k8s往secret里导入证书_K8s 安全抽象:Secret

最新推荐文章于 2024-07-21 14:19:52 发布
最新推荐文章于 2024-07-21 14:19:52 发布
阅读量354 收藏 1
点赞数
文章标签: k8s往secret里导入证书
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39852491/article/details/111849205
版权
本文详细介绍了Kubernetes(K8s)中的Secret,包括Secret的作用、分类及创建方法,如通过字面量、文件和YAML创建generic secret,并展示了如何在Pod中应用Secret作为环境变量、挂载卷和映射目录。此外,还涵盖了如何创建docker-registry secret以拉取私有镜像,以及创建TLS secret以实现SSL通信。
摘要由CSDN通过智能技术生成

# K8s 安全抽象:Secret

> [K8s Secret](https://kubernetes.io/zh/docs/concepts/configuration/secret/)

> [为 Pod 配置服务账户](https://kubernetes.io/zh/docs/tasks/configure-pod-container/configure-service-account/)

Secret 是对敏感信息的抽象,例如:密码、token、SSH key,其他对象可引用Secret。

Pod 使用 Secret 有两种场景:

* 作为 volume 中的文件被挂载到 Pod 中一个或多个容器中

* 拉取镜像时需要使用 secret 作为安全凭证

## Secret 分类

Secret 可分为三类:

* **docker-registry**: 创建一个给 Docker Registry 使用的 secret,实际是保存了账户密码。

* **generic**:从本地 file, directory 或者 literal value 创建一个 secret。

* **tls**:创建一个 TLS secret。

## 创建 generic secret

### 通过 literal(字面量)创建

创建一个order数据库的secret,包含账户密码两个字段。

```bash

kubectl create secret generic db-order-secret --from-literal=username=admin --from-literal=password=123456

```

> literal 中若包含特殊字符则需要进行转义,如"123456!" 需设置为 "123456​\\!"

查看secret,`describe secret db-order-secret`,查看时隐藏了字段值,仅展示了字节数。

对应的API对象为 **Opaque([oʊˈpeɪk])**,译为"不透明物",等同于"敏感数据"。

```

Name: db-order-secret

Namespace: default

Labels:

Annotations:

Type: Opaque

Data

====

password: 6 bytes

username: 5 bytes

```

再看看其yaml形态:

```bash

kubectl get secret db-order-secret -o yaml

```

其中字段是base64编码后的值。

```yaml

apiVersion: v1

data:

password: MTIzNDU2

username: YWRtaW4=

kind: Secret

metadata:

creationTimestamp: "2020-03-14T04:21:29Z"

name: db-order-secret

namespace: default

resourceVersion: "28023453"

selfLink: /api/v1/namespaces/default/secrets/db-order-secret

uid: 5c60f906-ec8e-4277-8b96-caa75ef6589a

type: Opaque

```

解码password字段,值为`123456`。

```bash

$ echo MTIzNDU2 | base64 --decode

123456

```

### 通过文件创建

在当前目录创建一个RSA 公私钥对作为例子。

```bash

$ ssh-keygen

Generating public/private rsa key pair.

Enter file in which to save the key (/root/.ssh/id_rsa): ./id_rsa

Enter passphrase (empty for no passphrase):

Enter same passphrase again:

Your identification has been saved in ./id_rsa.

Your public key has been saved in ./id_rsa.pub.

```

将私钥创建为secret,公钥可分发给另一方。

```bash

kubectl create secret generic rsa-key-secret --from-file=./id_rsa

```

### 通过yaml创建

通过yaml提供元数据以创建secret,字段需用base64先编码,如: `echo -n admin | base64`。

```yaml

apiVersion: v1

kind: Secret

metadata:

name: db-user-secret

type: Opaque

data:

username: YWRtaW4=

password: MTIzNDU2

```

然后创建Secret即可。

```bash

kubectl apply -f ./secret.yaml

```

### Pod 中应用Secret

下面的例子演示了Secret 的三种应用方式。

* 作为volume直接挂载,在容器中可直接使用

* 在环境变量中使用secret

* 向特定目录映射secret

下面是Pod yaml。

```yaml

apiVersion: v1

kind: Pod

metadata:

name: nginx

spec:

containers:

- name: nginx-container

image: nginx

env:

- name: SECRET_USERNAME

# 使用secret 做环境变量

valueFrom:

secretKeyRef:

name: db-user-secret

key: username

volumeMounts:

# 将secret作为volume挂载

- name: volume1

mountPath: "/etc/foo1"

readOnly: true

# 向特定目录映射secret

- name: volume2

mountPath: "/etc/foo2"

readOnly: true

volumes:

- name: volume1

secret:

secretName: db-user-secret

- name: volume2

secret:

secretName: db-user-secret

items:

- key: username

path: usernameFile

```

创建Pod,然后进入Pod验证效果。

* 做环境变量

```yaml

- name: SECRET_USERNAME

valueFrom:

secretKeyRef:

name: db-user-secret

key: username

```

结果如下:

```bash

$ env | grep SECRET_USERNAME

SECRET_USERNAME=admin

```

* 挂载到容器

```yaml

volumeMounts:

- name: volume1

mountPath: "/etc/foo1"

readOnly: true

```

效果如下:

```bash

$ ls -l /etc/foo1

total 0

lrwxrwxrwx 1 root root 15 Mar 14 07:49 password -> ..data/password

lrwxrwxrwx 1 root root 15 Mar 14 07:49 username -> ..data/username

```

* 向特定目录映射secret

```yaml

spec:

volumeMounts:

- name: volume2

mountPath: "/etc/foo2"

readOnly: true

volumes:

- name: volume2

secret:

secretName: db-user-secret

items:

- key: username

path: usernameFile

```

将 username 字段映射到了 `/etc/foo2/usernameFile` 中

```bash

$ cat /etc/foo2/usernameFile

admin

```

## 创建 docker-registry secret 拉取镜像

构建、部署时需要拉取镜像,可以向Pod提供一个secret专门用于拉取镜像。

以腾讯云镜像仓库为例,`ccr.ccs.tencentyun.com/easyk8s/nginx` 是一个私有的demo镜像。

利用下面yaml跑一个简单Pod:

```yaml

apiVersion: v1

kind: Pod

metadata:

name: nginx

spec:

containers:

- name: nginx-container

image: ccr.ccs.tencentyun.com/easyk8s/nginx:1.17

```

运行后Pod Event如下,出现 `Error: ErrImagePull` 。

![](https://imgcdn.chenyongjun.vip/2020/03/14/2.png)

接下来创建一个secret专门用于拉取镜像。

```bash

kubectl create secret docker-registry registry-tecent-secret \

--docker-server=ccr.ccs.tencentyun.com \

--docker-username=name \

--docker-password=password

```

在 Pod 中使用 secret。

```yaml

apiVersion: v1

kind: Pod

metadata:

name: nginx

spec:

containers:

- name: nginx-container

image: ccr.ccs.tencentyun.com/easyk8s/nginx:1.17

imagePullSecrets:

- name: registry-tecent-secret

```

应用yaml后Pod成功创建。

![](https://imgcdn.chenyongjun.vip/2020/03/14/3.png)

通过`kubectl get secret registry-tecent-secret -o yaml` 拿到的 `registry-tecent-secret` 的yaml结构如下:

```

apiVersion: v1

data:

.dockerconfigjson: eyJhdXR...

kind: Secret

metadata:

creationTimestamp: "2020-03-14T05:01:04Z"

name: registry-tecent-secret

namespace: default

resourceVersion: "28027921"

selfLink: /api/v1/namespaces/default/secrets/registry-tecent-secret

uid: a05ae3c0-b504-448b-bc78-8c540b2dda6c

type: kubernetes.io/dockerconfigjson

```

其中 **.dockerconfigjson** 通过base64解码后可以拿到docker-registry的账户密码。

## 创建tls secret

存储用于SSL通讯的私钥文件和证书文件,下面以nginx为例子。

预先准备好nginx ssl 通讯所需的key和crt文件.

```bash

kubectl create secret tls nginx-ssl-secret \

--key=nginx.key \

--cert=nginx.crt

```

下面是 secret 的数据,其类型为:`kubernetes.io/tls`

```bash

$ kubectl describe secret/nginx-ssl-secret

Name: nginx-ssl-secret

Namespace: default

Labels:

Annotations:

Type: kubernetes.io/tls

Data

====

tls.crt: 4241 bytes

tls.key: 1679 bytes

```

在nginx pod 中应用该secret,作为volume映射到容器中。

```yaml

apiVersion: v1

kind: Pod

metadata:

name: nginx

spec:

containers:

- name: nginx-container

image: nginx

volumeMounts:

- name: nginx-crt

mountPath: /etc/nginx/ssl

readOnly: true

volumes:

- name: nginx-crt

secret:

secretName: nginx-ssl-secret

```

运行Pod后进入Pod查看 `/etc/nginx/ssl` 目录,可看到映射的证书、私钥文件,不过名字从 `nginx.crt, nginx.key` 变为了 `tls.crt, tls.key`。

```bash

$ ls -l /etc/nginx/ssl/

total 0

lrwxrwxrwx 1 root root 14 Mar 14 08:42 tls.crt -> ..data/tls.crt

lrwxrwxrwx 1 root root 14 Mar 14 08:42 tls.key -> ..data/tls.key

```

接着可以在nginx配置中使用这两个文件完成ssl通讯配置。

## 常用 Secret 示意图

![](https://imgcdn.chenyongjun.vip/2020/03/14/5.png)

扫码或搜索 codercyj 关注微信公众号, 结伴学习, 一起努力

weixin_39852491
关注
k8s核心操作_存储抽象_K8S中使用Secret功能来存储密码_使用免密拉取镜像_k8s核心实战总结---分布式云原生部署架构搭建033
添柴程序猿的专栏
07-17 8730
可以看到这个是镜像内容,注意这面没有引入secret,上面的配置文件引入了,可以先去掉.看效果。比如我们在公共仓库中个guignginx仓库,我们看到右边,显示他现在是。可以看到拉取镜像的时候报错了对吧,说access denied 因为镜像是私有的.然后下面我们会看一个更强大的,工具,可以进行完全在线,将监控等等,都统合起来。我们现在是从公共仓库拉取的,如果我们从私有仓库拉取,有密码。比如我们有个pod,他的镜像,如果是需要密码的,那么。
k8ssecret导入证书_Rancher 修改Kubernetes Ingress默认ssl证书
weixin_29715563的博客
12-23 1305
Rancher: v2.2.3 Kubernetes: v1.13.5准备证书密钥: mycert.cert 准备证书: mycert.cert # 创建证书secret yaml文件并命名为ingress-default-cert kubectl -n ingress-nginx create secret tls ingress-default-cert --cert=mycert.cert...
begin必须声明标识符_再也不用担心学不会K8S!17个K8S初学者必须掌握的知识点...
weixin_35844772的博客
12-20 151
转自 RancherLabs 文章!我看完了,非常全,言简意赅!Kubernetes是一个可移植、可扩展的开源平台,用于管理容器化的工作负载和服务,有助于声明式配置和自动化。目前,Kubernetes正在以强劲的势头持续发展,其相关的生态也在不断完善。本文中,我们列出了所有Kubernetes入门者对于部署和管理Kubernetes容器不得不关注的17个方面。1、 设置Kubernetes集群Ku...
【Kubernetes 系列】一文学会Kubernetes Service安全的暴露应用
最新发布
2401_85236365的博客
07-21 395
现在,我们执行上面的命令,就可以暴露我们的service了,执行结果如下:现在我们就能够从集群中任意节点上使用curl命令向发送请求以访问 Nginx Service。2.3、访问 ServiceKubernetes支持两种查找服务的主要模式: 环境变量和 DNS。这我将只介绍环境变量的查找方式。当 Pod 在节点上运行时,kubelet 会针对每个活跃的 Service 为 Pod 添加一组环境变量。这就引入了一个顺序的问题。
k8s-secret 配置使用secret
weixin_44204737的博客
04-27 1628
◆ kubernetes.io/basic-auth:用于使用基本认证(账号密码)的Secret,可以使用Opaque取代;secret的使用方式和configmap很像,secret使用加密的方式更加安全,configmap更适合传递配置文件。◆ kubernetes.io/tls:用于存储HTTPS域名证书文件的Secret,可以被Ingress使用;◆ kubernetes.io/dockerconfigjson:下载私有仓库镜像使用的Secret,◆Opaque:通用型Secret,默认类型;
K8S学习指南(19)-k8s核心对象secret
俞兆鹏的博客
12-16 3078
在Kubernetes中,Secret是一种用于存储敏感信息的对象,如密码、令牌、密钥等。它主要用于将这些敏感信息以安全的方式传递给Pod中的容器。Secret对象通常包含Base64编码的数据,以确保在Kubernetes中的传输过程中保持安全性。安全存储敏感信息:将密码、令牌等敏感信息存储在Secret对象中,避免明文存储,提高安全性。传递给Pod中的容器:通过挂载Secret到Pod中,容器可以读取其中的敏感信息,实现应用程序的安全配置。用于TLS证书
Kubernetes之Ingress
Button的博客
07-07 503
kubernetes中的ingress
K8S入门基础课件docx版本
08-03
2. **Service**: Service是K8S中的抽象层,它定义了一种访问Pod的方式,提供了负载均衡和持久化DNS名称。即使Pod重启,Service仍然可以继续提供服务。 3. **Deployment**: Deployment是用于管理Pod和ReplicaSet的...
Kubernetes(k8s)2020版入门笔记和资料(尚).zip
07-28
Kubernetes,简称k8s,是Google开源的一种容器编排系统,用于自动化容器化应用程序的部署、扩展和管理。本资源包含2020版的Kubernetes入门笔记和相关资料,对于初学者或希望深入理解k8s的IT从业者来说极具价值。 ...
Tars深度融合K8S的开源项目1.2.3版本代码包K8SFramework-master_v1.2.3.zip
03-20
Tars通常使用TCP进行高效通信,而K8S提供了一种名为Service的网络抽象,可以为每个服务分配一个虚拟IP。K8SFramework在两者之间架起桥梁,确保Tars服务之间的通信仍然高效且透明。 此外,K8SFramework还可能包含了...
k8s容器集群讲义.zip
11-29
9. **安全与认证**:Kubernetes使用TLS证书进行节点间通信,Role-Based Access Control (RBAC) 实现细粒度的权限管理,Secret用于安全地存储敏感信息。 10. **故障排查与维护**:学习如何使用kubectl、describe、...
k8ssecret导入证书_k8ssecret
weixin_33268464的博客
12-31 1584
secret介绍1、configmap都是明文存数据的,所以我们不能用它来访问,所以我们使用secret,但它比configmap要麻烦一点,只有敏感数据采用secrt来存放,比如你的私钥和证书,这个时候私钥和证书要放在secret中,其它内容应该放在configmap中,另外还有,比如我们连接mysql是我们打算把密码写在配置文件中,这个时候我们要把密码写成secret,而不能定义成config...
Kubernetes应用中使用TLS/SSL证书的两种方法及实践 详细整理版
且炼时光
08-27 7269
k8s应用注入自签发的TLS/SSL证书有两种思路:1.使用certificates.k8s.io API 进行签发。2. 自己生成CA证书进行签发,将所需的证书及公密钥打包进secret。本文将对这两种方法进行比较并动手实践。 文章目录零 获取自签发CA根证书1. 准备好openssl工具2. 创建 CA证书签名申请 配置文件(ca-csr-config.json)3. 生成 CA密钥及证书一 certificates.k8s.io API签发1 配置kubernetes使用自定义的CA根证书二 使用自
如何在kubernetes的pod上部署https的证书
mkjc_hj的专栏
01-17 588
在kubernetes的pod上部署https的证书
K8s secret配置
杨仕虎的博客
02-09 1846
secret secret用于保存铭感信息,比如密码、ssh-key、令牌等等 存储格式:K/V键值对 使用方式:环境变量和挂载(volumes) 密文方式:base64 创建方式:命令行创建和配置清单 使用场景: opaque:通用自定义数据,base64编码 kubernetes.io/service-account-token:用于存储SA用户认证信息 kubernetes.io/dockerconfigjson:用户存储docker仓库认证信息 kubernetes.io/tls:用于tls通讯
kubernetes1.22 helm ingress-nginx 使用笔记
weixin_39873598的博客
09-26 2342
kubernetes1.22 helm ingress-nginx 使用笔记
K8s 安全抽象Secret
梦想起飞的地方.........
05-19 713
​​​​​​ Secret 是对敏感信息的抽象,例如:密码、token、SSH key,其他对象可引用Secret。 Pod 使用 Secret 有两种场景: 作为 volume 中的文件被挂载到 Pod 中一个或多个容器中 拉取镜像时需要使用 secret 作为安全凭证 Secret 分类 Secret 可分为三类: docker-registry: 创建一个给 Docker Registry 使用的 secret,实际是保存了账户密码。 generic:从本地 file, direct
k8s 存储之secret
leechm的博客
09-04 747
目录 Service Account Opaque Secret Ⅰ、创建说明 Ⅱ、使用方式 1、将 Secret 挂载到 Volume 中 2、将 Secret 导出到环境变量中 kubernetes.io/dockerconfigjson Secret 存在意义 Secret 解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Spec中。Secret 可以以 Volume 或者环境变量的方式使用。也就意味着我们有一些密码被我们的pod去使用
K8s部署MySQL:全套YAML文件创建指南
资源摘要信息:"k8s创建mysql的全套yaml文件" 知识点: 1. Kubernetes (k8s) 简介: Kubernetes(通常缩写为K8s)是一个开源的,用于自动部署、扩展和管理容器化应用程序的系统。它由Google的工程师们设计并捐赠给...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值