k8s-secret 配置使用secret

已于 2024-02-26 14:57:16 修改
阅读量968 收藏
点赞数 1
文章标签: kubernetes docker 容器
于 2023-04-27 10:56:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44204737/article/details/127861036
版权

secret的使用方法

secret的使用方式和configmap很像,secret使用加密的方式更加安全,configmap更适合传递配置文件。

secret的类型

◆Opaque:通用型Secret,默认类型;
◆ kubernetes.io/service-account-token:作用于ServiceAccount,包含一个令牌,用于标识API服务账户;
◆ kubernetes.io/dockerconfigjson:下载私有仓库镜像使用的Secret,
和宿主机的/root/.docker/config.json一致,宿主机登录后即可产生该文件;
◆ kubernetes.io/basic-auth:用于使用基本认证(账号密码)的Secret,可以使用Opaque取代;
◆ kubernetes.io/ssh-auth:用于存储ssh密钥的Secret;
◆ kubernetes.io/tls:用于存储HTTPS域名证书文件的Secret,可以被Ingress使用;
◆ bootstrap.kubernetes.io/token:一种简单的 bearer token,
用于创建新集群或将新节点添加到现有集群,在集群安装时可用于自动颁发集群的证书。

创建secret
使用命令的方式创建,从文件来生成参数

用文件创建secret,两个文件一个创建用户名一个创建密码。

echo -n "admin" > user.txt #创建文件user写入值admin
echo -n "Huawei@123" > password.txt #创建文件password.txt写入值Huawei@123
kubelet create secret generic secret-name --from-file=user.txt --from-file=password.txt
# generic secret的类型
kubelet describe secret  secret-name #查看secret
Name:         db-user-pass
Namespace:    default
Labels:       <none>
Annotations:  <none>

Type:  Opaque

Data
====
password.txt:  10 bytes
user.txt:      5 bytes

用文件创建secret,一个文件中同时创建用户名密码

cat 1.txt
user=admin
password=123qer
kubectl create secret generic secret-pass2 --from-env-file=1.txt
使用yaml创建secret文件
echo -n "admin" | base64 #生成用户名和密码的base64的加密,应为secret是使用base64加密的。
echo -n “Huawai@123” | base64
cat secret.yaml # 使用加密过的数值创建
apiVersion: v1
kind: Secret
metadata:
  name: mysecret
data:
  user: YWRtaW4=
  password: SHVhd2VpQDEyMw==
kubectl describe secret mysecret #查看详细信息
Name:         mysecret
Namespace:    default
Labels:       <none>
Annotations:  
Type:         Opaque
Data
====
password:  10 bytes
user:      5 bytes
在pod中使用secret

使用mount挂载到pod中,这样会生成以键命名的文件,内容是value的值。

#使用volume挂载
apiVersion: v1
kind: Pod
metadata:
  name: secretpod
spec:
  containers:
  - name: secretpod-test
    image: busybox
    args: ["/bin/sh","-c","sleep 3000"]
    volumeMounts:
    - name: mysecrettest
      mountPath: "/etc/config"
      readOnly: true
  volumes:
  - name: mysecrettest
    secret:
      secretName: mysecret

使用env生成环境变量

#使用env应用secret
apiVersion: v1
kind: Pod
metadata:
  name: envsecretpod
spec:
  containers:
  - name: envsecretpodd
    image: busybox
    args: ["/bin/sh","-c","sleep 3000"]
    env:
      - name: PASSWORD
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: password
      - name: USER
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: user
#使用envFrom引用secret
apiVersion: v1
kind: Pod
metadata:
  name: secretenvfrom
spec:
  containers:
  - name: secretenvfrom
    image: nginx
    envFrom:
    - secretRef:
        name: my-secret

在拉取私有镜像仓库镜像时,使用secret

用secret来存储私有镜像仓库的用户名密码及地址
创建方法:

kubectl create secret docker-registry myregistrykey \
#secret的类型 
--docker-server=DOCKER_REGISTRY_SERVER \ #仓库地址
--docker-username=DOCKER_USER \   #用户名
--docker-password=DOCKER_PASSWORD \ #密码
--docker-email=DOCKER_EMAIL #email

如何使用,在pod内增加字段如下:

spec:
imagePullSecrets:
- name: myregistry #sercet的名称
containers:

使用HTTPS域名证书

用secret来存储域名证书
创建secret

kubectl -n default create secret tls nginx-test-tls --key=tls.key --cert=tls.crt

在pod内使用

apiVersion: networking.k8s.io/v1beta1
kind: Ingress
metadata:
  name: nginx-https-test
  namespace: default
  annotations:
    kubernetes.io/ingress.class: "nginx"
spec:
  rules:
  - host: https-test.com
  http:
    paths:
    - backend:
        serviceName: nginx-svc
        servicePort: 80
  tls: #增加tls字段
  - secretName: nginx-test-tls

设置configmap和secret不可更改

在configmap中加入immutable=true可以限制对configmap和secret的更改.

apiVersion: v1
data:
  nginx.conf: |2

    user  nginx;
    worker_processes  auto;

    error_log  /var/log/nginx/error.log notice;
    pid        /var/run/nginx.pid;


    events {
        worker_connections  512;
    }


    http {
        include       /etc/nginx/mime.types;
        default_type  application/octet-stream;

        log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                          '$status $body_bytes_sent "$http_referer" '
                          '"$http_user_agent" "$http_x_forwarded_for"';

        access_log  /var/log/nginx/access.log  main;

        sendfile        on;

        keepalive_timeout  65;


        include /etc/nginx/conf.d/*.conf;
immutable: true #加入此参数可以设置configmap不能修改
kind: ConfigMap
metadata:
  creationTimestamp: "2024-02-23T08:34:10Z"
  name: nginx.conf
  namespace: default
  resourceVersion: "205391230"
  uid: 5323f420-cf45-42b5-b53c-3ed3f3b461e2
weixin_44204737
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
K8S Secret管理之SealedSecrets
Blue summer的博客
05-20 820
我们通常将应用程序使用的密码、API密钥保存在K8S Secret中,然后应用去引用。对于这些敏感信息,安全性是至关重要的,而传统的存储方式可能会导致密钥在存储、传输或使用过程中受到威胁,例如在git中明文存储密码或在配置文件中以明文形式存放密码。
vault-k8s-secret-engine
03-30
Vault K8s动态服务帐户 该项目包含插件的源代码,该插件为短暂的服务帐户提供按需(动态)凭据。 如果凭据泄漏或滥用,这可以使爆炸半径保持相对较小。 注意:此插件仍在积极开发中内容建筑概貌这个插件是围绕秘密...
Kubernetes(十五)Configmap和Secret
wzj_110的博客
11-15 560
一 背景引出 前面我们学习了一些'常用的资源对象'的使用,但是'单纯依靠'这些资源对象,还'不足以'满足我们的日常需求 一个'重要的需求'就是'应用的配置管理'、'敏感信息的存储和使用(passwd、token)'、'容器运行资源的配置'、'安全管控'、'身份认证'等等 二 ConfigMap 对于'应用的可变配置'在 Kubernetes 中是通过一个'ConfigMap资源对象'来实现的 我们知道'许多应用'经常会有从'配置文件'、'命令行参数'或者'环境变量中'读取一...
k8s 存储之secret
leechm的博客
09-04 693
目录 Service Account Opaque Secret Ⅰ、创建说明 Ⅱ、使用方式 1、将 Secret 挂载到 Volume 中 2、将 Secret 导出到环境变量中 kubernetes.io/dockerconfigjson Secret 存在意义 Secret 解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Spec中。Secret 可以以 Volume 或者环境变量的方式使用。也就意味着我们有一些密码被我们的pod去使用
k8s拉取阿里云镜像配置secret
进行中
02-03 688
k8s部署secret
【云原生 | Kubernetes 实战】17、K8s 配置管理中心 Secret 实现加密数据配置管理
Stars.Sky 的博客
12-29 1806
K8s 配置管理中心 Secret 实现加密数据配置管理
Linux企业运维——Kubernetes(十)存储之Secret配置管理
weixin_44310047的博客
08-06 415
Linux企业运维——Kubernetes(十)存储之Secret配置管理 文章目录Linux企业运维——Kubernetes(十)存储之Secret配置管理1、Secret简介2、ServiceAccount3、Opaque Secret3.1、从文件中创建secret3.2、使用yaml文件创建secret3.3、将Secret挂载到Volume中3.4、向指定路径映射 secret 密钥3.5、将Secret设置为环境变量3.6、kubernetes.io/dockerconfigjson存储dock
学习笔记三十:K8S配置管理中心Secret实现加密数据配置管理
最新发布
weixin_43258559的博客
11-02 681
Configmap一般是用来存放明文数据的,如配置文件,对于一些敏感数据,如密码、私钥等数据时,要用secret类型。Secret解决了密码、token、秘钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。要使用 secret,pod 需要引用 secret。
k8s-coredns-1.8.6镜像包和安装文件
12-01
这意味着“k8s-coredns-1.8.6镜像包和安装文件”也可以在这样的环境下使用,尽管可能需要额外的适配和配置步骤。 总结来说,"k8s-coredns-1.8.6镜像包和安装文件"提供了在k8s集群中部署CoreDNS所需的一切资源。Core...
k8s-dashboardv2.0.3.zip
10-08
`k8s-dashboard-configmap-secret.yaml` 文件可能包含了 Dashboard 的配置映射(ConfigMap)和秘密(Secret)。ConfigMap 用于存储非敏感的配置数据,如设置或配置文件,而 Secret 则用于安全地存储密码、密钥等敏感...
k8s-二进制yaml.zip
09-15
5. **ConfigMap** 和 **Secret**:用来存储非敏感和敏感的配置数据,供Pod中的应用使用,避免硬编码在应用中。 6. **Volume**:为Pod提供持久化存储,即使Pod被调度到其他节点,数据依然保留。 在YAML文件中,我们...
k8s-config:配置
04-05
k8s 中,配置通常指的是各种 API 资源的定义,如 Deployment、Service、ConfigMap 和 Secret。这些资源定义了应用的部署方式、网络配置、数据存储以及安全设置等。k8s-config 主要处理这些配置对象,提供了一种...
Kubernetes secret使用详解
小楼一夜听春雨,深巷明朝卖杏花
11-18 1400
Secret 存在意义 K8s configmap可以注入pod之内成为环境变量或者是配置文件,这些都是以明文方式保存,如果碰到密码这种的以明文方式保存就不行了,Secret更加倾向于保存要加密的文件Secret 解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Spec中。Secret 可以以 Volume 或者环境变量的方式使用。密码这种可以先存储到secret里面,然后挂载到Pod里面即可。 Secret 有三种类型: Service Acc.
Kubernetesk8s)的存储Secret 详细介绍
南宫乘风-Linux运维-虚拟化容器-Python编程 ownit.top
02-08 1089
Secret 存在意义 Secret 解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Spec 中。Secret 可以以 Volume 或者环境变量的方式使用 Secret 有三种类型: Service Account :用来访问 Kubernetes API,由 Kubernetes 自动创建,并且会自动挂载到 Pod 的/run/se...
k8sk8s存储配置Secret
sl963216757的博客
07-11 1204
一、Secret 01_Secret简介 Secret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 将这些信息放在 secret 中比放在 Pod 的定义或者 容器镜像 中来说更加安全和灵活。 这样的信息可能会被放在 Pod 规约中或者镜像中。 用户可以创建 Secret,同时系统也创建了一些 Secret。 Kubernetes Secret 默认情况下存储为 base64-编码的、非加密的字符串。 默认情况下,能够访问 API 的任何人,或者能够访问 Kubernetes 下层数据存储(etcd
Kubernetes详解(四十二)——Secret应用
永远是少年
05-06 835
今天继续给大家介绍Linux运维相关知识,本文主要内容是Secret应用。 一、secret调用 二、secret动态更新 三、secret环境变量
Kubernetes(K8S2020)从入门到实践(3)
02-17
Kubernetes,简称K8S,是一个开源,用于管理多个容器化的应用,提供了应用部署,规划,更新维护的一种机制。 学习要求:本课程学习需要具有一定的Linux基础,并掌握Docker相关知识点。 知识讲解:1. Kubernetes配置和密钥管理2. Kubernetes对象管理3. Kubernetes StatefulSet应用4. Kubernetes资源管理和Pod自动扩容5. Kubernetes调度器6. Kubernetes集群管理更多K8s课程:ü  Kubernetes(k8s2020)从入门到实践(1)ü  Kubernetes(k8s2020)从入门到实践(2)
KubernetesSecret使用详解
热门推荐
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
10-26 1万+
Secret解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用Secret类型 Secret有三种类型: Opaque:base64编码格式的Secret,用来存储密码、密钥等;但数据也通过base64 –decode解码得到原始数据,所有加密性很弱。 kubernetes.io/doc...
k8s的yaml拉取私有仓库镜像配置
jialiu111111的博客
02-06 2829
拉取私有仓库镜像配置当我们制作好一个镜像后,我们可以传到公共镜像仓库,供所有人拉取使用,不需要指定拉取镜像的用户、密码。我们也可以将镜像推送到自己搭建的镜像库,比如harbor镜像仓库中,如果我们在镜像仓库中的项目是公开项目,拉取镜像也是不要用户名、密码的。但如果是私有项目,则需要指定用户名、密码才能拉取。下面将介绍两种方式通过用户名、密码拉取私有镜像制作拉取镜像secret不论是何种姿势拉取私有镜像,都需要先创建拉取镜像的secret。创建拉取镜像secret有两种方式,如下。
k8ssecret
09-14
Kubernetes(简称为K8s)中的Secret是用于存储敏感信息的对象,如API密钥、数据库密码等。它们以加密方式存储在Kubernetes集群中,确保在容器使用这些敏感信息时的安全性。 Secret可以在部署过程中被挂载到容器的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值