k8s初级实战09--Secret

最新推荐文章于 2024-06-07 08:56:23 发布
最新推荐文章于 2024-06-07 08:56:23 发布
阅读量791 收藏 1
点赞数
分类专栏: K8S & Docker 文章标签: Secret k8s k8s sectet imagePullSecret
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011127242/article/details/112390149
版权

k8s初级实战09--Secret

1 基础概念

Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 SSH 密钥。 将这些信息放在 secret 中比放在 Pod 的定义或者 容器镜像 中来说更加安全和灵活。
Secret 解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Spec 中。Secret 可以通过 Volume 或者环境变量的方式使用。

在创建 Secret 对象时,你可以使用 Secret 资源的 type 字段,或者与其等价的 kubectl 命令行参数(如果有的话)为其设置类型。截至1.19版本,K8S提供了多种内置的类型,具体如下:

内置类型用法
Opaque用户定义的任意数据
kubernetes.io/service-account-token服务账号令牌
kubernetes.io/dockercfg ~/.dockercfg文件的序列化形式
kubernetes.io/dockerconfigjson ~/.docker/config.json文件的序列化形式
kubernetes.io/basic-auth用于基本身份认证的凭据
kubernetes.io/ssh-auth用于 SSH 身份认证的凭据
kubernetes.io/tls用于 TLS 客户端或者服务器端的数据
bootstrap.kubernetes.io/token启动引导令牌数据

2 常见用法

2.1 创建 secret

  1. 通过文件创建 secret
    % echo -n 'admin' > ./username
% echo -n 'kubernetes' > ./password
% kubectl create secret generic sec-data01 --from-file=./username --from-file=./password
secret/sec-data01 created
查看secret数据:
% kubectl get secrets sec-data01 -o go-template='{{.data}}'
map[password:a3ViZXJuZXRlcw== username:YWRtaW4=]%
  2. 手动加密
    默认情况下使用base64进行加密,如下直接通过base64加密,其值和secret中的加密结果相同:
% echo -n 'admin'|base64
YWRtaW4=
% echo -n 'kubernetes'|base64
a3ViZXJuZXRlcw==
对加密数据进行解密:
% echo 'YWRtaW4='|base64 --decode 
admin% 

% vim sec-data01.yaml 
apiVersion: v1
data:
  password: a3ViZXJuZXRlcw==
  username: YWRtaW4=
kind: Secret
metadata:
  name: sec-data01

2.2 使用 secret

  1. pod卷挂载 secret
    该方式会将secret信息挂载到指定的目录,然后让容器中的程序通过挂载目录的文件来读取secret的内容。
    % vim pod-sec-data01.yaml 
apiVersion: v1
kind: Pod
metadata:
 name: sec-data01
spec:
 containers:
 - name: busybo-sec
   image: busybox:1.32
   volumeMounts:
   - name: config-volume 
     mountPath: /my-config
 volumes:
 - name: config-volume 
   secret:
     secretName: sec-data01
创建pod:
% kubectl apply -f pod-sec-data01.yaml
pod/sec-data01 created
查看secret挂载情况:
/ # ls /my-config/
password  username
/ # cat /my-config/username 
admin/ # 
/ # cat /my-config/password 
kubernetes/ #
  2. pod环境变量使用 secret
    该方式会将secret的key加载到pod的container env中,使用时需要通过 env[x].valueFrom.secretKeyRef 指定要包含的 Secret 名称和键名。
    % cat pod-env-sec-data02.yaml 
apiVersion: v1
kind: Pod
metadata:
  name: env-sec-data01
spec:
  containers:
  - name: busybo-sec
    image: busybox:1.32
    command: ['sh', '-c', 'sleep 1000000']
    env:
      - name: SECRET_USERNAME
        valueFrom:
          secretKeyRef:
            name: sec-data01
            key: username
      - name: SECRET_PASSWORD
        valueFrom:
          secretKeyRef:
            name: sec-data01
            key: password
创建pod:
% kubectl apply -f pod-env-sec-data02.yaml 
pod/env-sec-data01 created
查看环境变量:
% kubectl exec -it  env-sec-data01 -- env|grep SEC
SECRET_USERNAME=admin
SECRET_PASSWORD=kubernetes
``

2.3 imagePullSecret 控制镜像访问权限

to add

3 注意事项

  1. 除了基本的secret外,也可以通过 immutable: true 字段来创建不可更改的Secret

4 说明

概念->配置->Secret
github feiskyer/kubernetes-handbook/blob/master/concepts/secret

k8s核心操作_存储抽象_K8S中使用Secret功能来存储密码_使用免密拉取镜像_k8s核心实战总结---分布式云原生部署架构搭建033
添柴程序猿的专栏
07-17 8780
可以看到这个是镜像内容,注意这里面没有引入secret,上面的配置文件引入了,可以先去掉.看效果。比如我们在公共仓库中个guignginx仓库,我们看到右边,显示他现在是。可以看到拉取镜像的时候报错了对吧,说access denied 因为镜像是私有的.然后下面我们会看一个更强大的,工具,可以进行完全在线,将监控等等,都统合起来。我们现在是从公共仓库拉取的,如果我们从私有仓库拉取,有密码。比如我们有个pod,他的镜像,如果是需要密码的,那么。
hadoop组件---spark实战----spark on k8s模式k8s原生方式安装spark2.4.4 client mode和使用
直到世界的尽头
02-06 1763
我们在之前的文章中已经安装了cluster mode模式和尝试了使用。 hadoop组件—spark实战----spark on k8s模式k8s原生方式安装spark2.4.4 cluster mode hadoop组件—spark实战----spark on k8s模式k8s原生方式—cluster mode调用运行spark程序 本篇文章尝试安装client mode。 两种模式的区别 c...
Kubernetes基础:Secrets管理与环境变量引用方式
知行合一 止于至善
12-02 976
在容器化的实践之中,密码、token等信息的安全管理一直是一个问题,而在Kubernetes中可以使用Secrets可以在一定程度上解决这一问题。Secrets是Kubernetes中的一种对象类型,用来保存密码、token、私钥等敏感信息。
k8s——secret配置资源管理
最新发布
sea_bunch的博客
06-07 1665
Secret类似,区别在于ConfigMap保存的是不需要加密配置的信息。
K8s存储-----(二)Secret配置管理
qq_41582883的博客
03-01 3406
kubectl get sa kubectl describe sa default kubectl get secrets kubectl get pod kubectl describe pod demo-5756f5b97-xwv46 ## 在容器内执行指令 [root@server2 mnt]# kubectl exec demo-5756f5b97-xwv46 -- ls /var/run/secrets/kubernetes.io/serviceaccount ca.crt namesp
k8s实践(7)- k8s Secrets
黄规速博客:学如逆水行舟,不进则退
06-16 1194
Secrets是Kubernetes中一种对象类型,用来保存密码、私钥、口令等敏感信息。与直接将敏感信息嵌入image、pod相比,Secrets更安全、更灵活,用户对敏感信息的控制力更强。同Docker对敏感信息的管理类似,首先用户创建Secrets将敏感信息加密后保存在集群中,创建pod时通过volume、环境变量引用Secrets。 1. Secret类型 Secret有三种类型: O...
K8S:配置资源管理 Secret和configMap
Katie_ff的博客
10-07 1422
本文主要是对K8S的配置资源管理 Secret和configMap两者的介绍,Secret 主要是用来保存密码、token、密钥等敏感数据的 k8s 资源,这类数据虽然也可以存放在 Pod 或者镜像中,但是放在 secret 中是为了更方便的控制如何使用数据,并减少暴露的风险ConfigMap与Secret类似,区别在于configMap保存的是不需要加密配置的信息。并且对ConfigMap和Secret两者如何创建及应用场景、案例使用列举
k8s实战视频-百度云
04-16
k8s实战视频-百度云
K8S实战】-超详细教程(一)
qq_44150902的博客
06-27 6652
K8S环境搭建可以看这篇文章【k8s搭建(超详细,保姆级教程)】,这里就不过多赘述了,有疑问欢迎留言。K8S的资源创建一般有2种:主要用于资源访问的隔离。使用命令方式实现对命名空的创建与删除。 3.2、使用Yaml操作Namespace 创建一个名为ns.yaml的文件,文件内容如下: 使用Yaml方式对命名空进行创建与删除。 4、pod pod是K8S运行的最小单位。可以理解类似Docker的最小运行单位容器,只不过K8S是在Docker容器的基础上再封装一层,也就是说一个pod可以运行一个或多个容器(后
k8s中安装docker-jenkins2.328-java-jdk-maven详细笔记资料包
06-27
k8s中安装docker-jenkins2.328-java-jdk-maven详细笔记资料包,jenkins+k8s+maven+node项目整合,详细笔记资料包
k8s学习(十二) 使用secret
文若书生的专栏
09-02 5416
ConfigMap是用来存储一些非安全的配置信息,如果涉及到一些安全相关的数据的话用ConfigMap就非常不妥了, 因为ConfigMap明文存储的,这个时候使用SecretSecret用来保存敏感信息,例如密码、OAuth 令牌和 ssh key等等, 将这些信息放在Secret中比放在Pod的定义中或者docker镜像中来说更加安全和灵活。 Secret有三种类型: Opaque:bas...
k8s Configmap配置与Secret加密
MrLee的博客
07-28 2014
ConfigMap功能在Kubernetes1.2版本中引入,许多应用程序会从配置文件、命令行参数或环境变量中读取配置信息。ConfigMapAPI给我们提供了向容器中注入配置信息的机制,ConfigMap可以被用来保存单个属性,也可以用来保存整个配置文件或者JSON二进制大对象。将配置信息放到configmap对象中,然后在pod的对象中导入configmap对象,实现导入配置的操作。ConigMap是一种API对象,用来将非机密性的数据保存到键值对中。......
k8s如何配置secret保存harbor仓库账号密码、pod中怎么使用harbor仓库镜像
MssGuo的博客
10-14 4750
k8s如何配置secret保存harbor仓库账号密码、pod中怎么使用harbor仓库镜像
k8sSecret(密文)和configmap(明文)的使用
很多时候犯错都是在不知情的情况下发生的
08-13 5123
执行一下。
6.k8s中的secrets资源
qq_22321199的专栏
05-01 1472
secret资源就是将value的值使用base64编译后传输,当pod引用secret后,k8s会自动将其base64的编码,反编译回正常的字符串;因为,k8s拉取镜像与Docker拉取镜像是不同的方式,所以k8s需要创建一个属于自己的拉取镜像的方式;secrets资源,类似于configmap资源,只是secrets资源是用来传递重要的信息的;#指定镜像拉取的secret资源(secret的拉取镜像类型);# 登录pod资源查看env变量。# 编辑secrets资源清单。# 创建secret资源。
k8s配置管理——secret与configmap
qq_21305943的专栏
08-11 1146
Secret 解决了密码、token、秘钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Spec 中。Secret 可以以 Volume 或者环境变量的方式使用。Secret:保存加密文件;加密数据并存放在Etcd中,让Pod的容器以挂载Volume方式访问secret 可选参数有三种:generic: 通用类型,通常用于存储密码数据。tls:此类型仅用于存储私钥和证书。docker-registry: 若要保存 docker 仓库的认证信息的话,就必须使用此种类型来创建。
kubernetes使用 (十四) Secret 加密凭证
默子昂
01-25 2496
Secret 这个单词我百度了一下,意思是"秘密" (。・∀・)ノ) Secret主要是用来对数据进行加密,并将加密后的数据存放在etcd中, 可以在使用时让pod容器,以挂载的方式进行访问 他给我们提供了一定的安全性,所以会经常用来存放一些密码、密钥等重要的数据 Secret 常用的类型 1. Opaque #base64 编码格式的 Secret,用来存储密码、密钥等; #但数据也可以通过base64 –decode解码得到原始数据,所有加密性很弱。 ...
【云原生】k8s配置资源管理
qq_62462797的博客
01-08 1437
使用 Secret 资源挂载的方式在 pod.spec.volumes 字段中定义卷类型为 secret在 pod.spec.containers.volumeMounts 字段中把存储卷挂载到指定的容器目录,secret资源数据的key将以文件名的形式存在,value为文件内容容器环境变量引用的方式在 pod.spec.containers.env.name 字段中自定义容器的环境变量名。
Kubernets笔记(十六)--Secrect
BigData_Mining的博客
08-13 472
Secret 上节课我们学习了ConfigMap的时候,我们说ConfigMap这个资源对象是Kubernetes当中非常重要的一个对象,一般情况下ConfigMap是用来存储一些非安全的配置信息,如果涉及到一些安全相关的数据的话用ConfigMap就非常不妥了,因为ConfigMap是名为存储的,我们说这个时候我们就需要用到另外一个资源对象了:SecretSecret用来保存敏感信息,例如密码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

昕光xg

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值