Kubernetes Secret 秘钥管理

最新推荐文章于 2023-05-21 19:41:31 发布
最新推荐文章于 2023-05-21 19:41:31 发布
阅读量686 收藏
点赞数
文章标签: 数据库
原文链接:http://www.cnblogs.com/reaperhero/articles/10805230.html
版权

Pod使用Secret的两种方法:volume与环境变量

创建Secret秘钥

cat  playground-secret.yaml

apiVersion: v1
kind: Secret
type: Opaque
metadata:
  name: "mysql_db_secret"
  namespace: "default"
data:
  mysql-db-name: "cGxheWdyb3VuZA=="         # echo -n "playground" | base64  结果 "cGxheWdyb3VuZA=="
  mysql-username: "cm9vdA=="                # echo -n "root"       | base64  结果 "cm9vdA=="
  mysql-password: "cm9vdA=="                # echo -n "root"       | base64  结果 "cm9vdA=="


kubectl apply -f playground-secret.yaml

Secret使用


apiVersion: v1
kind: Pod
metadata:
  name: mysql_db_conn_pod
  namespace: "default"
  labels:
    app: "playground"
spec:
  volumes:
  - name: log
    hostPath:
      path: "/var/log"
  containers:
  - name: "app"
    image: "app:latest"
    imagePullPolicy: Always
    env:
    - name: MYSQL_DB_NAME
      valueFrom:
        secretKeyRef:
          name: "mysql_db_secret"
          key: "mysql-db-name"
          optional: false
    - name: MYSQL_USERNAME
      valueFrom:
          secretKeyRef:
          name: "mysql_db_secret"
          key: "mysql-username"
          optional: false
    - name: MYSQL_PASSWORD
      valueFrom:
        secretKeyRef:
          name: "mysql_db_secret"
          key: "mysql-password"
          optional: false
    ports:
    - containerPort: 8080
    volumeMounts:
    - name: log
      mountPath: "/var/log"
  - name: "db"
    image: "mysql:latest"
    imagePullPolicy: Always
    ports:
    - containerPort: 3306

就在pod启动时,容器自动被注入了MYSQL_DB_NAME等环境变量

转载于:https://www.cnblogs.com/reaperhero/articles/10805230.html

weixin_30737363
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
OPAQUE 密码认证密交换协议的实现
06-28
OPAQUE 密交换协议OPAQUE是一种非对称密码验证密交换协议。它允许客户端使用密码对服务器进行身份验证,而不必将明文密码暴露给服务器。此实现基于OPAQUE的Internet 草案。背景非对称密码身份验证密交换 (aPAKE) 协议旨在提供密码身份验证和相互身份验证的密交换,而不依赖于 PKI(用户/密码注册期间除外),并且不向服务器或客户端计算机以外的其他实体披露密码。OPAQUE 是一种无 PKI 的 aPAKE,可安全抵御预计算攻击并能够使用密盐。文档可以在此处找到 API 以及使用示例。安装Cargo.toml添加到Cargo.toml的依赖Cargo.toml :opaque-ke = "0.5.0"资源OPAQUE 学术出版物,包括正式定义和安全证明Draft-irtf-cfrg-opaque-03 ,包含 OPAQUE 的详细(字节级)规范“让我们谈谈 PAKE” ,由 Matthew Green 撰写的介绍性博客文章,涵盖了 OPAQUE贡献者这段代码的作者是 Kevin Lewi (@kevinlewi ) 和 François Garillot (@
kubernetes系列】KubernetesSecret凭证
margu_168的博客
07-05 955
如果–service-account-key-file=未传入任何值,那么将默认使用–tls-private-key-file的值,即API Server的私。它们都通过mount 的方式挂载到 pod 中,其中 token 保存的路径是 /var/run/secrets/kubernetes.io/serviceaccount/token ,是 kube-controller-manager 通过–service-account-private-key-file私签发的token;
Kubernetes管理Secret
zhangshenglu1的博客
05-21 743
Secret与ConfigMap类似,主要的区别是ConfigMap存储的是明文,而Secret存储的是密文。ConfigMap可以用配置文件管理,而Secret可用于密码、密、token等敏感数据的配置管理
openssl为k8s生成SSL证书
识途老码
03-25 5880
openssl为k8s生成SSL证书
k8s学习(十五)Secret的使用
码易的博客
12-29 1937
目录前言一、创建Secret二、使用Secret 前言 。 一、创建Secret 1、base64加密 [root@k8s-master k8s]# echo -n "root" | base64 cm9vdA== [root@k8s-master k8s]# echo -n "root123" | base64 cm9vdDEyMw== 2、secret.yaml [root@k8s-master k8s]# cat secret.yaml apiVersion: v1 kind: Secr..
synator:Synator Kubernetes Secret和ConfigMap同步器
04-23
Synator Kubernetes Secret和ConfigMap同步器 有时,我们想在不同的名称空间中使用机密,不幸的是,我们不能没有任何辅助运算符或手动复制,因为在kubernetes中,机密和configmaps是名称空间。 当我们有几个命名空间...
kubernetes-secret-manager:使用Kubernetes集群中的Vault管理
02-03
Kubernetes管理员问题通常,资源的用户名和密码与服务帐户静态关联。 这些密码很少更改,通常很难在应用程序堆栈中旋转。 有时,我们甚至无法确定有多少组件正在使用该服务帐户,这使得轮换更加困难,并且由于...
JAVA、Python、PHP一致的 "任意长度secret" 加解密AES/ECB/PKCS5Padding算法实现代码
11-12
JAVA、Python、PHP一致的任意长度secret加解密AES/ECB/PKCS5Padding算法实现代码
ahoy:Ahoy,您的Kubernetes版本管理工具
03-31
趣多多在Kubernetes上安装Ahoy依赖于进行安装。在Kubernetes上安装添加头盔仓库: helm repo add lsdopen https://lsdopen.github.io/chartshelm repo update 通过编辑values-k8s.yaml中的值来自定义Ahoy安装。 可在...
kubernetes培训视频.zip
最新发布
01-09
网盘文件永久链接 1.k8s的pod健康检查机制 2.kubernetes ingress 3.基于Kubernetes-v1.25.0和Docker部署高可用集群 ...7.一小时精通Kubernetes的安全配置资源Secret 973页Kubernetes笔记 ...............
K8s配置与密管理 ConfigMap &Secret
weixin_54720351的博客
03-28 1561
kubernetes集群可以使用ConfigMap来实现对容器中应用的配置管理。可以把ConfigMap看作是一个挂载到pod中的存储卷Secret与ConfigMap类似,主要的区别是ConfigMap存储的是明文,而Secret存储的是密文。ConfigMap可以用配置文件管理,而Secret可用于密码、密、token等敏感数据的配置管理Secret与ConfigMap类似,主要的区别是ConfigMap存储的是明文,而Secret存储的是密文。
k8s配置secret中的ssl证书
weixin_42715225的博客
06-16 6011
前言 网站安全需要https来处理,k8s配置中涉及到需要处理secrets 操作 申请ssl证书 请自行处理,这里不再赘述 获取审核通过的Nginx证书 注 由于我这里的k8s的ingress插件是nginx-controller-manager,是故证书类型为Nginx,可根据实际情况选择合适类型的证书 放置证书到指定目录下 目录树如下所示: tree -aC certs/ certs/ ├── www.xxx.com.key └── www.xxx.com.pem 0 directories
k8s之Secret详细理解及使用
热门推荐
skh2015java的博客
10-22 2万+
Secret介绍 k8s secrets用于存储和管理一些敏感数据,比如密码,token,密等敏感信息。它把 Pod 想要访问的加密数据存放到 Etcd 中。然后用户就可以通过在 Pod 的容器里挂载 Volume 的方式或者环境变量的方式访问到这些 Secret 里保存的信息了。 Secret有三种类型 Opaque:base64 编码格式的 Secret,用来存储密码、密等;但数据也可以通过base64 –decode解码得到原始数据,所有加密性很弱。 Service Account:.
为k8s集群配置SSL证书
qq_41808193的博客
02-26 7330
方法一:对所有ingress进行配置 阿里云申请通配符域名 由于目前还没有交易的情景,并且暂时没有较多用户的敏感信息,目前申请的是域名型证书,保证通信是加密传输即可。参考阿里云文档:https://help.aliyun.com/document_detail/98574.html?spm=a2c4g.11186623.6.603.59a020674FUyXO(域名所有权验证选自动验证即可) 目前申请好的是*.seec.seecoder.cn,这种通配符域名只允许一级子域名,像a.b.seec.seec
在K8S中,如何安全管理Secrets?
wanger5354的博客
01-11 3206
为何要加密?在Kubernetes中,Secret是用来帮我们存储敏感信息的,比如密码、证书等,但是在默认的情况下,Secret只是做了简单的base64编码,任何人都可以非常容易的对其进行解密获取到原始数据。比如通过以下方法生成一个secret对象:$ echo -n "coolops" | kubectl create secret generic mysecret --dry-run --fr
k8s学习-Secret(创建、使用、更新、删除等)
关注网络安全、云原生安全
08-20 8148
注意:Base64只是一种编码,不含密的,并不安全。任何拥有 API 访问权限的人都可以检索或修改 Secret,任何有权访问 etcd 的人也可以。此外,任何有权限在命名空间中创建 Pod 的人都可以使用该访问权限读取该命名空间中的任何 Secret;使用该 ServiceAccount 创建的任何 Pod 和默认使用该 ServiceAccount 的 Pod 将会将其的 imagePullSecret 字段设置为服务帐户的 imagePullSecret 值。中的安全部分详细展开。
【云原生】Ceph 在 k8s中应用
匠人精神,持之以恒!
01-07 3771
分布式存储系统 Ceph 介绍与环境部署分布式存储系统 Ceph 实战操作Kubernetes(k8s)最新版最完整版环境部署+master高可用实现(k8sV1.24.1+dashboard+harbor)Rook是一个开源的云原生存储编排工具,提供平台、框架和对各种存储解决方案的支持,以和云原生环境进行本地集成。Rook 将存储软件转变成自我管理、自我扩展和自我修复的存储服务,通过自动化部署、启动、配置、供应、扩展、升级、迁移、灾难恢复、监控和资源管理来实现。
Kubernetes管理:3种方法,9个最佳实践
k8scaptain的博客
11-18 191
本文推荐的方法和最佳实践为管理奠定了基础。
Kubernetes Secret 的几种类型
02-21
Kubernetes Secret 有四种类型:Opaque、Service Account、docker-registry 和 tls。Opaque 是最常用的类型,用于存储任意类型的数据;Service Account 用于存储服务帐户信息;docker-registry 用于存储对私有的 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值