K8S存储之Secret

于 2023-06-21 18:00:24 发布
阅读量835 收藏 1
点赞数 1
文章标签: kubernetes docker 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45625174/article/details/131292920
版权

1. Secret存在的意义:

  • Secret解决了密码、token、密钥等敏感数据配置的问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用

  • Secret有三种类型:

    • Service Account:用来访问k8s API,由K8S自动创建,并且会自动挂在pod的/run/secret/kubernetes.io/serviceaccount目录中。
    • Opaque:base64编码格式的Secret,用来存储密码、密钥等
    • kubernetes.io/dockerconfigjson:用来存储私有docker registry的认证信息。

2. Service Account

//创建一个pod
[root@master1 configmap]# kubectl run nginx --image nginx:latest
//查看是否创建成功:
[root@master1 configmap]# kubectl get pod
NAME                                READY   STATUS    RESTARTS   AGE
nginx                               1/1     Running   0          2m15s
nginx-deployment-75dfc89886-8sbxf   1/1     Running   0          61m
nginx-deployment-75dfc89886-r4bvn   1/1     Running   0          61m
nginx-deployment-75dfc89886-t2664   1/1     Running   0          61m
//查看是否挂在到/run/secret/kubernetes.io/serviceaccount
[root@master1 configmap]# kubectl exec nginx -it /bin/bash
root@nginx:/# cd /run/secrets/kubernetes.io/serviceaccount/
root@nginx:/run/secrets/kubernetes.io/serviceaccount# ls
ca.crt  namespace  token

3. Opaque Service

  • 创建说明:

    • Opaque类型的数据是一个map类型,要求value是base64编码格式:
[root@master1 ~]# echo -n "admin"|base64
YWRtaW4=
[root@master1 ~]# echo -n "12345678Qaz."|base64
MTIzNDU2NzhRYXou

3.1. 创建secret.yaml

vim  secret.yaml

apiVersion: v1   #指定使用的Kubernetes API版本,这里是v1,表示使用的是核心v1版本的API
kind: Secret   #指定要创建的资源类型,这里是Secret,表示创建一个Secret资源
metadata:    #用于定义Secret的元数据,包括名称、标签和其他元数据信息
  name: my-secret  #指定Secret的名称,这里是my-secret
type: Opaque   #指定Secret的类型是Opaque
data:  #定义存储在Secret中的数据键值对,每个键值对表示一个密钥和对应的值
  username: YWRtaW4=  #定义一个名为username的密钥,值为YWRtaW4=。这是一个Base64编码的字符串
  password: MTIzNDU2NzhRYXou #定义一个名为password的密钥,值为MTIzNDU2NzhRYXou


//创建
[root@master1 yaml]# kubectl apply  -f secret.yaml
secret/my-secret created

[root@master1 yaml]# kubectl get secret
NAME                  TYPE                                  DATA   AGE
default-token-td6z6   kubernetes.io/service-account-token   3      2d6h
my-secret             Opaque                                2      23s

3.2. 使用方式:

3.2.1. 使用volume方法关联secret

vim  pod-secret-volume.yaml

apiVersion: v1  #指定使用的Kubernetes API版本为v1
kind: Pod   #定义要创建的资源类型为Pod
metadata:   #包含有关Pod的元数据,例如名称
  name: my-nginx   #指定Pod的名称为"my-nginx"
spec:    #定义了Pod的规范
  containers:  #定义了Pod中的容器列表
  - name: my-nginx   #指定容器的名称为"my-nginx"
    image: nginx:latest   #定义容器的镜像
    volumeMounts:  #定义了容器的挂载点列表
    - name: secret-volume  #指定挂载点的名称为"secret-volume"
      mountPath: /etc/my-secret  #指定要将Secret挂载到容器中的路径为"/etc/my-secret"
  volumes:  #定义了Pod的卷列表
  - name: secret-volume  #指定卷的名称为"secret-volume"
    secret: #指定要使用的Secret
      secretName: my-secret # 指定要使用的Secret的名称为"my-secret"



[root@master1 yaml]# kubectl apply -f pod-secret-volume.yaml
[root@master1 yaml]# kubectl get pod
NAME                                READY   STATUS    RESTARTS   AGE
my-nginx                            1/1     Running   0          2m33s
nginx                               1/1     Running   0          4h2m
nginx-deployment-75dfc89886-8sbxf   1/1     Running   0          5h1m
nginx-deployment-75dfc89886-r4bvn   1/1     Running   0          5h1m
nginx-deployment-75dfc89886-t2664   1/1     Running   0          5h1m


[root@master1 yaml]# kubectl exec my-nginx -it /bin/bash
root@my-nginx:/# cd /etc/my-secret/
root@my-nginx:/etc/my-secret# ls
password  username

3.2.2. 使用env方法关联secret

[root@master1 yaml]# vim pod-secret-env.yaml

apiVersion: v1 #定义了Kubernetes API的版本,这里使用的是v1版本
kind: Pod  #定义要创建的资源类型为Pod
metadata:  #包含有关Pod的元数据,例如名称
  name: my-pod  ##指定Pod的名称为"my-pod"
spec:  #定义Pod的规格信息
  containers:  #定义了Pod中的容器列表
    - name: nginx-container #定义容器名称
      image: nginx:latest  #定义容器镜像
      env:  #定义了容器的环境变量列表
        - name: SECRET_USERNAME # 定义了环境变量的名称
          valueFrom: #定义了环境变量的值来源
            secretKeyRef: #指定了值来自一个Secret,并指定了Secret的名称和键
              name: my-secret #定义了Secret的名称,这里是"my-secret" 
              key: username  #定义了Secret中的键为username
        - name: SECRET_PASSWORD
          valueFrom:
            secretKeyRef:
              name: my-secret
              key: password
  
//创建:            
[root@master1 yaml]# kubectl apply -f pod-secret-env.yaml
pod/my-pod created

[root@master1 yaml]# kubectl get pod
NAME                                READY   STATUS    RESTARTS   AGE
my-nginx                            1/1     Running   0          16m
my-pod                              1/1     Running   0          4s
nginx                               1/1     Running   0          4h16m
nginx-deployment-75dfc89886-8sbxf   1/1     Running   0          5h16m
nginx-deployment-75dfc89886-r4bvn   1/1     Running   0          5h16m
nginx-deployment-75dfc89886-t2664   1/1     Running   0          5h16

//验证:
[root@master1 yaml]# kubectl exec my-pod -it /bin/bash

root@my-pod:/# echo $SECRET_USERNAME
admin
root@my-pod:/# echo $SECRET_PASSWORD
12345678Qaz.
小鱼儿&
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
k8s 之 Configmap
高飞的博客
12-23 19万+
k8s configmap
k8s_learn.zip
08-21
资源清单,2.k8s.Pod生命周期,健康检查,3.k8s资源控制器,4.1.k8s.svc(Service),4.2.k8s.Ingress-Nginx,5.1.k8s.ConfigMap,5.2.k8s.Secret,6.k8s.存储Volume.PV.PVC,7.k8s.调度器scheduler,8.k8s.认证与访问控制的学习...
k8s培训视频.zip
05-09
目录网盘文件永久链接 01-Devops核心要点及kubernetes架构概述 02-kubernetes基础概念 03-kubeadm初始化Kubernetes集群 04-kubernetes应用快速入门 05-kubernetes资源清单定义入门 06-Kubernetes Pod控制器应用进阶 07-Kubernetes Pod控制器应用进阶 08-Kubernetes Pod控制器 09-Kubernetes Pod控制器 10-kubernetes Service资源 11-kubernetes ingress及Ingress Controller 12-存储卷 13-kubernetes pv、pvc、configmap和secret 14-kubernetes statefulset控制器 15-kubernetes认证及serviceaccount 16-kubernetes RBAC 17-kubernetes dashboard认证及分级授权 18-配置网络插件flannel 19-基于canel的网络策略 20-调度器、预选策略及优选函数 ...
kubernetes(k8s) 学习 (九) k8s存储Secret ( 简介+两种使用方式)
weixin_45649763的博客
05-03 1909
文章目录Secret简介secret的创建作为存储卷注入到pod上,由容器应用程序所使用用文件创建编写一个 secret 对象将secret挂载在volume中向指定路径映射 secret 密钥将Secret设置为环境变量kubernetes.io/dockerconfigjson用于存储docker registry的认证信息. Secret简介 Secret资源的功能类似于ConfigMap,...
k8s配置资源管理|secret|configmap
m0_75015568的博客
05-26 1775
k8s配置资源管理|secret|configmap
【云原生 | Kubernetes 实战】17、K8s 配置管理中心 Secret 实现加密数据配置管理
Stars.Sky 的博客
12-29 1758
K8s 配置管理中心 Secret 实现加密数据配置管理
10-Secret安全存储
qq_47261578的博客
08-13 312
Secret安全存储 上节课我们学习了Kubernetes 当中非常重要的一个对象ConfigMap ,一般情况下ConfigMap 是用来存储一些非安全的配置信息,如果涉及到一些安全相关的数据的话用ConfigMap 就非常不妥了,因为ConfigMap 是名为存储的,我们说这个时候我们就需要用到另外一个资源对象了:Secret , Secret 用来保存敏感信息,例如密码、Auth 令牌和 ssh key等等,将这些信息放在Secret 中比放在Pod 的定义中或者docker 镜像中来说更加安全和灵活
k8s-secret 配置使用secret
weixin_44204737的博客
04-27 868
kubernetes.io/basic-auth:用于使用基本认证(账号密码)的Secret,可以使用Opaque取代;secret的使用方式和configmap很像,secret使用加密的方式更加安全,configmap更适合传递配置文件。◆ kubernetes.io/tls:用于存储HTTPS域名证书文件的Secret,可以被Ingress使用;◆ kubernetes.io/dockerconfigjson:下载私有仓库镜像使用的Secret,◆Opaque:通用型Secret,默认类型;
k8s配置管理--configmap与secret
热门推荐
大风车儿的博客
04-06 20万+
k8s中configmap和secret使用
k8s 存储secret
leechm的博客
09-04 683
目录 Service Account Opaque Secret Ⅰ、创建说明 Ⅱ、使用方式 1、将 Secret 挂载到 Volume 中 2、将 Secret 导出到环境变量中 kubernetes.io/dockerconfigjson Secret 存在意义 Secret 解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Spec中。Secret 可以以 Volume 或者环境变量的方式使用。也就意味着我们有一些密码被我们的pod去使用
k8s --使用secret
IT艺术家-rookie的博客
04-20 3977
为什么要使用secret 官网说明 以前一些数据库密码可能会写在配置文件中springboot工程中一般是application.yaml。有的会直接写明文,有的加密之后把密文写在配置文件中。 k8ssecret是一种包含少量敏感信息例如密码、令牌或密钥的对象。 这样的信息可能会被放在 Pod 规约中或者镜像中。 使用 Secret 意味着你不需要在应用程序代码中包含机密数据。 Secret 类似于 ConfigMap 但专门用于保存机密数据。 Pod使用Secret Pod有用三种方式来使用 Sec
k8s二进制文件以及docker二进制文件
03-09
k8s-master 192.168.250.111 k8s-node01 192.168.250.112 k8s-node02 192.168.250.116 2.设置主机名 hostnamectl --static set-hostname k8s-master hostnamectl --static set-hostname k8s-node01 ...
csi-s3:S3的容器存储接口
02-03
这是用于S3(或与S3兼容)存储容器存储接口( )。 这样可以动态分配存储桶,并通过保险丝将其安装到任何容器中。 状态 这仍然是非常实验性的,不应在任何生产环境中使用。 取决于使用哪种安装程序和S3存储后端,...
容器管理平台K8S视频.zip
02-18
目录网盘文件永久链接 ...13-kubernetes pv、pvc、configmap和secret.mp4 14-kubernetes statefulset控制器.mp4 15-kubernetes认证及serviceaccount.mp4 16-kubernetes RBAC.mp4 ...........................
Kubernetes Secret(机密存储
weixin_30876945的博客
08-28 290
Kubernetes Secret(机密存储) 官方文档:https://kubernetes.io/docs/concepts/configuration/secret/ 加密数据并存放Etcd中,让Pod的容器以挂载Volume方式访问。 应用场景:凭据 通过文本文件创建用户密码 1、创建用户名密码文件 echo -n 'admin' > ./usern...
k8ssecret 配置
zw421152835的专栏
05-12 905
接到一个问题, 我们测试环境访问的域名证书有问题,导致在证书校验的环境不能正常访问。 大佬告诉我说复制其他环境的secret 来就好。 但我知道个鬼,从哪里下手呢? 1,基于对k8s的一点点了解,服务是有namespace 区分的,当前系统中肯定是有部署好的,首先要找到secret,看看是什么样子。 2,百度了一下, 在k8s上配置ingress并启用HTTPS证书 - 走看看 从这里了解到 配置证书 涉及两个地方secret,ingress 3,开干 a,查询服务器..
k8s 私有库secret配置
doctorone的博客
04-01 791
#拉取私有库的镜像 { "kind": "Secret", "apiVersion": "v1", "metadata": { "name": "mysecret" }, "data": { ".dockerconfigjson": "ewoJImF1dGhzIjogewoJCSJkb2NrZXJodWIuZGF0YWdyYW5kLmNvbSI6IHsKC...
干货!K8S配置管理之Secret+ConfigMap详解
时光慢旅的博客
05-23 1516
文章目录一、secret概述1.1、secret创建方式1.2、secret资源的使用方式二、ConfigMap概述2.1、configMap创建方式2.2、configmap的使用 一、secret概述 Secret:机密 验证凭据 加密数据并存放在Etcd中,让Pod的容器以挂载Volume方式访问 应用场景:凭据 参考官方文档:https://kubernetes.io/docs/concepts/configuration/secret/ 1.1、secret创建方式 方式一:使用kubect
K8s secret配置
杨仕虎的博客
02-09 1792
secret secret用于保存铭感信息,比如密码、ssh-key、令牌等等 存储格式:K/V键值对 使用方式:环境变量和挂载(volumes) 密文方式:base64 创建方式:命令行创建和配置清单 使用场景: opaque:通用自定义数据,base64编码 kubernetes.io/service-account-token:用于存储SA用户认证信息 kubernetes.io/dockerconfigjson:用户存储docker仓库认证信息 kubernetes.io/tls:用于tls通讯
k8ssecret
最新发布
09-14
Kubernetes(简称为K8s)中的Secret是用于存储敏感信息的对象,如API密钥、数据库密码等。它们以加密方式存储Kubernetes集群中,确保在容器中使用这些敏感信息时的安全性。 Secret可以在部署过程中被挂载到容器的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值