K8S 数据卷volumes之Secret

最新推荐文章于 2023-04-22 17:27:58 发布
最新推荐文章于 2023-04-22 17:27:58 发布
阅读量1.9k 收藏 8
点赞数 3
分类专栏: Kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45880055/article/details/117650386
版权

文章目录

一、Secret介绍

应用启动过程中可能需要一些敏感信息,比如访问数据库的用户名密码或者秘钥。将这些信息直接保存在容器镜像中显然不妥,Kubernetes 提供的解决方案是 Secret。

Secret资源主要用于存储和管理一些敏感数据,比如密码,token,密钥,证书等敏感信息。它把 Pod 想要访问的加密数据存放到 etcd 中。然后用户就可以通过在 Pod 的容器里挂载 Volume 的方式或者环境变量的方式访问到这些 Secret 里保存的信息了。

Secret有三种类型:

  • Opaque:base64 编码格式的 Secret,用来存储密码、密钥等;但数据也可以通过base64 –decode解码得到原始数据,所以加密性很弱。

  • Service Account:用来访问Kubernetes API,由Kubernetes自动创建,并且会自动挂载到Pod的 /run/secrets/kubernetes.io/serviceaccount 目录中。

  • kubernetes.io/dockerconfigjson:用来存储私有docker registry的认证信息。
    用来创建用户docker registry认证的Secret:kubectl create secret docker-registry myregistry --docker-server=DOCKER_SERVER --docker-username=DOCKER_USER --docker-password=DOCKER_PASSWORD --docker-email=DOCKER_EMAIL

Secret也是使用键值对的形式存储数据,一般经常使用的是Opaque类型的Secret,对于键值对中的值可以进行base64编码后进行存储,然后通过volume挂载到容器内部时,可以看到解码后的信息,如果对于键值对中的值不论进行的是明文定义还是编码后的定义,使用kubectl
describe命令查看是都不会显示具体值,只会显示字节数。

使用base64对数据进行编码

# 用法:
echo -n '需加密的数据' | base64
# 或
base64 文件名
# 对于同样的数据无论编码多少结果都是一样的
[root@k8s-master ~]# echo -n '123456' | base64
MTIzNDU2
[root@k8s-master ~]# echo -n 'admin' | base64
YWRtaW4=
[root@k8s-master ~]# cat test
It is a test !
[root@k8s-master ~]# base64 test
SXQgaXMgYSB0ZXN0ICENCg==

# 解码
[root@k8s-master ~]# echo -n 'YWRtaW4=' | base64 -d
admin
[root@k8s-master ~]# echo -n 'MTIzNDU2' | base64 -d
123456

二、Secret的创建

(一)通过命令行创建secret

1. 通过文件创建secret

用法:

# 创建
# 第一种是将文件名作为键,文件内容作为值
kubectl create secret generic secret名 --from-file=文件1 --from-file=文件2 -n namespace
# 第二种,不以文件名作为键,自定义键
kubectl create secret generic secret名 --from-file=键1=文件1 --from-file=键2=文件2 -n namespace

# 查看
kubectl get secret secret名 -n namespace
kubectl describe secret secret名 -n namespace

# 删除
kubectl delete secret secret名 -n namespace

【例 】

[root@k8s-master ~]# cat file1
admin
[root@k8s-master ~]# cat file2
12345

# 第一种是将文件名作为键,文件内容作为值
[root@k8s-master ~]# kubectl create secret generic my-secret1 --from-file=file1 --from-file=file2 -n test
secret/my-secret1 created

# 查看
[root@k8s-master ~]# kubectl get secret my-secret1 -n test
NAME         TYPE     DATA   AGE
my-secret1   Opaque   2      39s
[root@k8s-master ~]# kubectl describe secret my-secret1 -n test
Name:         my-secret1
Namespace:
最低0.47元/天 解锁文章
途径日暮不赏丶
关注
  • 3
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
K8S存储类型
xuying0906的博客
07-15 709
k8s 的存储相关知识
k8s学习-Secret(创建、使用、更新、删除等)
关注网络安全、云原生安全
08-20 8434
注意:Base64只是一种编码,不含密钥的,并不安全。任何拥有 API 访问权限的人都可以检索或修改 Secret,任何有权访问 etcd 的人也可以。此外,任何有权限在命名空间中创建 Pod 的人都可以使用该访问权限读取该命名空间中的任何 Secret;使用该 ServiceAccount 创建的任何 Pod 和默认使用该 ServiceAccount 的 Pod 将会将其的 imagePullSecret 字段设置为服务帐户的 imagePullSecret 值。中的安全部分详细展开。
Kubernetes 存储(Configmap、Secret、Volume、PV-PVC)
果子哥丶的博客
10-06 1368
一、ConfigMap、 1、ConfigMap描述信息、 2、ConfigMap的创建、 3、Pod中使用ConfigMap、 4、ConfigMap的热更新, 二、Secret 1、Secret存在意义、 2、Secret的三种类型、 3、Service Account、 4、Opaque Secret, 三、volume、 1、背景、 2、卷的类型、 3、卷类型:emptyDir、 4、卷类型:hostPath, 四、PV-PVC、 1、持久化演示说明 - NFS、 2、关于StatefulSet、
轻松掌握K8S使用kubectl操作配置文件挂载ConfigMap和密钥Secret知识点05
轻松入门网
04-22 2599
轻松掌握K8S使用kubectl操作配置文件挂载ConfigMap和密钥Secret知识点05
【云原生 | Kubernetes 实战】17、K8s 配置管理中心 Secret 实现加密数据配置管理
Stars.Sky 的博客
12-29 1802
K8s 配置管理中心 Secret 实现加密数据配置管理
Docker数据存储之Volumes详解
09-30
今天小编就为大家分享一篇关于Docker数据存储之Volumes详解,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
k8s部署prometheus+grafana监控.pdf
12-23
k8s部署Prometheus+Grafana监控 在Kubernetes(以下简称k8s)环境中,监控系统是非常重要的,Prometheus和Grafana是两个非常流行的监控工具。Prometheus是一个开源的监控系统和警报工具包,Grafana是一个可视化工具...
k8s fundamentals-LFS258-
12-10
Kubernetes 基础课程个人笔记整理包含内容:01....08.卷和数据(Volumes and Data) 09.服务(services) 10. INGRESS 11.Scheduling 12.记录和故障排除(Logging and Troubleshooting) 13.Custom Resource Definit
21_Docker_容器数据volumes-from.avi
最新发布
06-24
21_Docker_容器数据volumes-from
技术干货 | K8S如何引入Volumes
weixin_33743703的博客
12-12 897
Number1 为什么引入Volume? 当container crash的时候,kubelet将会重启它,里面之前运行的数据将会丢失,容器将以一个clean state的状态来启动。 运行在pod中的containers通常会共享数据volumes的概念就是为了解决这些问题。 Number2 现状 kubernetes中的vo...
Kubernetes储存:ConfigMap、SecretVolumes
qiao_qing的博客
02-26 823
文章目录一、ConfigMap配置管理1、创建ConfigMap的方式1)字面值创建2)使用文件创建3)使用目录创建4)使用编写文件创建2、使用configmap1)使用configmap设置环境变量2)使用configmap设置命令行参数3)通过数据卷使用configmap4)congfigmap热更新二、Secret管理1)编写一个secret对象2)将secret挂载到卷中3)向指定路径影射secret密钥2)将secret设置为环境变量三、卷Volumes配置管理1、emptyDir卷,空卷2、h.
k8s学习(十二) 使用secret
文若书生的专栏
09-02 5352
ConfigMap是用来存储一些非安全的配置信息,如果涉及到一些安全相关的数据的话用ConfigMap就非常不妥了, 因为ConfigMap明文存储的,这个时候使用SecretSecret用来保存敏感信息,例如密码、OAuth 令牌和 ssh key等等, 将这些信息放在Secret中比放在Pod的定义中或者docker镜像中来说更加安全和灵活。 Secret有三种类型: Opaque:bas...
Kubernetes之Volumes
山不转的博客
09-14 4333
概述 Volume是对各种存储资源的抽象、虚拟化。为管理、控制、使用存储资源提供统一接口。Openstack中的volume为虚拟机提供存储,Docker中的volume为容器提供存储。因为在kubernetes中可部署运行最小单位是pod ,所以kubernetes的volume为pod提供存储。当然在部署pod时可以不为其提供volume,pod中的容器使用所在节点的硬盘,能同时读写数据的地...
Kubernetes(k8s)的存储Secret 详细介绍
南宫乘风-Linux运维-虚拟化容器-Python编程 ownit.top
02-08 1085
Secret 存在意义 Secret 解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Spec 中。Secret 可以以 Volume 或者环境变量的方式使用 Secret 有三种类型: Service Account :用来访问 Kubernetes API,由 Kubernetes 自动创建,并且会自动挂载到 Pod 的/run/se...
kubernetes的Service Account和secret
热门推荐
柳清风的专栏
06-04 2万+
Service AccountService Account概念的引入是基于这样的使用场景:运行在pod里的进程需要调用Kubernetes API以及非Kubernetes API的其它服务。Service Account它并不是给kubernetes集群的用户使用的,而是给pod里面的进程使用的,它为pod提供必要的身份认证。kubectl get sa --all-namespacesNAME
Kubernetes中Secret使用详解
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
10-26 1万+
Secret解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。 Secret类型 Secret有三种类型: Opaque:base64编码格式的Secret,用来存储密码、密钥等;但数据也通过base64 –decode解码得到原始数据,所有加密性很弱。 kubernetes.io/doc...
Kubernetes---Secret配置管理
Jelly
04-21 1042
一、Secret配置管理介绍 Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 ssh key。 敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。 Pod 可以用两种方式使用 secret: • 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里; • 当 kubelet 为 pod 拉取镜像时使用。 Secret的类型: • Service Account:K...
k8s挂载目录_gitlab-runner在Kubernetes环境下挂载宿主机目录的方法
weixin_39586265的博客
12-21 572
gitlab-runner在Kubernetes里安装的方法可以通过官方提供的chart来用helm3安装。官方chart的仓库地址为:https://gitlab.com/gitlab-org/charts/gitlab-runner,但这里有个问题就是无法配置宿主机的挂载目录,根据gitlab-runner在docker模式下挂载目录的方法,并且结合官方文档,做如下改动即可支持挂载目录,修改t...
初试 Kubernetes 动态卷配置使用 RBD 作为 StorageClass
哎_小羊的博客
01-21 8831
Kubernetes 集群存储 PV 支持 Static 静态配置以及 Dynamic 动态配置,动态卷配置 (Dynamic provisioning) 可以根据需要动态的创建存储卷。之前的静态配置方式,集群管理员必须手动调用云/存储服务提供商的接口来配置新的固定大小的 Image 存储卷,然后创建 PV 对象以在 Kubernetes 中请求分配使用它们。通过动态卷配置,能自动化完成以上两步骤,它无须集群管理员预先配置存储资源,而是使用 StorageClass 对象指定的供应商来动态配置存储资源。
k8s yaml的volumes配置
05-10
Kubernetes (k8s) 中的 Volumes 是一种抽象的存储资源,可以将其挂载到容器中,以便容器可以访问该存储资源。Volumes 可以是持久的(例如,使用云存储提供程序的卷)或临时的(例如,空白目录卷)。 在 k8s YAML ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值