Secret
secret简介
Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 ssh key。 敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。
Pod 可以用两种方式使用 secret:
-
作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里。
-
当 kubelet 为 pod 拉取镜像时使用。
Secret的类型:
-
Service Account:Kubernetes 自动创建包含访问 API 凭据的 secret,并自动修改 pod 以使用此类型的 secret。
-
Opaque:使用base64编码存储信息,可以通过base64 --decode解码获得原始数据,因此安全性弱。
-
kubernetes.io/dockerconfigjson:用于存储docker registry的认证信息。
- serviceaccout
serviceaccout 创建时 Kubernetes 会默认创建对应的 secret。对应的 secret 会自动挂载到 Pod 的/run/secrets/kubernetes.io/serviceaccount 目录中
。
kubectl run demo --image=myapp:v1
每个namespace下有一个名为default的默认的ServiceAccount对象
Tokens的可以作为Volume一样被Mount到Pod里的Secret,当Pod启动时这个Secret会被自动Mount到Pod的指定目录下,用来协助完成Pod中的进程访问API Server时的身份鉴权过程。
- Opaque Secret
- 从文件中创建
echo -n 'admin' > ./username.txt
echo -n 'westos' > ./password.txt
kubectl create secret generic db-user-pass --from-file=./username.txt --from-file=./password.txt
kubectl get secrets
直接describe 创建的secret可以看见key值为文件名
通过yaml格式输出secret,也无法直接看出用户名与密码
但若通过bash64进行解码则可以看到value值
# 如果密码具有特殊字符,则需要使用 \ 字符对其进行转义,执行以下命令:
kubectl create secret generic dev-db-secret --from-literal=username=devuser --from-literal=password=S\!B\\*d\$zDsb
- 通过yaml文件创建
创建base64加密的kv值对
echo -n 'admin' | base64
YWRtaW4=
echo -n 'westos' | base64
d2VzdG9z
添加至yaml文件中
vim secret.yaml
apiVersion: v1
kind: Secret
metadata:
name: mysecret
type: Opaque
data:
username: YWRtaW4=
password: d2VzdG9z
应用查看此secret
kubeclt apply -f secret.yaml
kubectl get secrets mysecret
- 将Secret挂载到Volume中
vim mypod.yaml
kubeclt apply -f mypod.yaml
apiVersion: v1
kind: Pod
metadata:
name: mysecret
spec:
containers:
- name: nginx
image: myapp:v1
volumeMounts:
- name: secrets
mountPath: "/secret"
readOnly: true
volumes:
- name: secrets
secret:
secretName: mysecret
进入容器中查看挂载,可以看到指定目录下的secret键值
- 向指定路径映射 secret 密钥
vim mypod.yaml
apiVersion: v1
kind: Pod
metadata:
name: mysecret
spec:
containers:
- name: nginx
image: myapp:v1
volumeMounts:
- name: secrets
mountPath: "/secret"
readOnly: true
volumes:
- name: secrets
secret:
secretName: mysecret
items:
- key: username
path: my-group/my-username
kubectl apply -f mypod.yaml
kubectl exec mysecret -i -t sh
vim secret-env.yaml
kubectl apply -f env-secret.yaml
apiVersion: v1
kind: Pod
metadata:
name: secret-env
spec:
containers:
- name: nginx
image: myapp
env:
- name: SECRET_USERNAME
valueFrom:
secretKeyRef:
name: mysecret
key: username
- name: SECRET_PASSWORD
valueFrom:
secretKeyRef:
name: mysecret
key: password
环境变量读取Secret很方便,但无法支撑Secret动态更新.
- kubernetes.io/dockerconfigjson
kubernetes.io/dockerconfigjson用于存储docker registry的认证信息
创建认证信息
kubectl create secret docker-registry myregistrykey --docker-server=reg.westos.org --docker-username=admin --docker-password=westos --docker-email=hhh@westos.org
应用认证,在私有仓库拉取镜像
vim my-sc-app.yaml
apiVersion: v1
kind: Pod
metadata:
name: my-rhel7
spec:
containers:
- name: rhel7
image: reg.westos.org/westos/rhel7:latest
imagePullSecrets:
- name: myregistrykey