k8s使用volume将ConfigMap作为文件或目录直接挂载_【大强哥-k8s从入门到放弃06】Secret详解...

最新推荐文章于 2024-02-19 11:53:05 发布
最新推荐文章于 2024-02-19 11:53:05 发布
阅读量372 收藏
点赞数
文章标签: k8s使用volume将ConfigMap作为文件或目录直接挂载

468e04551456f816764fcdb5fc25c36a.png

1、secret介绍

secret用来保存小片敏感数据的k8s资源,例如密码,token,或者秘钥。这类数据当然也可以存放在Pod或者镜像中,但是放在Secret中是为了更方便的控制如何使用数据,并减少暴露的风险。

用户可以创建自己的secret,系统也会有自己的secret。

Pod需要先引用才能使用某个secret

Pod有2种方式来使用secret:

  1. 作为volume的一个域被一个或多个容器挂载
  2. 在拉取镜像的时候被kubelet引用。

2、secret类型

內建的Secrets:

由ServiceAccount创建的API证书附加的秘钥
k8s自动生成的用来访问apiserver的Secret,所有Pod会默认使用这个Secret与apiserver通信

创建自己的Secret:

方式1:使用kubectl create secret命令
方式2:yaml文件创建Secret

3、创建secret

3.1、命令方式创建secret

假如某个Pod要访问数据库,需要用户名密码,分别存放在2个文件中:username.txt,password.txt

例子

# echo -n 'admin' > ./username.txt
# echo -n '1f2d1e2e67df' > ./password.txt

kubectl create secret指令将用户名密码写到secret中,并在apiserver创建Secret

# kubectl create secret generic db-user-pass --from-file=./username.txt --from-file=./password.txt

secret "db-user-pass" created

查看创建结果

# kubectl get secrets
NAME                TYPE                    DATA    AGE

db-user-pass      Opaque                    2       51s
注:
opaque:英[əʊˈpeɪk] 美[oʊˈpeɪk] 模糊 
# kubectl describe secrets/db-user-pass

Name:       db-user-pass

Namespace:    default

Labels:      <none>

Annotations:   <none>

Type:       Opaque
Data
====
password.txt:   12 bytes
username.txt:   5 bytes

get或describe指令都不会展示secret的实际内容,这是出于对数据的保护的考虑,如果想查看实际内容使用命令:

# kubectl get secret db-user-pass -o json

3.2、yaml方式创建Secret

创建一个secret.yaml文件,内容用base64编码

# echo -n 'admin' | base64
YWRtaW4=

# echo -n '1f2d1e2e67df' | base64
MWYyZDFlMmU2N2Rm

yaml文件内容

# vim secret.yaml

创建

# kubectl create -f ./secret.yaml

secret "mysecret" created

解析Secret中内容

# kubectl get secret mysecret -o yaml

4、使用Secret

secret可以作为数据卷挂载或者作为环境变量暴露给Pod中的容器使用,也可以被系统中的其他资源使用。比如可以用secret导入与外部系统交互需要的证书文件等。

4.1、在Pod中以文件的形式使用secret

创建一个Secret,多个Pod可以引用同一个Secret

修改Pod的定义,在spec.volumes[]加一个volume,给这个volume起个名字,spec.volumes[].secret.secretName记录的是要引用的Secret名字

在每个需要使用Secret的容器中添加一项spec.containers[].volumeMounts[],指定spec.containers[].volumeMounts[].readOnly = true,spec.containers[].volumeMounts[].mountPath要指向一个未被使用的系统路径。

修改镜像或者命令行使系统可以找到上一步指定的路径。此时Secret中data字段的每一个key都是指定路径下面的一个文件名

一个Pod中引用Secret的列子:

# vim pod_use_secret.yaml

每一个被引用的Secret都要在spec.volumes中定义

如果Pod中的多个容器都要引用这个Secret那么每一个容器定义中都要指定自己的volumeMounts,但是Pod定义中声明一次spec.volumes就好了。

4.2、映射secret key到指定的路径

可以控制secret key被映射到容器内的路径,利用spec.volumes[].secret.items来修改被映射的具体路径

apiVersion

发生了什么呢?

username被映射到了文件/etc/foo/my-group/my-username而不是/etc/foo/username

而password没有被使用,这种方式每个key的调用需要单独用key像username一样调用

4.3、Secret文件权限

可以指定secret文件的权限,类似linux系统文件权限,如果不指定默认权限是0644,等同于linux文件的-rw-r--r--权限

设置默认权限位

apiVersion

上述文件表示将secret挂载到容器的/etc/foo路径,每一个key衍生出的文件,权限位都将是0400

这里用十进制数256表示0400,可以使用八进制0400

同理可以单独指定某个key的权限

apiVersion

从volume中读取secret的值

以文件的形式挂载到容器中的secret,他们的值已经是经过base64解码的了,可以直接读出来使用。

# ls /etc/foo/
username
password

# cat /etc/foo/username
admin

# cat /etc/foo/password
1f2d1e2e67df

4.4、secret扩展内容

被挂载的secret内容自动更新

也就是如果修改一个Secret的内容,那么挂载了该Secret的容器中也将会取到更新后的值,但是这个时间间隔是由kubelet的同步时间决定的。最长的时间将是一个同步周期加上缓存生命周期(period+ttl)

特例:以subPath(https://kubernetes.io/docs/concepts/storage/volumes/#using-subpath)形式挂载到容器中的secret将不会自动更新

以环境变量的形式使用Secret

创建一个Secret,多个Pod可以引用同一个Secret

修改pod的定义,定义环境变量并使用env[].valueFrom.secretKeyRef指定secret和相应的key

修改镜像或命令行,让它们可以读到环境变量

变量名:admin(secretkey(mysecret-->username=admin))

apiVersion

容器中读取环境变量,已经是base64解码后的值了:

# echo $SECRET_USERNAME
admin

# echo $SECRET_PASSWORD
1f2d1e2e67df

使用imagePullSecrets

创建一个专门用来访问镜像仓库的secret,当创建Pod的时候由kubelet访问镜像仓库并拉取镜像,具体描述文档在 这里

设置自动导入的imagePullSecrets

可以手动创建一个,然后在serviceAccount中引用它。所有经过这个serviceAccount创建的Pod都会默认使用关联的imagePullSecrets来拉取镜像,参考文档

自动挂载手动创建的Secret

参考文档:https://kubernetes.io/docs/tasks/inject-data-application/podpreset/

限制

需要被挂载到Pod中的secret需要提前创建,否则会导致Pod创建失败

secret是有命名空间属性的,只有在相同namespace的Pod才能引用它

单个Secret容量限制的1Mb,这么做是为了防止创建超大的Secret导致apiserver或kubelet的内存耗尽。但是创建过多的小容量secret同样也会耗尽内存,这个问题在将来可能会有方案解决

kubelet只支持由API server创建出来的Pod中引用secret,使用特殊方式创建出来的Pod是不支持引用secret的,比如通过kubelet的--manifest-url参数创建的pod,或者--config参数创建的,或者REST API创建的。

通过secretKeyRef引用一个不存在你secret key会导致pod创建失败

用例

Pod中的ssh keys

创建一个包含ssh keys的secret

kubectl create secret generic ssh-key-secret --from-file=ssh-privatekey=/path/to/.ssh/id_rsa --from-file=ssh-publickey=/path/to/.ssh/id_rsa.pub

创建一个Pod,其中的容器可以用volume的形式使用ssh keys

kind

Pod中区分生产和测试证书

创建2种不同的证书,分别用在生产和测试环境

# kubectl create secret generic prod-db-secret --from-literal=username=produser --from-literal=password=Y4nys7f11
secret "prod-db-secret" created

# kubectl create secret generic test-db-secret --from-literal=username=testuser --from-literal=password=iluvtests
secret "test-db-secret" created

再创建2个不同的Pod

apiVersion

两个容器中都会有下列的文件

/etc/secret-volume/username
/etc/secret-volume/password

以“.”开头的key可以产生隐藏文件

kind

会在挂载目录下产生一个隐藏文件,/etc/secret-volume/.secret-file

weixin_39972996
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Windows10远程桌面连接提示:出现身份验证错误,要求的函数不受支持。。。_大博客-CSDN博客.pdf
04-25
Windows10远程桌面连接提示:出现身份验证错误,要求的函数不受支持。。。_大博客-CSDN博客.pdf
应用配置管理
阿里巴巴云原生的博客
10-28 310
本节课程要点 ConfigMaps 和 Secret 资源的创建和使用; Pod 身份认证的实现和原理; 容器资源、安全、前置校验等配置和使用。 细分为以下八个方面: 需求来源 背景问题 首先一起来看一下需求来源。大家应该都有过这样的经验,就是用一个容器镜像来启动一个 container。要启动这个容器,其实有很多需要配套的问题待解决: 第一,比如说一些可变的配置。因为我们不可能把一些可变...
k8s往secret里导入证书_k8s之secret
weixin_33268464的博客
12-31 1510
secret介绍1、configmap都是明文存数据的,所以我们不能用它来访问,所以我们使用secret,但它比configmap要麻烦一点,只有敏感数据采用secrt来存放,比如你的私钥和证书,这个时候私钥和证书要放在secret中,其它内容应该放在configmap中,另外还有,比如我们连接mysql是我们打算把密码写在配置文件中,这个时候我们要把密码写成secret,而不能定义成config...
K8s Deployment挂载ConfigMap权限设置
cn_lyg的博客
02-19 1052
K8s挂载ConfigMap权限设置
k8s往secret里导入证书_K8S之Secret
weixin_39805998的博客
12-22 1195
简介secret顾名思义,用于存储一些敏感的需要加密的数据。这些数据可能是要保存在pod的定义文件或者docker的镜像中。把这些数据通过加密的方式存放到secrets对象中,可以降低信息泄露的风险。在secret中存储的数据都需要通过base64进行转换加密后存放。创建secret1、加密用户名密码假设有两个敏感数据,分别是用户名breeze,密码:123456。首先需要使用base64来转换数...
k8s往secret里导入证书_Kubernetes K8S之存储Secret详解
weixin_39604598的博客
12-22 894
K8S之存储Secret概述与类型说明,并详解经常使用Secret示例html主机配置规划服务器名称(hostname)系统版本配置内网IP外网IP(模拟)k8s-masterCentOS7.72C/4G/20G172.16.1.11010.0.0.110k8s-node01CentOS7.72C/4G/20G172.16.1.11110.0.0.111k8s-node02CentOS7.72C/...
k8s往secret里导入证书_Kuebrnetes 0-1 了解Secret
weixin_39559382的博客
01-01 158
通常我们的应用程序的配置都会包含一些敏感信息,例如数据库连接字符串,证书,私钥等,为了保证其安全性,K8S提供了Secret资源对象来保存敏感数据,它和CongfigMap类似,也是键值对的映射,并且使用方式也几乎一样。介绍SecretSecret中存储着键值对数据,可以作为环境变量传递给容器作为文件挂载到容器的VolumeSecret会存储在Pod所调度的节点的内存中,而不是写入磁盘。Pod默认...
学易之批量读写配置文件.rar
03-12
学易之批量读写配置文件.rar
学易之大记事本.zip易语言项目例子源码下载
03-21
学易之大记事本.zip易语言项目例子源码下载大学易之大记事本.zip易语言项目例子源码下载 1.合个人学习技术做项目参考 2.适合学生做毕业设计参考 3.适合小团队开发项目参考
k8s-grpc-demo
07-06
基于pod和deployment的容器化部署的demo
学易之大写字板.zip易语言项目例子源码下载
03-21
学易之大写字板.zip易语言项目例子源码下载大学易之大写字板.zip易语言项目例子源码下载 1.合个人学习技术做项目参考 2.适合学生做毕业设计参考 3.适合小团队开发项目参考
K8S对象-secret及应用(k8s 使用harbor镜像仓库,http,https 自签CA证书)
运维玄德公
06-07 1479
1. 概述 1.1 作用 1.2 三种类型 2. docker registry 2.1 http库的使用 2.2 https仓库的使用 2.2.1 获取config.json的编码 2.2.2 创建secret 2.2.3 使用 3. generic 4. tls
k8s环境生成自签名证书配置secret tls并配置到浏览器
lucky_ykcul的博客
08-23 2146
最近公司的网站偶尔会出现“network error”的报错导致网页不稳定,打开开发者工具发现报错为“Failed to load resource: net ::ERR_CERT_AUTHORITY_INVALIED”原因为网页存在认证问题。解决措施有三种:1.申请域名购买证书;2.自己生成自签名证书;3.将https访问方式改为http。综合考虑成本和安全因素后决定使用自签名证书来解决此问题。
k8s敏感数据存储:Secret
Sebastien23的博客
11-05 1274
此外,任何有权限在命名空间中创建Pod的人都可以读取该命名空间中的任何Secret,包括间接访问,例如创建Deployment。默认情况下,所引用的Secret都是必需的。如果Pod引用了Secret中的特定主键,而虽然Secret本身存在,对应的主键不存在,Pod启动也会失败。字段来填充环境变量的Secret而言,如果其中包含的Key不能被当做合法的环境变量名,这些主键会被忽略掉。当卷中包含来自Secret的数据,而对应的Secret被更新,Kubernetes会跟踪到这一操作并更新卷中的数据。
k8s往secret里导入证书_k8s实践 - 如何优雅地给微服务网关(kong)配置证书和插件
weixin_33764387的博客
01-06 507
作者:justmine(大数据达摩院)出处:https://www.cnblogs.com/justmine创作不易,欢迎转载,但必须在文章开头保留此段声明,否则保留追究法律责任的权利。前言从去年上半年微服务项目上线以来,一直使用kong作为微服务API网关,整个项目完全部署于k8s,一路走来,对于k8s,对于kong,经历了一个从无到有,从0到1的过程,也遇到过了一些坎坷,今天准备分享一些实际的...
k8s 的 secret 配置
zw421152835的专栏
05-12 903
接到一个问题, 我们测试环境访问的域名证书有问题,导致在证书校验的环境不能正常访问。 大佬告诉我说复制其他环境的secret 来就好。 但我知道个鬼,从哪里下手呢? 1,基于对k8s的一点点了解,服务是有namespace 区分的,当前系统中肯定是有部署好的,首先要找到secret,看看是什么样子。 2,百度了一下, 在k8s上配置ingress并启用HTTPS证书 - 走看看 从这里了解到 配置证书 涉及两个地方secret,ingress 3,开干 a,查询服务器..
node-v4.8.6-win-x64.zip
05-07
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
基础运维技能(下)md格式笔记
最新发布
05-07
基础运维技能(下)md格式笔记
node-v8.1.2-linux-armv7l.tar.xz
05-07
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
1. 在实验1的基础上向book、members以及sell数据表录入以下数据记录。 (1). book表 ('TP.2462', '计算机', '计算机应用基础', '陆大', '清华大学出版社', '2018-10-19', 45.00, 45, 0.80, NULL) ('TP.2463', '计算机', '计算机网络技术', '林力辉', '清华大学出版社', '2020-10-16', 25.50, 31, 0.80, 'D\\pic\\ll.jpg') ('TP.2525', '计算机',
06-11
抱歉,我是一名自然语言处理模型,无法直接操作数据库。但是我可以告诉你如何向数据库中插入数据记录。 你需要使用SQL语句中的INSERT INTO命令,然后指定要插入数据的表名和数据列,最后在VALUES子句中指定要插入的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值