文章目录
一、Secret介绍
应用启动过程中可能需要一些敏感信息,比如访问数据库的用户名密码或者秘钥。将这些信息直接保存在容器镜像中显然不妥,Kubernetes 提供的解决方案是 Secret。
Secret资源主要用于存储和管理一些敏感数据,比如密码,token,密钥,证书等敏感信息。它把 Pod 想要访问的加密数据存放到 etcd 中。然后用户就可以通过在 Pod 的容器里挂载 Volume 的方式或者环境变量的方式访问到这些 Secret 里保存的信息了。
Secret有三种类型:
-
Opaque:base64 编码格式的 Secret,用来存储密码、密钥等;但数据也可以通过base64 –decode解码得到原始数据,所以加密性很弱。
-
Service Account:用来访问Kubernetes API,由Kubernetes自动创建,并且会自动挂载到Pod的 /run/secrets/kubernetes.io/serviceaccount 目录中。
-
kubernetes.io/dockerconfigjson:用来存储私有docker registry的认证信息。
用来创建用户docker registry认证的Secret:kubectl create secret docker-registry myregistry --docker-server=DOCKER_SERVER --docker-username=DOCKER_USER --docker-password=DOCKER_PASSWORD --docker-email=DOCKER_EMAIL
Secret也是使用键值对的形式存储数据,一般经常使用的是Opaque类型的Secret,对于键值对中的值可以进行base64编码后进行存储,然后通过volume挂载到容器内部时,可以看到解码后的信息,如果对于键值对中的值不论进行的是明文定义还是编码后的定义,使用kubectl
describe命令查看是都不会显示具体值,只会显示字节数。
使用base64对数据进行编码
# 用法:
echo -n '需加密的数据' | base64
# 或
base64 文件名
# 对于同样的数据无论编码多少结果都是一样的
[root@k8s-master ~]# echo -n '123456' | base64
MTIzNDU2
[root@k8s-master ~]# echo -n 'admin' | base64
YWRtaW4=
[root@k8s-master ~]# cat test
It is a test !
[root@k8s-master ~]# base64 test
SXQgaXMgYSB0ZXN0ICENCg==
# 解码
[root@k8s-master ~]# echo -n 'YWRtaW4=' | base64 -d
admin
[root@k8s-master ~]# echo -n 'MTIzNDU2' | base64 -d
123456
二、Secret的创建
(一)通过命令行创建secret
1. 通过文件创建secret
用法:
# 创建
# 第一种是将文件名作为键,文件内容作为值
kubectl create secret generic secret名 --from-file=文件1 --from-file=文件2 -n namespace
# 第二种,不以文件名作为键,自定义键
kubectl create secret generic secret名 --from-file=键1=文件1 --from-file=键2=文件2 -n namespace
# 查看
kubectl get secret secret名 -n namespace
kubectl describe secret secret名 -n namespace
# 删除
kubectl delete secret secret名 -n namespace
【例 】
[root@k8s-master ~]# cat file1
admin
[root@k8s-master ~]# cat file2
12345
# 第一种是将文件名作为键,文件内容作为值
[root@k8s-master ~]# kubectl create secret generic my-secret1 --from-file=file1 --from-file=file2 -n test
secret/my-secret1 created
# 查看
[root@k8s-master ~]# kubectl get secret my-secret1 -n test
NAME TYPE DATA AGE
my-secret1 Opaque 2 39s
[root@k8s-master ~]# kubectl describe secret my-secret1 -n test
Name: my-secret1
Namespace: