Secret
secret也是k8s中的一个资源对象,主要用于保存轻量的敏感信息,比如数据库用户名和密码,令牌,认证密钥等。
我们可以将这类敏感信息放在secret对象中,如果把它们暴露到镜像或者pod spec中稍显不妥,将其放在secret对象中可以更好地控制及使用,并降低意外暴露的风险。
Secret可以使用volume或者环境变量的方式来使用这些轻量级数据。
Secret有三种类型:
Service Account:用来访问kubernetes API,由k8s自动创建,并且会自动挂载到pod的/run/secrets/kubernetes.io/serviceaccount 目录中。
Opaque:base64编码格式的Secret,用来存储密码,密钥等。
kubernetes.io/dockerconfigjson: 用来存储私有docker registry的认证信息。
secret可以通过命令行或YAML文件来创建,假设我们需要存放在secret对象中的信息:
1, 用户名:root
2,密码:123456
1,创建Secret
创建Secret有以下四种方法:
1.1 通过--from-literal(以文字的方法创建)
[root@master ~]# kubectl create secret generic mysecret --from-literal=username=root --from-literal=password=123456
secret/mysecret created
//查看创建的secret:
//查看该secret的详细信息:
特点:每个--from-literal只能对应一条信息。比较繁琐。
1.2 通过--from-file(以文件的方式创建)
[root@master ~]# echo root > username
[root@master ~]# echo 123456 > password
[root@master ~]# kubectl create secret generic newsecret --from-file=username --from-file=password
secret/newsecret created
//查看创建的secret:
[root@master ~]# kubectl get secrets | grep newsecret
newsecret Opaque 2 64s
特点:同样是每个文件对应一条信息。每个文件中只能保存一个,为了保证机密性,导入后有必要将本地的文件删除掉。
1.3 通过--from-env-file(以变量的方式创建)
[root@master ~]# cat > env.txt <
> username=root
> password=123456
> EOF
[root@master ~]# kubectl create secret generic env-secret --from-env-file=env.txt
secret/env-secret created
特点:可以在文件里面保存多条信息,文件env.txt中每条key=value对应一条信息条目。
1.4 通过yaml配置文件:
#文件中的敏感数据必须是通过 base64 编码后的结果。
[root@master ~]# echo root | base64
cm9vdAo=
[root@master ~]# echo 123456 | base64
MTIzNDU2Cg==
#编写yaml文件:
apiVersion