k8s——加密管理 (secret,configmap)

最新推荐文章于 2024-09-22 15:20:15 发布
最新推荐文章于 2024-09-22 15:20:15 发布
阅读量3.3k 收藏 1
点赞数 1
分类专栏: docker linux运维 虚拟化 文章标签: docker 容器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44848382/article/details/107609789
版权
虚拟化 同时被 3 个专栏收录
37 篇文章 0 订阅
订阅专栏
docker
30 篇文章 0 订阅
订阅专栏
linux运维
18 篇文章 0 订阅
订阅专栏

k8s——加密管理

Kubenetes的加密管理:

Secret

Secret 解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Spec 中。Secret 可以以 Volume 或者环境变量的方式使用,SECRET会以密文的方式存储,容器通过文件或者变量访问数据,Secret 主要保存的是一些密码等加密的信息.

Secret的创建(1):

[root@k8smaster~]# kubectl create secret generic mysecret --from-literal=username=test --from-literal=password=123456
secret/mysecret created

generic: 从本地 file, directory 或者 literal value 创建一个 secret
–from-literal: 对应一个键值对

查看:

[root@k8smaster~]# kubectl get secrets 
NAME                  TYPE                                  DATA   AGE
default-token-hvq4p   kubernetes.io/service-account-token   3      18d
mysecret              Opaque                                2      33s

详细查看:

[root@k8smaster~]# kubectl describe secrets mysecret 
Name:         mysecret
Namespace:    default
Labels:       <none>
Annotations:  <none>

Type:  Opaque

Data
====
password:  6 bytes
username:  4 bytes

Secret的创建(2):

[root@k8smaster]# echo -n test>username
[root@k8smaster~]# echo -n 123456 > password
[root@k8smaster~]# kubectl create secret generic mysecret1 --from-file=username --from-file=password secret/mysecret1 created

–from-file 指定文件,每个文件都有一个信息条目

Secret的创建(3):

[root@k8smaster]# cat <<EOF> secret.txt
username=test
password=123456
EOF
[root@k8smaster]# kubectlcreatesecretgenericmysecret2 --from-env-file=secret.txt

–from-env-file :指定一个文件

Secret的创建(4):

[root@k8smaster]# kubectl create secret generic mysecret3 --from-literal=username=test --from-literal=password=123456 --dry-run -o yaml > mysecret.yml
[root@k8smaster]# cat mysecret.yml 
apiVersion: v1
data:
  password: TOvb
  username: dGVzdA==
kind: Secret
metadata:
  creationTimestamp: null
  name: mysecret3
[root@k8smaster]# kubectl apply-f mysecret.yml
Pod通过volume的方式使用secret
apiVersion: v1
kind: Pod
metadata:
  name: pod
spec:
  containers:
  - name: pod
    image: busybox
    args:
    - /bin/sh
    - -c
    - sleep 300000000
    volumeMounts:
    - mountPath: /etc/huge
      name: aa
      readOnly: true
  volumes:				
  - name: aa
    secret:
      secretName: mysecret3

定义volume的名字为 使用下面指定的secret

运行并查看:

[root@k8smaster]# kubectl apply -f pod.yml	
[root@k8smaster]# kubectl exec -it pod sh	
/ # cd /etc/huge
cat username 
test
cat password 
123456

Secret还支持动态更新:

[root@k8smaster]# echo -n  abcde | base64
[root@k8smaster]# YWJjZGU=
[root@k8smaster]# cat secret.yml
apiVersion: v1
data:
  password: YWJjZGU=
  username: dGVzdA==
kind: Secret
metadata:
  creationTimestamp: null
  name: mysecret3

执行查看:

[root@k8smaster]# kubectl apply -f secret.yml	
[root@k8smaster]# kubectl exec -it pod sh	
/ # cd /etc/huge
cat password 
abcde
Pod通过环境变量的方式使用secret
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: mypod
    image: busybox
    args:
    - /bin/sh
    - -c
    - sleep 30000000000
    env:
    - name: myuser
      valueFrom:
        secretKeyRef:
          name: mysecret3
          key: username
    - name: mypas
      valueFrom:
        secretKeyRef:
          name: mysecret3
          key: password

运行并查看:

[root@k8smaster]# kubectl apply -f pod.yml
[root@k8smaster]# kubectl exec -it mypod sh
/ # echo $myuser
test
/ # echo $mypas
abc

环境变量的方式不支持动态更新,但是读取很方便

configmap

加密配置文件可以用 configmap,一般情况下配置信息都是文件形式的,用yaml或者 --from-file 比较好

创建 configmap (1):

[root@k8smaster ]# kubectl create configmap myconmap  --from-literal=test=1 --from-literal=test1=2

创建 configmap (2):

[root@k8smaster ]# echo -n 1 > test
[root@k8smaster ]# echo -n 2 > test1
[root@k8smaster ]# kubectl create configmap myconmap1 --from-file=test --from-file=test1

创建 configmap (3):

[root@k8smaster ]# cat <<EOF> envp.txt
test=1
test1=2
EOF
[root@k8smaster ]# kubectl create configmap myconmap2 --from-env-file=envp.txt

创建 configmap (4):

[root@k8smaster ]# kubectl create configmap myconmap2 --from-env-file=envp.txt  --dry-run -o yaml > myconmap.yml
[root@k8smaster ]# cat myconmap.yml
apiVersion: v1
data:
  test: "1"
  test1: "2"
kind: ConfigMap
metadata:
  creationTimestamp: null
  name: myconmap2
Pod通过volume使用configmap:
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: mypod
    image: busybox
    args:
    - /bin/sh
    - -c
    - sleep 300000000000
    volumeMounts:
    - mountPath: /etc/aa
      name: aa
      readOnly: true
  volumes:
    - name: aa
      configMap:
        name: myconmap2

运行并查看:

[root@k8smaster ]# kubectl apply -f pod.yml 
[root@k8smaster ]# kubectl exec -it mypod sh
/ # cd /etc/
cat test
1
cat test1
2
Pod通过环境变量使用configmap
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: mypod
    image: busybox
    args:
    - /bin/sh
    - -c
    - sleep 300000000000
    env:
    - name: myuser
      valueFrom:
        configMapKeyRef:
          name: myconmap3
          key: test
    - name: mypas
      valueFrom:
        configMapKeyRef:
          name: myconmap3
          key: test1

运行并查看:

[root@k8smaster ]# kubectl apply -f pod.yml 
[root@k8smaster ]# kubectl exec -it mypod sh
/ # echo $myuser
1
/ # echo $mypas
2
_最爱吃兽奶
关注
专栏目录
k8s项目部署相关yaml文件.rar
12-11
k8s集群中,YAML文件被用来描述各种组件,如Deployment、Service、Pod、ConfigMap等,通过kubectl命令行工具进行部署和管理。 首先,我们需要理解YAML文件的基本结构。YAML是一种易于人类阅读的数据序列化语言,...
【云原生 | Kubernetes 实战】17、K8s 配置管理中心 Secret 实现加密数据配置管理
Stars.Sky 的博客
12-29 1884
K8s 配置管理中心 Secret 实现加密数据配置管理
学习笔记三十:K8S配置管理中心Secret实现加密数据配置管理
weixin_43258559的博客
11-02 734
Configmap一般是用来存放明文数据的,如配置文件,对于一些敏感数据,如密码、私钥等数据时,要用secret类型。Secret解决了密码、token、秘钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。要使用 secret,pod 需要引用 secret。
k8sconfigmapsecret管理中心
最新发布
m0_73950916的博客
09-22 479
metadata:log: "1" #key和value值 lower: "1" [ root@master configmap ] # kubectl apply -f mysql-configmap.yaml configmap/mysql-cm created [ root@master configmap ] # kubectl get cm -n test NAME DATA AGE。
23 k8s调度和加密算法
明日之星
03-22 762
将这些信息放在 secret 中比放在 Pod 的定义或者 容器镜像 中来说更加安全和灵活。前面的调度方式都是站在Pod的角度上,通过在Pod上添加属性,来确定Pod是否要调度到指定的Node上,其实我们也可以站在Node的角度上,通过在Node上添加。- NoExecute:kubernetes将不会把Pod调度到具有该污点的Node上,同时也会将Node上已存在的Pod驱离。# 4 、如果一个pod所在的Node在Pod运行期间其标签发生了改变,不再符合该Pod的节点亲和性需求,则系统将忽略此变化。
k8sConfigMapsecret
wang0907的博客
01-07 1163
我们知道k8s的数据都是存储到kv数据库etcd中的,那么我们程序中使用到各种配置信息是否可以也存储到etcd,然后在pod中使用呢?是可以的,k8s为了实现将自定义的数据存储到etcd,定义了ConfigMapsecret两种API对象。其中ConfigMap用来保存明文数据,如端口号,普通配置参数等,Secret用来配置需要加密的数据,如密码,秘钥等。本文就一起来看下这两个对象的定义以及如何在pod中使用。
命令中/bin/sh -c 参数
qq_44792624的博客
07-07 2万+
/bin/sh -c的必要性 引用: https://blog.csdn.net/qq_34562093/article/details/89948303 用法 一、 比如要向 test.asc 文件中随便写入点内容,可以: $ echo “信息” >> test.csv 如果将 test.asc 权限设置为只有 root 用户才有权限进行写操作: $ sudo chown root.root test.csv 然后,我们使用 sudo 并配合 echo 命令再次向修改权限之后的 test.as
pod的探针顺序下的生命周期
weixin_47677347的博客
12-11 286
pod的各类探针顺序
k8s-config:配置库
04-06
k8s环境中,配置管理涉及如何创建、更新和管理各种资源对象的配置,如Deployment、Service、ConfigMapSecret等。本文将深入探讨k8s配置管理的核心概念、最佳实践以及k8s-config-main可能代表的含义。 **一、k8s...
Kubernetes 中的 Secret加密存储
丰耳的博客
01-03 1292
为安全方便的将K8Ssecret进行git版本,需要引入对secret进行加密的工具:Sealed-Secrets
【云原生】k8s存储管理ConfigMap & Secret的使用
征服Bug的博客
08-19 2万+
在 Kubernetes 中,ConfigMap 是一种用于存储非敏感信息的 Kubernetes 对象。它用于存储配置数据,如键值对、整个配置文件或 JSON 数据等。ConfigMap 通常用于容器镜像中的配置文件、命令行参数和环境变量等。ConfigMap 可以通过三种方式进行配置数据的注入:环境变量注入:将配置数据注入到 Pod 中的容器环境变量中。配置文件注入:将配置数据注入到 Pod 中的容器文件系统中,容器可以读取这些文件。命令行参数注入:将配置数据注入到容器的命令行参数中。基本操作。
k8s Configmap配置与Secret加密
MrLee的博客
07-28 2014
ConfigMap功能在Kubernetes1.2版本中引入,许多应用程序会从配置文件、命令行参数或环境变量中读取配置信息。ConfigMapAPI给我们提供了向容器中注入配置信息的机制,ConfigMap可以被用来保存单个属性,也可以用来保存整个配置文件或者JSON二进制大对象。将配置信息放到configmap对象中,然后在pod的对象中导入configmap对象,实现导入配置的操作。ConigMap是一种API对象,用来将非机密性的数据保存到键值对中。......
K8s secret配置
杨仕虎的博客
02-09 1855
secret secret用于保存铭感信息,比如密码、ssh-key、令牌等等 存储格式:K/V键值对 使用方式:环境变量和挂载(volumes) 密文方式:base64 创建方式:命令行创建和配置清单 使用场景: opaque:通用自定义数据,base64编码 kubernetes.io/service-account-token:用于存储SA用户认证信息 kubernetes.io/dockerconfigjson:用户存储docker仓库认证信息 kubernetes.io/tls:用于tls通讯
k8ssecret里导入证书_Kubernetes K8S之存储Secret详解
weixin_39604598的博客
12-22 982
K8S之存储Secret概述与类型说明,并详解经常使用Secret示例html主机配置规划服务器名称(hostname)系统版本配置内网IP外网IP(模拟)k8s-masterCentOS7.72C/4G/20G172.16.1.11010.0.0.110k8s-node01CentOS7.72C/4G/20G172.16.1.11110.0.0.111k8s-node02CentOS7.72C/...
Kubernetes中Secret使用详解
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
10-26 1万+
Secret解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。 Secret类型 Secret有三种类型: Opaque:base64编码格式的Secret,用来存储密码、密钥等;但数据也通过base64 –decode解码得到原始数据,所有加密性很弱。 kubernetes.io/doc...
k8s配置管理--configmapsecret
热门推荐
大风车儿的博客
04-06 20万+
k8sconfigmapsecret使用
k8s加密配置secret和应用配置configmap
Hai990218的博客
09-09 991
加密配置:就是用来保存密码、token密钥对,以及其他敏感信息的k8s资源。
k8sSecret(密文)和configmap(明文)的使用
很多时候犯错都是在不知情的情况下发生的
08-13 5122
执行一下。
k8s-configmapsecret
fzzjoy的专栏
04-24 484
ConfigMap ConfigMap 并不提供保密或者加密功能。 如果你想存储的数据是机密的,请使用 Secret, 或者使用其他第三方工具来保证你的数据的私密性,而不是用 ConfigMap。 如何在容器中监听configMap的变化 viper 参考 ConfigMap ...
k8ssecret和configmap有什么区别?详细的说一
05-25
Kubernetes中的Secret和ConfigMap都是用于管理应用程序的配置数据和敏感信息的对象。它们的区别在于: 1. 数据类型:Secret用于存储敏感信息,例如密码、密钥等,而ConfigMap用于存储应用程序的配置数据,例如环境变量、属性文件等。 2. 数据处理:Secret中的数据是base64编码的,需要在应用程序中进行解码操作,以获取原始数据。而ConfigMap中的数据是以原始文本格式存储的,可以直接在应用程序中使用。 3. 安全性:Secret中的数据是被加密的,只有在运行应用程序的Pod中才能解密使用。而ConfigMap中的数据是明文存储的,可能存在一定的安全风险。 4. 生命周期:Secret中的数据是不可变的,只能通过删除和重新创建来更新数据。而ConfigMap中的数据可以实时更新,而不需要重新创建对象。 因此,在实际应用中,需要根据具体的场景和需求来选择使用Secret还是ConfigMap。如果需要存储敏感信息,应该使用Secret;如果需要存储应用程序的配置数据,则应该使用ConfigMap
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值