Secrets应用

原创 已于 2025-09-02 17:41:58 修改 · 305 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #k8s #运维 #容器

于 2025-09-02 17:39:33 首次发布

Secrets 应用部署示例(Kubernetes)

本示例演示如何在 Kubernetes 中使用 Secret 保存敏感信息,并通过 Deployment 部署 MariaDB,再通过 Service 暴露服务,最终实现数据库的安全配置与访问。

1️⃣ 编写 Secret:保存敏感信息

文件名:mariadb-secret.yml

🎯 用途:将数据库的敏感信息(如 root 密码、用户密码、数据库名等)以 Secret 形式保存,避免明文出现在 Deployment 中。

apiVersion: v1
kind: Secret
metadata:
  name: mariadb-secrets
  labels:
    app: mariadb
    tier: database
type: Opaque
stringData:
  root-password: root          # Root 用户密码(明文,K8s 会自动转为 Base64)
  db-user: yumeko              # 数据库普通用户名
  user-password: yumeko        # 普通用户密码
  database-name: test          # 数据库名称

🔐 说明:使用 stringData 字段,可以直接写明文,Kubernetes 会自动将其编码为 Base64 并存入真正的 Secret 数据字段 data 中。

2️⃣ 编写 Deployment:部署 MariaDB 容器

文件名:mariadb-deployment.yml

🎯 用途:基于 MariaDB 官方镜像启动一个 Pod,并注入上述 Secret 中的数据库敏感信息作为环境变量。

apiVersion: apps/v1
kind: Deployment
metadata:
  name: mariadb
  labels:
    app: mariadb
spec:
  replicas: 1
  selector:
    matchLabels:
      app: mariadb
  template:
    metadata:
      labels:
        app: mariadb
    spec:
      restartPolicy: Always
      containers:
        - name: mariadb
          image: mariadb:latest
          ports:
            - containerPort: 3306  # MariaDB 默认端口
          imagePullPolicy: Never   # 仅使用本地镜像(开发调试用,生产请勿使用)
          env:
            - name: MYSQL_ROOT_PASSWORD
              valueFrom:
                secretKeyRef:
                  name: mariadb-secrets
                  key: root-password
            - name: MYSQL_DATABASE
              valueFrom:
                secretKeyRef:
                  name: mariadb-secrets
                  key: database-name
            - name: MYSQL_USER
              valueFrom:
                secretKeyRef:
                  name: mariadb-secrets
                  key: db-user
            - name: MYSQL_PASSWORD
              valueFrom:
                secretKeyRef:
                  name: mariadb-secrets
                  key: user-password
            - name: TZ
              value: Asia/Shanghai  # 设置时区为上海
          args:
            - --character-set-server=utf8mb4
            - --collation-server=utf8mb4_unicode_ci  # 设置字符集与排序规则

🔧 关键说明:

  • 通过 valueFrom.secretKeyRef 引用了 mariadb-secrets 中的各项敏感信息。
  • 设置了时区 TZ: Asia/Shanghai,保证数据库时间与日志友好。
  • 指定了 UTF8MB4 字符集,支持完整的 Unicode(包括 Emoji)。
  • imagePullPolicy: Never 表示仅使用本地镜像(仅用于开发测试,确保镜像已存在,生产环境请删除或改为 IfNotPresent)。

3️⃣ 编写 Service:暴露 MariaDB 服务

文件名:mariadb-service.yml

🎯 用途:为 MariaDB 创建一个 Kubernetes Service,使其可被集群内其他组件访问;这里使用 NodePort 方式,也可选 ClusterIP 或 LoadBalancer。

apiVersion: v1
kind: Service
metadata:
  name: mariadb-service
spec:
  type: NodePort                # 可选类型:ClusterIP(仅集群内)、NodePort、LoadBalancer(云平台)
  selector:
    app: mariadb
  ports:
    - protocol: TCP
      port: 3306                # Service 暴露的端口
      targetPort: 3306          # 容器内端口(MariaDB 默认端口)
      nodePort: 30001           # 手动指定 NodePort(范围通常是 30000 ~ 32767)

🔍 说明:

  • type: NodePort:将 Service 暴露在每个节点的一个指定端口上(这里是 30001),可通过节点 IP + 30001 访问。
  • port: 3306:Service 自身的虚拟端口。
  • targetPort: 3306:Pod 中容器实际监听的端口。
  • 如果你希望仅限集群内访问,可以将 type 改为 ClusterIP

4️⃣ 执行部署命令

在终端中依次运行以下命令,部署所有资源:

kubectl apply -f mariadb-secret.yml
kubectl apply -f mariadb-deployment.yml
kubectl apply -f mariadb-service.yml
Vault系列之:理解Vault Secrets engines、理解Transit Secrets Engine、加密解密内容
zhengzaifeidelushang的博客
08-11 481
这是一个使用 Vault 命令行工具创建 Transit Secret Engine 中的一个加密密钥的命令,并显示了创建后的密钥的相关属性。这是一个使用 Vault 命令行工具读取 Transit Secret Engine 中的一个加密密钥的命令,并显示了密钥的相关属性。Vault 将使用密钥环中的适当密钥解密该值,然后使用密钥环中的最新密钥加密生成的明文。这是一个使用 Vault 的 Transit Secret Engine 进行加密操作的命令。生成的数据是 base64 编码的。
AWS Secrets Manager 踩坑记
SEVEN‘s Blog
08-30 1637
AWS Secrets Manager 是一个强大的工具,用于管理敏感信息如数据库凭证和 API 密钥,并提供自动密码轮换功能。然而,尽管功能强大,使用过程中也有许多潜在的坑点需要注意。主要挑战包括对于已有用户初次使用时需要手动更新密码、无法精确控制轮换时间、以及服务无法自动感知密码变化等。为了解决这些问题,可以通过使用双用户策略、连接检测、自定义 Lambda 进行通知等方式进行改进。总体而言,Secrets Manager 增加了安全性,但也带来了额外的复杂度,因此需要评估其对业务的实际价值再决定是否采
Kubernetes Secrets 详解
奋斗菜鸟
09-08 537
Kubernetes Secrets 详解
secrets模块
LI4836的博客
02-28 1244
secrets模块介绍: secrets模块是Python 3.6新增的内置模块,它可以生成用于管理密码、账户验证信息、安全令牌和相关秘密信息等数据的密码强随机数。需要特别声明的是,与random模块中的默认伪随机数生成器相比,我们应该优先使用secrets模块,因为random模块中的默认伪随机数生成器是为建模和模拟而设计的,不是为安全或密码学而设计的。总体来讲,我们可以通过secrets模块完...
Git Secrets 使用教程
gitblog_00246的博客
08-20 337
Git Secrets 使用教程 【免费下载链接】git-secrets Prevents you from committing secrets and credentials into git repositories 项目地...
Kubernetes Secrets Store CSI Driver 技术解析与应用指南
gitblog_00961的博客
06-30 369
Kubernetes Secrets Store CSI Driver 技术解析与应用指南 项目概述 Kubernetes Secrets Store CSI Driver 是一个基于容器存储接口(CSI)标准的Kubernetes插件,它实现了将企业级外部密钥管理系统中的敏感数据安全地注入到Pod中的能力。该项目由Kubernetes社区维护,属于SIG小组项目。 核心功能 稳定功能特性 多...
Kubernetes Secrets
ryanlll3的博客
01-03 268
Kubernetes SecretsK8S Secrets配置原理演示部署架构发布命令Secrets的安全性 K8S Secrets配置原理 K8S Secrets用于支持敏感数据配置。Secrets是一种特殊的配置,可以提供较安全的存储和访问配置的机制。同样支持两种常见方式和POD进行绑定: 环境变量 - 跟ConfigMap一样,如果以环境变量的方式跟POD绑定,配置更新的时候,需要重启POD来使用最新的secret. 存储卷挂载到POD - Secrets可以做到热加载,不必要重启POD。 演示
如果你已经将敏感数据,例如数据库连接信息放到 Kubernetes 的 Secret 中管理,并且使应用程序从 Secret 中获取这些信息,
qq_45429357的博客
03-19 443
应用程序去引用k8s中secret的值
kubernetes-加密 Secrets
qq_22648091的博客
03-29 711
默认 Secrets 对象的值是 base64 编码的内容,这个可以反编码得到原文的,不能起到加密重要密文的作用。解决方法是使用开源的 Sealed Secrets
Docker Secrets
weixin_30847271的博客
04-19 434
一、简介   在微服务架构应用中,众多组件在集群中动态地创建、伸缩、更新。在如此动态和大规模的分布式系统上,管理和分发密码、证书等敏感信息将会是非常具有挑战性的工作。对于容器应用,传统的秘密分发方式,如将秘钥存放在容器镜像中,或是利用环境变量,volume动态挂载方式动态传入都存在着潜在的安全风险。   为了应对这个问题,在Docker 1.13及更高版本中,Docker推出了Secrets管...
Secrets:一个Web应用程序,用于匿名发布秘密
03-15
**Secrets Web应用程序详解** Secrets 是一个专为匿名发布秘密而设计的Web应用程序。它允许用户在不透露自己身份的情况下分享内心的想法、经历或故事,从而为用户提供了一个安全的平台来表达自我。这个应用程序的...
守护数据安全:Docker Secrets的精妙应用
08-28
Docker是一个开源的应用容器引擎,它允许开发者打包他们的应用以及应用的运行环境到一个可移植的容器中,然后发布到任何流行的Linux机器上,也可以实现虚拟化。容器是完全使用沙箱机制,相互之间不会有任何接口...
Secrets
03-19
标题 "Secrets" 提到的主题可能...综上所述,"Secrets"项目可能涵盖了EJS模板引擎的使用、秘密管理的最佳实践、加密技术的应用以及Web应用安全等多个方面。每个主题都值得深入学习,以提升开发过程中的安全性和效率。
Keeping_Secrets应用:密码安全的全栈实践
- **“盐+散列”保护机制**: 在“Keeping_Secrets应用程序中,用户的密码在存储之前会先与一个随机生成的盐值结合,然后进行散列处理。当用户进行登录验证时,输入的密码会先加盐,然后与数据库中存储的散列值比对...
linux上redis升级
2509_94083833的博客
11-29 867
redis-cli -h 192.168.111.100 -p 6379 -a 123123 -n 数据库序号(0-15)#如果是4.* 的就要升级,因为redis6.2 以上需要gcc 9.*的版本,不然make 编译redis时会报错。这里你可以先下载到本地,在通过ftp 的方式上传到服务器,也可以直接 wget 下载。在启动新版的redis 时,可以将数据文件放到启动目录下。-n:指定数据库序号,默认是序号0,redis有16个库(0-15)-a:指定密码,未设置数据库密码可以省略-a选项。
Linux(CentOS)安装 MySQL
2509_94088022的博客
11-29 755
CentOS版本:CentOS 7三种安装方式:一、通过 yum 安装,最简单,一键安装,全程无忧。二、通过 rpm 包安装,需具备基础概念及常规操作。三、通过 gz 包安装,需具备配置相关操作。
Linux】冯诺依曼体系结构和操作系统概述
Miun123的博客
11-29 1759
冯诺依曼体系结构是现代计算机的基础设计,由运算器、控制器、存储器、输入设备和输出设备五大部件组成,通过总线连接。操作系统采用先描述,再组织的方式进行软硬件管理,通过系统调用和库函数为用户提供安全便捷的接口。
linux(Centos)中Mysql的端口修改保姆级教程
2509_94088939的博客
11-29 484
* 这篇文章已经尽可能的详细,希望可以帮助到大家,如果有什么不懂的地方,欢迎在评论区留言,我会及时回复大家**
Linux性能调优详解FIO性能测试的几个常用场景
最新发布
运维老生常谈
11-29 675
fio是测试存储系统非常重要的工具,能够快速检测出磁盘的IOPS、吞吐能力,以及时间延迟。该工具能够发起指定类型的IO操作,例如顺序读写、随机读写。同时还可以发起多线性,模拟高负载场景。针对常用的IOPS、吞吐量、时延,如何有效利用fio工具,下面进行详细的讲解。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

梦子yumeko

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值