K8S之存储Secret概述与类型说明,并详解经常使用Secret示例html
主机配置规划
服务器名称(hostname)
系统版本
配置
内网IP
外网IP(模拟)
k8s-master
CentOS7.7
2C/4G/20G
172.16.1.110
10.0.0.110
k8s-node01
CentOS7.7
2C/4G/20G
172.16.1.111
10.0.0.111
k8s-node02
CentOS7.7
2C/4G/20G
172.16.1.112
10.0.0.112
Secret概述
Secret解决了密码、token、秘钥等敏感数据的配置问题,而不须要把这些敏感数据暴露到镜像或者Pod Spec中。Secret能够以Volume或者环境变量的方式使用。node
用户能够建立 secret,同时系统也建立了一些 secret。nginx
要使用 secret,pod 须要引用 secret。Pod 能够用两种方式使用 secret:做为 volume 中的文件被挂载到 pod 中的一个或者多个容器里,或者当 kubelet 为 pod 拉取镜像时使用。docker
Secret类型
Service Account:用来访问Kubernetes API,由Kubernetes自动建立,而且会自动挂载到Pod的 /run/secrets/kubernetes.io/serviceaccount 目录中。
Opaque:base64编码格式的Secret,用来存储密码、秘钥等。
kubernetes.io/dockerconfigjson:用来存储私有docker registry的认证信息。
Service Account
经过kube-proxy查看json
1 [root@k8s-master ~]# kubectl get pod -A | grep 'kube-proxy'
2 kube-system kube-proxy-6bfh7 1/1 Running 127d3h3 kube-system kube-proxy-6vfkf 1/1 Running 117d3h4 kube-system kube-proxy-bvl9n 1/1 Running 117d3h5 [root@k8s-master ~]#6 [root@k8s-master ~]# kubectl exec -it -n kube-system kube-proxy-6bfh7 -- /bin/sh
7 # ls -l /run/secrets/kubernetes.io/serviceaccount8 total 0
9 lrwxrwxrwx 1 root root 13 Jun 8 13:39 ca.crt -> ..data/ca.crt10 lrwxrwxrwx 1 root root 16 Jun 8 13:39 namespace -> ..data/namespace11 lrwxrwxrwx 1 root root 12 Jun 8 13:39 token -> ..data/token
Opaque Secret
建立secret
手动加密,基于base64加密vim
1 [root@k8s-master ~]# echo -n 'admin' |base642 YWRtaW4=
3 [root@k8s-master ~]# echo -n '1f2d1e2e67df' |base644 MWYyZDFlMmU2N2Rm
yaml文件api
1 [root@k8s-master secret]# pwd
2 /root/k8s_practice/secret3 [root@k8s-master secret]# catsecret.yaml4 apiVersion: v15 kind: Secret6 metadata:7 name: mysecret8 type: Opaque9 data:10 username: YWRtaW4=
11 password: MWYyZDFlMmU2N2Rm
或者经过以下命令行建立【secret名称故意设置不同,以方便查看对比】,生成secret后会自动加密,而非明文存储。服务器
kubectl create secret generic db-user-pass --from-literal=username=admin --from-literal=password=1f2d1e2e67df
生成secret,并查看状态app
1 [root@k8s-master secret]# kubectl apply -f secret.yaml2 secret/mysecret created3 [root@k8s-master secret]#4 [root@k8s-master secret]# kubectl get secret ### 查看默认名称空间的secret简要信息5 NAME TYPE DATA AGE6 basic-auth Opaque 12d12h7 default-token-v48g4 kubernetes.io/service-account-token 327d8 mysecret Opaque 223s ### 可见已建立9 tls-secret kubernetes.io/tls 23d2h10 [root@k8s-master secret]#11 [root@k8s-master secret]# kubectl get secret mysecret -o yaml ### 查看mysecret详细信息12 apiVersion: v113 data:14 password: MWYyZDFlMmU2N2Rm15 username: YWRtaW4=
16 kind: Secret17 metadata:18 annotations:19 kubectl.kubernetes.io/last-applied-configuration: |
20 {"apiVersion":"v1","data":{"pa