K8S存储之Secret

最新推荐文章于 2024-09-09 14:58:47 发布
最新推荐文章于 2024-09-09 14:58:47 发布
阅读量893 收藏 1
点赞数 1
文章标签: kubernetes docker 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45625174/article/details/131292920
版权

1. Secret存在的意义:

  • Secret解决了密码、token、密钥等敏感数据配置的问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用

  • Secret有三种类型:

    • Service Account:用来访问k8s API,由K8S自动创建,并且会自动挂在pod的/run/secret/kubernetes.io/serviceaccount目录中。
    • Opaque:base64编码格式的Secret,用来存储密码、密钥等
    • kubernetes.io/dockerconfigjson:用来存储私有docker registry的认证信息。

2. Service Account

//创建一个pod
[root@master1 configmap]# kubectl run nginx --image nginx:latest
//查看是否创建成功:
[root@master1 configmap]# kubectl get pod
NAME                                READY   STATUS    RESTARTS   AGE
nginx                               1/1     Running   0          2m15s
nginx-deployment-75dfc89886-8sbxf   1/1     Running   0          61m
nginx-deployment-75dfc89886-r4bvn   1/1     Running   0          61m
nginx-deployment-75dfc89886-t2664   1/1     Running   0          61m
//查看是否挂在到/run/secret/kubernetes.io/serviceaccount
[root@master1 configmap]# kubectl exec nginx -it /bin/bash
root@nginx:/# cd /run/secrets/kubernetes.io/serviceaccount/
root@nginx:/run/secrets/kubernetes.io/serviceaccount# ls
ca.crt  namespace  token

3. Opaque Service

  • 创建说明:

    • Opaque类型的数据是一个map类型,要求value是base64编码格式:
[root@master1 ~]# echo -n "admin"|base64
YWRtaW4=
[root@master1 ~]# echo -n "12345678Qaz."|base64
MTIzNDU2NzhRYXou

3.1. 创建secret.yaml

vim  secret.yaml

apiVersion: v1   #指定使用的Kubernetes API版本,这里是v1,表示使用的是核心v1版本的API
kind: Secret   #指定要创建的资源类型,这里是Secret,表示创建一个Secret资源
metadata:    #用于定义Secret的元数据,包括名称、标签和其他元数据信息
  name: my-secret  #指定Secret的名称,这里是my-secret
type: Opaque   #指定Secret的类型是Opaque
data:  #定义存储在Secret中的数据键值对,每个键值对表示一个密钥和对应的值
  username: YWRtaW4=  #定义一个名为username的密钥,值为YWRtaW4=。这是一个Base64编码的字符串
  password: MTIzNDU2NzhRYXou #定义一个名为password的密钥,值为MTIzNDU2NzhRYXou


//创建
[root@master1 yaml]# kubectl apply  -f secret.yaml
secret/my-secret created

[root@master1 yaml]# kubectl get secret
NAME                  TYPE                                  DATA   AGE
default-token-td6z6   kubernetes.io/service-account-token   3      2d6h
my-secret             Opaque                                2      23s

3.2. 使用方式:

3.2.1. 使用volume方法关联secret

vim  pod-secret-volume.yaml

apiVersion: v1  #指定使用的Kubernetes API版本为v1
kind: Pod   #定义要创建的资源类型为Pod
metadata:   #包含有关Pod的元数据,例如名称
  name: my-nginx   #指定Pod的名称为"my-nginx"
spec:    #定义了Pod的规范
  containers:  #定义了Pod中的容器列表
  - name: my-nginx   #指定容器的名称为"my-nginx"
    image: nginx:latest   #定义容器的镜像
    volumeMounts:  #定义了容器的挂载点列表
    - name: secret-volume  #指定挂载点的名称为"secret-volume"
      mountPath: /etc/my-secret  #指定要将Secret挂载到容器中的路径为"/etc/my-secret"
  volumes:  #定义了Pod的卷列表
  - name: secret-volume  #指定卷的名称为"secret-volume"
    secret: #指定要使用的Secret
      secretName: my-secret # 指定要使用的Secret的名称为"my-secret"



[root@master1 yaml]# kubectl apply -f pod-secret-volume.yaml
[root@master1 yaml]# kubectl get pod
NAME                                READY   STATUS    RESTARTS   AGE
my-nginx                            1/1     Running   0          2m33s
nginx                               1/1     Running   0          4h2m
nginx-deployment-75dfc89886-8sbxf   1/1     Running   0          5h1m
nginx-deployment-75dfc89886-r4bvn   1/1     Running   0          5h1m
nginx-deployment-75dfc89886-t2664   1/1     Running   0          5h1m


[root@master1 yaml]# kubectl exec my-nginx -it /bin/bash
root@my-nginx:/# cd /etc/my-secret/
root@my-nginx:/etc/my-secret# ls
password  username

3.2.2. 使用env方法关联secret

[root@master1 yaml]# vim pod-secret-env.yaml

apiVersion: v1 #定义了Kubernetes API的版本,这里使用的是v1版本
kind: Pod  #定义要创建的资源类型为Pod
metadata:  #包含有关Pod的元数据,例如名称
  name: my-pod  ##指定Pod的名称为"my-pod"
spec:  #定义Pod的规格信息
  containers:  #定义了Pod中的容器列表
    - name: nginx-container #定义容器名称
      image: nginx:latest  #定义容器镜像
      env:  #定义了容器的环境变量列表
        - name: SECRET_USERNAME # 定义了环境变量的名称
          valueFrom: #定义了环境变量的值来源
            secretKeyRef: #指定了值来自一个Secret,并指定了Secret的名称和键
              name: my-secret #定义了Secret的名称,这里是"my-secret" 
              key: username  #定义了Secret中的键为username
        - name: SECRET_PASSWORD
          valueFrom:
            secretKeyRef:
              name: my-secret
              key: password
  
//创建:            
[root@master1 yaml]# kubectl apply -f pod-secret-env.yaml
pod/my-pod created

[root@master1 yaml]# kubectl get pod
NAME                                READY   STATUS    RESTARTS   AGE
my-nginx                            1/1     Running   0          16m
my-pod                              1/1     Running   0          4s
nginx                               1/1     Running   0          4h16m
nginx-deployment-75dfc89886-8sbxf   1/1     Running   0          5h16m
nginx-deployment-75dfc89886-r4bvn   1/1     Running   0          5h16m
nginx-deployment-75dfc89886-t2664   1/1     Running   0          5h16

//验证:
[root@master1 yaml]# kubectl exec my-pod -it /bin/bash

root@my-pod:/# echo $SECRET_USERNAME
admin
root@my-pod:/# echo $SECRET_PASSWORD
12345678Qaz.
小鱼儿&
关注
k8s核心操作_存储抽象_K8S中使用Secret功能来存储密码_使用免密拉取镜像_k8s核心实战总结---分布式云原生部署架构搭建033
添柴程序猿的专栏
07-17 8786
可以看到这个是镜像内容,注意这里面没有引入secret,上面的配置文件引入了,可以先去掉.看效果。比如我们在公共仓库中个guignginx仓库,我们看到右边,显示他现在是。可以看到拉取镜像的时候报错了对吧,说access denied 因为镜像是私有的.然后下面我们会看一个更强大的,工具,可以进行完全在线,将监控等等,都统合起来。我们现在是从公共仓库拉取的,如果我们从私有仓库拉取,有密码。比如我们有个pod,他的镜像,如果是需要密码的,那么。
Kubernetes K8S存储Secret详解
踏歌行的专栏
09-28 7490
K8S存储Secret概述与类型说明,并详解常用Secret示例
k8s-secret 配置使用secret
weixin_44204737的博客
04-27 1722
kubernetes.io/basic-auth:用于使用基本认证(账号密码)的Secret,可以使用Opaque取代;secret的使用方式和configmap很像,secret使用加密的方式更加安全,configmap更适合传递配置文件。◆ kubernetes.io/tls:用于存储HTTPS域名证书文件的Secret,可以被Ingress使用;◆ kubernetes.io/dockerconfigjson:下载私有仓库镜像使用的Secret,◆Opaque:通用型Secret,默认类型;
k8s的加密配置secret和应用配置configmap
Hai990218的博客
09-09 1004
加密配置:就是用来保存密码、token密钥对,以及其他敏感信息的k8s资源。
k8s 八之secret配置管理
L*YUE的博客
09-15 425
secret介绍 secret作用 secret类型 pod使用secret secret配置使用 默认secret 创建secret 第一种:从文件中创建 第二种:编写一个secret文件 使用secret 将Secret挂载到Volume 将Secret设置为环境变量 拉取harbor私有仓库镜像
Kubernetes----配置Secret存储
redrose2100的博客
04-11 556
一、Secret实例演示 在kubernetes中,还存在一种configmap非常类似的对象,称为Secret对象,它主要用户存储敏感信息,例如密码,密钥、证书等等 1.1 首先使用base64对数据进行编码 如下,将admin和admin123使用base64编码 [root@master volume]# echo -n 'admin' | base64 YWRtaW4= [root@master volume]# echo -n 'admin123' | base64 YWRtaW4xMjM= [r
k8ssecret里导入证书_Kubernetes K8S存储Secret详解
weixin_39604598的博客
12-22 985
K8S存储Secret概述与类型说明,并详解经常使用Secret示例html主机配置规划服务器名称(hostname)系统版本配置内网IP外网IP(模拟)k8s-masterCentOS7.72C/4G/20G172.16.1.11010.0.0.110k8s-node01CentOS7.72C/4G/20G172.16.1.11110.0.0.111k8s-node02CentOS7.72C/...
k8ssecret里导入证书_k8ssecret
weixin_33268464的博客
12-31 1603
secret介绍1、configmap都是明文存数据的,所以我们不能用它来访问,所以我们使用secret,但它比configmap要麻烦一点,只有敏感数据采用secrt来存放,比如你的私钥和证书,这个时候私钥和证书要放在secret中,其它内容应该放在configmap中,另外还有,比如我们连接mysql是我们打算把密码写在配置文件中,这个时候我们要把密码写成secret,而不能定义成config...
k8sk8s存储配置之Secret
sl963216757的博客
07-11 1285
一、Secret 01_Secret简介 Secret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 将这些信息放在 secret 中比放在 Pod 的定义或者 容器镜像 中来说更加安全和灵活。 这样的信息可能会被放在 Pod 规约中或者镜像中。 用户可以创建 Secret,同时系统也创建了一些 Secret。 Kubernetes Secret 默认情况下存储为 base64-编码的、非加密的字符串。 默认情况下,能够访问 API 的任何人,或者能够访问 Kubernetes 下层数据存储(etcd
理论+实操:k8S配置参数管理——secret与configmap
Lfwthotpt的博客
05-17 924
文章目录一:secret概述1.1 创建secret的方法1.2 使用secret的方法二:创建Secret2.1 基于文件创建2.2 基于参数手动创建2.2.1 编辑yaml文件2.3 总结三:使用secret3.1 作为环境变量暴露出来3.2 以volume的形式挂载到pod的某个目录下四:configmap4.1 创建方式4.2 使用kubectl创建4.3 创建yaml文件4.4 使用变量参数形式 secret 安全配置参数 configmap 配置文件参数 一:secret概述 加密数据并存放在e
干货!K8S配置管理之Secret+ConfigMap详解
时光慢旅的博客
05-23 1696
文章目录一、secret概述1.1、secret创建方式1.2、secret资源的使用方式二、ConfigMap概述2.1、configMap创建方式2.2、configmap的使用 一、secret概述 Secret:机密 验证凭据 加密数据并存放在Etcd中,让Pod的容器以挂载Volume方式访问 应用场景:凭据 参考官方文档:https://kubernetes.io/docs/concepts/configuration/secret/ 1.1、secret创建方式 方式一:使用kubect
k8s---Secret详解
qinxue722的博客
07-23 1627
k8s-Secret
Kubernetes Secret存储敏感数据
小楼一夜听春雨,深巷明朝卖杏花
01-07 1101
Secret 与ConfigMap类似,区别在于Secret主要存储敏感数据,所有的数据要经过base64编码。 应用场景:凭据 kubectl create secret 支持三种数据类型: docker-registry(kubernetes.io/dockerconfigjson):存储镜像仓库认证信息 generic(Opaque):存储密码、密钥等 tls(kubernetes.io/tls):存储TLS证书 [root@k8s-master ~]# kubectl cr.
【云原生 | Kubernetes 实战】17、K8s 配置管理中心 Secret 实现加密数据配置管理
Stars.Sky 的博客
12-29 1886
K8s 配置管理中心 Secret 实现加密数据配置管理
Kubernetes(k8s)之Secret私密凭据
Tuki来了
08-01 1119
secret用来保管私密数据。
K8Ssecret
运维@小兵的博客
10-11 631
一、概念 1.1.支持三种类型 docker-registry 存储镜像仓库认证信息 generic 通用存储,可以从文件或者目录导入,如用户名和密码 tls 存储证书,例如https证书 二、使用 kubectl 创建 Secret echo -n 'admin' > ./username.txt echo -n '1f2d1e2e67df' > ./password.txt kubectl create secret generic db-us
【云原生】kubernetessecret原理详解与应用实战
热门推荐
景天科技苑
06-04 2万+
对于一些敏感数据,如密码、私钥等数据时,要用secret类型。 Secret解决了密码、token、秘钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。 Secret可以以Volume或者环境变量的方式使用。 要使用 secret,pod 需要引用 secret。Pod 可以用两种方式使用 secret: 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里, 或者当 kubelet 为 pod 拉取镜像时使用。
07-k8ssecret资源02-玩转secret
2302_79199605的博客
02-14 1477
第一步:将想要的数据信息【key:value】中的value值,使用base64编码后,写入secret资源清单中;第二步:创建secret资源;第三步:pod资源引用secret资源;
k8s中的secret的密码怎么解开
最新发布
10-14
Kubernetes (k8s) 中,秘密(secret)是用来存储敏感信息如密码、证书等的,这些信息默认是加密并存储在API服务器上的。要访问secret中的密码,不需要直接"解开",因为它们实际上是解密过的。当你在yaml配置文件中...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值