Kubernetes 中 Secrets 对象的使用

最新推荐文章于 2024-03-23 09:34:51 发布
最新推荐文章于 2024-03-23 09:34:51 发布
阅读量263 收藏
点赞数
文章标签: devops 网络 数据库
原文链接:https://juejin.im/post/586cd4e9128fe10058368e4d
版权

最近在抽取微服务配置信息时,调研了 K8s Secrets 对象 ,在此与大家分享。
Kubernetes(以下简称 K8s) Secrets 官方文档:
kubernetes.io/docs/user-g…

Secrets 概述

K8s 中 Secrets 是一个包含少量敏感信息如密码,令牌,或秘钥的对象。这些信息可能被保存在 pod 定义或者 docker 镜像中,把这些信息保存在 Secrets 对象中,可以在这些信息被使用时加以控制,并可以降低信息泄露的风险。点击 Secret 设计文档 查看更多信息。

下面我们以 blog-service 为例,实现把 db 信息保存在 K8s Secrets 对象中,并在 blog-service 中读取 Secrets 对象中的 db 信息。

1. 创建 K8s secret 对象

K8s Secrets 中保存的数据都必须经过 base64加密,我们可以通过 echo 命令为数据加密:

root@ubuntu:~/Carrotzpc/devops/yamls#  echo -n "carrot" | base64
Y2Fycm90
root@ubuntu:~/Carrotzpc/devops/yamls#  echo -n "192.168.5.1" | base64
MTkyLjE2OC41LjE=
root@ubuntu:~/Carrotzpc/devops/yamls# echo -n "3306" | base64
MzMwNg==复制代码

建立如下 secret.yaml 文件,db 相关配置信息填写在 data 字段中:

apiVersion: v1
kind: Secret
metadata:
  name: db-secret
  namespace: carrot
type: Opaque
data:
  # base64
  carrot-db-name: Y2Fycm90
  carrot-db-username: Y2Fycm90
  carrot-db-password: Y2Fycm90
  carrot-db-host: MTkyLjE2OC41LjE=
  carrot-db-port: MzMwNg==复制代码

创建 Secrets 对象 db-secret

root@ubuntu:~/Carrotzpc/devops/yamls# kubectl create -f secret.yaml
secret "db-secret" created
root@ubuntu:~/Carrotzpc/devops/yamls# kubectl get secret db-secret --namespace=carrot -o yaml
apiVersion: v1
data:
  carrot-db-host: MTkyLjE2OC41LjE=
  carrot-db-name: Y2Fycm90
  carrot-db-password: Y2Fycm90
  carrot-db-port: MzMwNg==
  carrot-db-username: Y2Fycm90
kind: Secret
metadata:
  creationTimestamp: 2016-08-03T10:45:19Z
  name: db-secret
  namespace: carrot
  resourceVersion: "10186771"
  selfLink: /api/v1/namespaces/carrot/secrets/db-secret
  uid: 5f11a472-5967-11e6-8bc6-005056852444
type: Opaque复制代码

2. 创建 rc 并且在环境变量中引入 Secret 对象

建立 rc.yaml 文件如下:

kind: ReplicationController
apiVersion: v1
metadata:
  name: devops
  namespace: carrot
  labels:
    name: devops
spec:
  replicas: 1
  selector:
    name: devops
  template:
    metadata:
      labels:
        name: devops
    spec:
      containers:
      - name: devops
        image: 192.168.5.1/carrot/devops:v1
        ports:
        - containerPort: 8090
          protocol: TCP
        # 从secret对象中引入数据到环境变量中
        env:
        - name: SECRET_DB_NAME
          valueFrom:
            secretKeyRef:
              name: db-secret
              key: carrot-db-name
        - name: SECRET_DB_USERNAME
          valueFrom:
            secretKeyRef:
              name: db-secret
              key: carrot-db-username
        - name: SECRET_DB_PASSWORD
          valueFrom:
            secretKeyRef:
              name: db-secret
              key: carrot-db-password
        - name: SECRET_DB_HOST
          valueFrom:
            secretKeyRef:
              name: db-secret
              key: carrot-db-host
        - name: SECRET_DB_PORT
          valueFrom:
            secretKeyRef:
              name: db-secret
              key: carrot-db-port
        resources:
          limits:
            cpu: 60m
            memory: 256Mi
        imagePullPolicy: Always
        volumeMounts:
        - name: tenxcloud-time-zone
          mountPath: "/etc/localtime"
          readOnly: true
      # nodeSelector:
      volumes:
      - name: tenxcloud-time-zone
        hostPath:
          path: "/etc/localtime"复制代码

从上面 yaml 文件中可以看出,在声明环境变量时,引入了 db-secret 对象,并且把 db-secret 对象中每个元素都放在了环境变量中,当然还可以通过引入 volume 等方式引入 db-secret 对象,这里就不做介绍了,有兴趣的童鞋可以看下官方文档。下面创建 rc devops:

root@ubuntu:~/Carrotzpc/devops/yamls# kubectl create -f rc.yaml
replicationcontroller "devops" created
root@ubuntu:~/Carrotzpc/devops/yamls# kubectl get pod --namespace=carrot
NAME           READY     STATUS    RESTARTS   AGE
devops-xws9a   1/1       Running   0          2m
root@ubuntu:~/Carrotzpc/devops/yamls# kubectl exec -it devops-xws9a --namespace=carrot bash
root@devops-xws9a:/opt/nodejs# env
NODE_VERSION=4.2.2
DEVOPS_PORT_8090_TCP_ADDR=10.0.0.117
SECRET_DB_PASSWORD=tenxcloud
HOSTNAME=devops-xws9a
KUBERNETES_PORT=tcp://10.0.0.1:443
KUBERNETES_PORT_443_TCP_PORT=443
DEVOPS_SERVICE_PORT=8090
SECRET_DB_USERNAME=tenxcloud
DEVOPS_PORT_8090_TCP_PORT=8090
KUBERNETES_SERVICE_PORT=443
KUBERNETES_SERVICE_HOST=10.0.0.1
NPM_CONFIG_LOGLEVEL=info
DEVOPS_PORT_8090_TCP_PROTO=tcp
SECRET_DB_HOST=192.168.5.1
PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
PWD=/opt/nodejs
SECRET_DB_NAME=tenxcloud
DEVOPS_PORT=tcp://10.0.0.117:8090
DEVOPS_SERVICE_PORT_DEVOPS=8090
SECRET_DB_PORT=3306
SHLVL=1
HOME=/root
KUBERNETES_PORT_443_TCP_PROTO=tcp
KUBERNETES_SERVICE_PORT_HTTPS=443
DEVOPS_PORT_8090_TCP=tcp://10.0.0.117:8090
KUBERNETES_PORT_443_TCP_ADDR=10.0.0.1
DEVOPS_SERVICE_HOST=10.0.0.117
KUBERNETES_PORT_443_TCP=tcp://10.0.0.1:443
AUTHORIZED_KEYS=**None**
_=/usr/bin/env复制代码

我们使用 exec 命令进入容器内部,可以看到我们声明的环境变量,说明我们已经成功引入了 Secrets 对象 db-secret 到环境变量中。现在容器还不能被访问到,下面我们还需要建立一个service

3.创建 Service

建立如下 service.yaml 文件:

kind: Service
apiVersion: v1
metadata:
  name: devops
  namespace: carrot
  labels:
    name: devops
  annotations:
    devops: tcp
spec:
  ports:
  - name: devops
    protocol: TCP
    port: 8090
    targetPort: 8090
  selector:
    name: devops
  # publicIPs:
  # - 192.168.5.2
  deprecatedPublicIPs:
  - 192.168.5.2
  externalIPs:
  - 192.168.5.2复制代码

创建 Service 对象 devops

root@ubuntu:~/Carrotzpc/devops/yamls# kubectl create -f service.yaml
service "devops" created
root@ubuntu:~/Carrotzpc/devops/yamls# kubectl get service devops --namespace=carrot -o yaml
apiVersion: v1
kind: Service
metadata:
  annotations:
    devops: tcp
  creationTimestamp: 2016-08-03T11:07:45Z
  labels:
    name: devops
  name: devops
  namespace: carrot
  resourceVersion: "10187506"
  selfLink: /api/v1/namespaces/carrot/services/devops
  uid: 8166f211-596a-11e6-8bc6-005056852444
spec:
  clusterIP: 10.0.0.13
  deprecatedPublicIPs:
  - 192.168.5.2
  externalIPs:
  - 192.168.5.2
  ports:
  - name: devops
    port: 8090
    protocol: TCP
    targetPort: 8090
  selector:
    name: devops
  sessionAffinity: None
  type: ClusterIP
status:
  loadBalancer: {}复制代码

blog-service 数据库配置文件 db.js 中读取这些环境变量:

'use strict'
const env = process.env
const database = {
  db: env.SECRET_DB_NAME,
  username: env.SECRET_DB_USERNAME,
  password: env.SECRET_DB_PASSWORD,
}

module.exports = database复制代码

小结

这样一个完整的使用 K8s Secrets 对象存储 db 配置信息的 blog-service 就建好了,db-secret 这个Secrets 对象可以同时被多个容器使用,这样可以解决数据库在不同服务中的配置问题。当 Secrets 对象被更新,重建使用 Secrets 对象的 pod 后,环境变量里面的对应信息会被更新。上面我们提到可以通过引入 volume 的方式引入 Secrets 对象,这样做有一个好处就是当 Secrets 对象更新后,引入 pod 中的 Secrets 对象也会同步更新,当然更新时间取决于 K8s 的同步周期。

原文请移步我的博客 noder.xyz/simple-use-…

转载于:https://juejin.im/post/586cd4e9128fe10058368e4d

weixin_34376562
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ReplitSECRETS标签添加变量怎么用
大涛子的博客
04-03 1604
问题描述 添加一个环境变量作为配置选项。 在项目根目录创建一个 .env 文件,并存储变量 MESSAGE_STYLE=uppercase。 当向 /json 发 GET 请求时,如果 process.env.MESSAGE_STYLE 的值为 uppercase,那么上一次挑战的路由处理程序返回的对象的消息则应该大写。 响应对象应该是{"message": "Hello json"}or {"message": "HELLO JSON"},取决于 MESSAGE_STYLE 的值。 注意: 如果你正在使
使用 External Secrets Operator 安全管理 Kubernetes Secrets
NewTyun的博客
08-04 496
新钛云服已累计为您分享672篇技术干货关键要点· Kubernetes Secret 管理有助于将 Secret 与应用程序代码分离,并在需要时在集群启用它们。·默认情况下,Secret 以不安全的 base64 形式存储,这是一种编码方法而不是加密。·第三方 Secret 管理系统是拥有集、强大的 Secret 管理机制的更好的选择。· ESO 是一个 Kube...
微服务配置文件敏感参数加密方案
nikoHuang的博客
08-27 767
我们在使用基于Springboot开发的微服务,很多参数都是需要配置在配置文件,比如数据库的用户名,密码信息等。这些信息常常会有很多敏感数据,比如密码,加密的secret key等,这些信息是不能够直接暴露在配置文件的。本篇文章就来介绍一种配置文件敏感参数加密解决方案:jasypt加密。 在pom文件引入jasypt的jar包 <dependency> <group...
kubernetes-external-secrets:将外部秘密管理系统与Kubernetes集成
01-30
:warning_selector: 存储库已移至外部机密 该项目已从移至GitHub组织,以合并具有相同目标的不同项目。 更多信息。 Kubernetes的外部秘密 Kubernetes外部机密使您可以使用外部机密管理系统(例如或在Kubernetes安全地添加机密。 在上了解有关Kubernetes外部秘密的设计和动机的更多信息。 该项目以及相关的Kubernetes秘密管理项目的社区和维护者使用Kubernetes松弛上的通道进行讨论和集思广益。 这个怎么运作 该项目通过使用添加一个ExternalSecrets对象和一个控制器来实现对象本身的行为,从而扩展了Kubernetes API。 当控制器将所有ExternalSecrets转换为Secrets ,一个ExternalSecret声明如何获取秘密数据。 转换对可以正常访问Secrets Pods完全透明。 默认情况下, Secrets信息不会在静止状态下进行加密,并且可以通过etcd服务器或etcd数据的备份进行攻击。 为了降低这种风险,使用一个加密Secrets存储在ETCD。 系统架构 ExternalSe
kubernetes secrets 保存敏感信息
kozazyh的专栏
04-23 1428
kubernetes secrets 是用来保存密码、token、密钥...敏感信息的对象。例如:有时我们在pod需要连接aws 应用(s3、ddb),一般需要在env设置AWS_ACCESS_KEY_ID、AWS_SECRET_KEY,这时候,我们就可以把aws的key 保存在kubernetessecrets,一来可以保证不在image保存敏感信息、二来多个pod可以共用secrets...
Secrets使用
qq_42218187的博客
06-24 535
Secret 有三种类型: Opaque:base64 编码格式的 Secret,⽤来存储密码、密钥等;但数据也可以通过base64 – decode解码得到原始数据,所有加密性很弱。 kubernetes.io/dockerconfigjson:⽤来存储私有docker registry的认证信息。 kubernetes.io/service-account-token:⽤于被 serviceaccount 引⽤,serviceaccout 创建时 Kubernetes会默认创建对应的secret。Po
azure-key-vault-to-kubernetesKubernetes的Azure密钥保管库(简称akv2k8s)使在Kubernetes使用Azure密钥保管库秘密,密钥和证书变得简单而安全。
02-02
Kubernetes的Azure密钥保管库(akv2k8s)将通过两种方式使Kubernetes可以使用Azure密钥保管库对象: 作为本地Kubernetes Secret的 作为环境变量直接注入到您的Container应用程序 Azure Key Vault控制器(简称为...
keyvault-init-container:使用初始化容器将.net核心设置注入Kubernetes的秘密卷
05-09
5. **示例**:可能包含一些演示如何在实际应用使用此初始化容器的例子,例如如何设置.NET Core应用以从Kubernetes Secrets读取配置。 在实际操作,开发人员首先需要在Azure上创建Key Vault实例,并在其存储...
kubernetes基础
12-16
1. Pod:Pod是Kubernetes的最小部署单元,可以包含一个或多个紧密相关的容器。它们共享存储和网络资源,提供了一个封装应用的环境。 2. Service:为一组Pod提供稳定的网络接口和服务发现。服务可以根据标签选择器...
Kubernetes External Secrets:解锁K8s集群的数据管理新维度
最新发布
gitblog_00012的博客
03-23 278
Kubernetes External Secrets:解锁K8s集群的数据管理新维度 项目地址:https://gitcode.com/external-secrets/kubernetes-external-secrets 项目简介 Kubernetes External Secrets 是一个开源项目,旨在帮助开发者和运维人员在Kubernetes(K8s)环境安全、灵活地管理和更新来自外...
Kubernetes Secrets 详解
奋斗菜鸟
09-08 423
Kubernetes Secrets 详解
kubernetes之十四–kubernetes secrets
运维阿峰
08-09 1181
1. 简介 有时候,我们在群集有一些机密数据,比如说密码、API key的密钥或者证书。这些机密信息只允许那些授权过的或者特定的服务可见,其它运行在群集的服务不能访问这些数据。 针对这个原因 ,kubernetes提供了secrets. 一对key-value密钥对就是那些key是唯一的,而密钥是敏感数据。往往存储在etcdKubernetes可以配置密钥在etcd、传输都是加密的,...
每天5分钟玩转Kubernetes | 在Pod使用Secret
COCO_gsta的博客
06-23 472
书籍来源:cloudman《每天5分钟玩转Kubernetes》一边学习一边整理老师的课程内容及试验笔记,并与大家分享,侵权即删,谢谢支持!Pod可以通过Volume或者环境变量的方式使用Secret。Pod的配置文件如下所示。 ① 定义volume foo,来源为secret mysecret。② 将foo mount到容器路径/etc/foo,可指定读写权限为readOnly。创建Pod并在容器读取Secret,如图所示。可以看到,Kubernetes会在指定的路径/etc/foo下为每条敏感数据
k8s--Kubernetes存储--Secret配置管理
Gong_yz的博客
03-13 901
- Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 ssh key。 - 敏感信息放在 secret 比放在 Pod 的定义或者容器镜像来说更加安全和灵活。 - Pod 可以用两种方式使用 secret: 作为 volume 的文件被挂载到 pod 的一个或者多个容器里。 当 kubelet 为 pod 拉取镜像时使用
K8s(11)——存储之secrets
m0_46652469的博客
04-12 312
k8ssecret是一种包含少量敏感信息例如密码、令牌或密钥的对象。这样的信息可能会被放在 Pod 规约或者镜像使用 Secret 意味着你不需要在应用程序代码包含机密数据。Secret 类似于 ConfigMap 但专门用于保存机密数据。k8s secrets用于存储和管理一些敏感数据,比如密码,token,密钥等敏感信息。它把 Pod 想要访问的加密数据存放到Etcd。然后用户就可以通过在 Pod 的容器里挂载 Volume 的方式或者环境变量。
k8s Secret配置资源,ConfigMap 存储配置信资源管理详解
qq_51545656的博客
03-11 1097
为了确保Secret的安全性,Kubernetes还提供了一些额外的保护措施,比如限制对Secret的访问,以及在Pod被删除后自动清除其在节点上的Secret副本。在实际使用,可以通过Pod的定义来引用这个Secret,并将其作为环境变量或卷挂载到容器,以便容器内的应用程序可以安全地访问这些凭据。这样,Secret的数据就会以文件的形式出现在容器的文件系统。在Kubernetes,ConfigMap是管理应用配置的一种非常有效的方式,它允许在不修改应用代码的情况下,动态地调整应用的配置。
k8s教程07(kubernetes-存储secret)
DDJ_TEST的博客
06-07 878
k8s教程07(kubernetes-存储secret)
k8s学习-Secret(创建、使用、更新、删除等)
关注网络安全、云原生安全
08-20 8716
注意:Base64只是一种编码,不含密钥的,并不安全。任何拥有 API 访问权限的人都可以检索或修改 Secret,任何有权访问 etcd 的人也可以。此外,任何有权限在命名空间创建 Pod 的人都可以使用该访问权限读取该命名空间的任何 Secret;使用该 ServiceAccount 创建的任何 Pod 和默认使用该 ServiceAccount 的 Pod 将会将其的 imagePullSecret 字段设置为服务帐户的 imagePullSecret 值。的安全部分详细展开。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值