更新的版本中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值