Linux(企业级)——kubernetes(secret)

最新推荐文章于 2022-11-28 22:44:10 发布
最新推荐文章于 2022-11-28 22:44:10 发布
阅读量184 收藏
点赞数
分类专栏: Linux 文章标签: kubernetes docker linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45699877/article/details/119247006
版权

Secret

secret简介

Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 ssh key。 敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。

Pod 可以用两种方式使用 secret:

  • 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里。

  • 当 kubelet 为 pod 拉取镜像时使用。

Secret的类型:

  • Service Account:Kubernetes 自动创建包含访问 API 凭据的 secret,并自动修改 pod 以使用此类型的 secret。

  • Opaque:使用base64编码存储信息,可以通过base64 --decode解码获得原始数据,因此安全性弱。

  • kubernetes.io/dockerconfigjson:用于存储docker registry的认证信息。

- serviceaccout

serviceaccout 创建时 Kubernetes 会默认创建对应的 secret。对应的 secret 会自动挂载到 Pod 的/run/secrets/kubernetes.io/serviceaccount 目录中

 kubectl  run demo --image=myapp:v1

在这里插入图片描述
每个namespace下有一个名为default的默认的ServiceAccount对象
在这里插入图片描述 Tokens的可以作为Volume一样被Mount到Pod里的Secret,当Pod启动时这个Secret会被自动Mount到Pod的指定目录下,用来协助完成Pod中的进程访问API Server时的身份鉴权过程。
在这里插入图片描述

- Opaque Secret

- 从文件中创建

echo -n 'admin' > ./username.txt
echo -n 'westos' > ./password.txt
kubectl create secret generic db-user-pass --from-file=./username.txt --from-file=./password.txt
kubectl get secrets

在这里插入图片描述 直接describe 创建的secret可以看见key值为文件名

在这里插入图片描述通过yaml格式输出secret,也无法直接看出用户名与密码

在这里插入图片描述但若通过bash64进行解码则可以看到value值
在这里插入图片描述

# 如果密码具有特殊字符,则需要使用 \ 字符对其进行转义,执行以下命令:
kubectl create secret generic dev-db-secret --from-literal=username=devuser --from-literal=password=S\!B\\*d\$zDsb

- 通过yaml文件创建

创建base64加密的kv值对

echo -n 'admin' | base64
YWRtaW4=
echo -n 'westos' | base64
d2VzdG9z

添加至yaml文件中

vim secret.yaml

apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  username: YWRtaW4=
  password: d2VzdG9z

应用查看此secret

kubeclt apply -f secret.yaml
kubectl get secrets mysecret

在这里插入图片描述

- 将Secret挂载到Volume中

vim mypod.yaml
kubeclt apply -f mypod.yaml

apiVersion: v1
kind: Pod
metadata:
  name: mysecret
spec:
  containers:
  - name: nginx
    image: myapp:v1
    volumeMounts:
    - name: secrets
      mountPath: "/secret"
      readOnly: true
  volumes:
  - name: secrets
    secret:
      secretName: mysecret

进入容器中查看挂载,可以看到指定目录下的secret键值
在这里插入图片描述

- 向指定路径映射 secret 密钥

vim mypod.yaml

apiVersion: v1
kind: Pod
metadata:
  name: mysecret
spec:
  containers:
  - name: nginx
    image: myapp:v1
    volumeMounts:
    - name: secrets
      mountPath: "/secret"
      readOnly: true
  volumes:
  - name: secrets
    secret:
      secretName: mysecret
      items:
      - key: username
        path: my-group/my-username

kubectl apply -f  mypod.yaml 
kubectl exec  mysecret -i -t sh

在这里插入图片描述
### - 将Secret设置为环境变量

vim secret-env.yaml
kubectl apply -f env-secret.yaml

apiVersion: v1
kind: Pod
metadata:
  name: secret-env
spec:
  containers:
  - name: nginx
    image: myapp
    env:
      - name: SECRET_USERNAME
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: username
      - name: SECRET_PASSWORD
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: password

在这里插入图片描述环境变量读取Secret很方便,但无法支撑Secret动态更新.

- kubernetes.io/dockerconfigjson

kubernetes.io/dockerconfigjson用于存储docker registry的认证信息
创建认证信息

kubectl create secret docker-registry myregistrykey --docker-server=reg.westos.org --docker-username=admin --docker-password=westos --docker-email=hhh@westos.org

在这里插入图片描述
应用认证,在私有仓库拉取镜像

vim my-sc-app.yaml

apiVersion: v1
kind: Pod
metadata:
  name: my-rhel7
spec:
  containers:
    - name: rhel7
      image: reg.westos.org/westos/rhel7:latest
  imagePullSecrets:
    - name: myregistrykey

在这里插入图片描述
在这里插入图片描述

不问青黄
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux secret.pdf
09-30
linux secret.pdf linux 安全设置入门
linux http secret
weixin_33725272的博客
10-24 223
在/var/www/html创建一个secret目录,仅允许本地用户访问 1,访问需要密码 yum install httpd* service httpd restart tcp 80 chkconfig httpd on mkdir /var/www/html/secret vim /etc/httpd/conf/httpd.conf <Direc...
Linux Kubernetes Secret存储
weixin_45029822的博客
08-20 196
Kubernetes 存储 之 Secret一、Secret简介二、Service Account三、Opaque Secret通过命令创建Secret通过yaml文件创建Secret将Secret挂载到Volume中将Secret设置为环境变量四、kubernetes.io/dockerconfigjson 类型 一、Secret简介 Secret对象类型用来保存敏感信息,例如密码、OAuth令牌和ssh key。 敏感信息放在Secret中比放在Pod的定义或者容器镜像中来说更加安全和灵活。 Pod可以
Linux学习-KubernetesSecret和ConfigMap
丢爸
11-28 214
k8s中configmap和secret使用
Linux企业运维——Kubernetes(十)存储之Secret配置管理
weixin_44310047的博客
08-06 414
Linux企业运维——Kubernetes(十)存储之Secret配置管理 文章目录Linux企业运维——Kubernetes(十)存储之Secret配置管理1、Secret简介2、ServiceAccount3、Opaque Secret3.1、从文件中创建secret3.2、使用yaml文件创建secret3.3、将Secret挂载到Volume中3.4、向指定路径映射 secret 密钥3.5、将Secret设置为环境变量3.6、kubernetes.io/dockerconfigjson存储dock
synator:Synator Kubernetes Secret和ConfigMap同步器
04-23
Synator Kubernetes Secret和ConfigMap同步器 有时,我们想在不同的名称空间中使用机密,不幸的是,我们不能没有任何辅助运算符或手动复制,因为在kubernetes中,机密和configmaps是名称空间。 当我们有几个命名空间...
kubernetes-server-linux-amd64.tar.gz
最新发布
09-20
最后,理解Kubernetes涉及很多概念,例如Service、Deployment、ConfigMap、Secret等,这些都是在集群中定义和管理应用程序和服务的重要元素。同时,持续学习和实践是掌握Kubernetes的关键,因为它的功能和生态系统在...
linux-一个Kubernetes的LetsEncrypt证书管理器
08-13
本文将深入探讨如何在Linux环境下,利用Kubernetes作为Let's Encrypt证书管理器的实践和相关知识点。 首先,我们需要理解Kubernetes的资源对象。在这个场景中,我们关注的是`CronJob`和`Deployment`。`CronJob`用于...
Kubernetes日志到MongoDB-Linux开发
05-27
支持25个解析器平均日志大小〜700字节安装创建mongodb url secret kubectl创建secret通用themkk-logger --from-literal = MONGO_URI = 套用rbac和deamonset kubectl套用-f ...
kubernetes-secret-manager:使用Kubernetes集群中的Vault管理秘密
02-03
目标该项目的主要目的是允许从MySQL数据库请求动态机密,并使Kubernetes集群中的Pod能够使用这些动态密码。 机密应与租约相关联,以使它们在预定义的ttl之后过期,并且应在满足最大ttl之前旋转机密。 应当执行该实现...
linux加装硬盘
topsecret的博客
08-20 1123
      最近公司看有些同事的硬盘有点小,所以买了一些硬盘加装,我有幸分到了一块,所以就试着自己装了一下。       硬件方面的安装就不多说了,实在没有供电的就把光驱拆了,用光驱的电源线和连接线,软件方面进去后先sudo fdisk -l查看分区: 因为我装的是2T的,所以很明显是/dev/sda这个分区,如果你不了解自己的盘的话需要在安装之前看一下有哪些分区,装了之后才能对比出来多出来那...
linux下,C语言实现,使用系统给予的secret进行HmacSHA1加密求值(28位密钥)
小小英
11-09 5506
前序: 为了求得后台提交数据所需的sign值,真的研究了几天的时间。首先求得HmacSHA1的值,值是原始的二进制流数据,接着使用base64编码,base64编码所得值是自带换行符的,需处理,最后把数据再进行URLEncode。这才得出完整的sign值,简直要崩溃了。。。。。 在线计算HMAC https://1024tools.com/hmac 1.使用openssl工具库求HmacSHA1 ...
kubernetes存储 -- Secret配置管理
thermal_life的博客
07-01 909
简介 ConfigMap是用来存储一些非安全的配置信息,如果涉及到一些安全相关的数据的话用ConfigMap就非常不妥了, 因为ConfigMap明文存储的,这个时候j就应该使用Secret Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 ssh key。 敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。 Pod 可以用两种方式使用 secret: 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里。 当 kubel
【k8s】k8s存储配置之Secret
sl963216757的博客
07-11 1198
一、Secret 01_Secret简介 Secret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 将这些信息放在 secret 中比放在 Pod 的定义或者 容器镜像 中来说更加安全和灵活。 这样的信息可能会被放在 Pod 规约中或者镜像中。 用户可以创建 Secret,同时系统也创建了一些 Secret。 Kubernetes Secret 默认情况下存储为 base64-编码的、非加密的字符串。 默认情况下,能够访问 API 的任何人,或者能够访问 Kubernetes 下层数据存储(etcd
Linux39-8】k8s存储配置之Secret
weixin_46069582的博客
03-03 455
文章目录1. Secret1.1 Secret简介1.2 Secret类型2. 创建 Opaque 类型的Secret2.1 通过命令创建2.2 通过yaml文件创建Secret2.3 将Secret挂载到Volume中2.4 将Secret设置为环境变量3. 创建 kubernetes.io/dockerconfigjson 类型 1. Secret 1.1 Secret简介 Secret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 将这些信息放在 secret 中比放在 Pod 的定义或者
k8s之Secret详细理解及使用
热门推荐
skh2015java的博客
10-22 3万+
Secret介绍 k8s secrets用于存储和管理一些敏感数据,比如密码,token,密钥等敏感信息。它把 Pod 想要访问的加密数据存放到 Etcd 中。然后用户就可以通过在 Pod 的容器里挂载 Volume 的方式或者环境变量的方式访问到这些 Secret 里保存的信息了。 Secret有三种类型 Opaque:base64 编码格式的 Secret,用来存储密码、密钥等;但数据也可以通过base64 –decode解码得到原始数据,所有加密性很弱。 Service Account:.
kubernetes实践之六十二:Secret 使用
clmaykr95629的博客
06-21 452
一: 简介 Secret 可以作为数据卷被挂载,或作为环境变量暴露出来以供 pod 中的容器使用。它们也可以被系统的其他部分使用,而不直接暴露在 pod 内。例如,它们可以保存凭据,系统的其他部分应该用它来代表您与外部系统进行...
Kubernetes Secret 的几种类型
02-21
Kubernetes Secret 有四种类型:Opaque、Service Account、docker-registry 和 tls。Opaque 是最常用的类型,用于存储任意类型的数据;Service Account 用于存储服务帐户信息;docker-registry 用于存储对私有的 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值