Kubernetes(6)存储---Secret配置管理

最新推荐文章于 2024-03-31 23:19:24 发布
最新推荐文章于 2024-03-31 23:19:24 发布
阅读量189 收藏
点赞数
分类专栏: 企业实战 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45931409/article/details/108599395
版权

Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 ssh key。

敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。

Pod 可以用两种方式使用 secret:
作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里。

当 kubelet 为 pod 拉取镜像时使用。

Secret的类型:
Service Account:Kubernetes 自动创建包含访问 API 凭据的 secret,并自动修改 pod 以使用此类型的 secret。

Opaque:使用base64编码存储信息,可以通过base64 --decode解码获得原始数据,因此安全性弱。

kubernetes.io/dockerconfigjson:用于存储docker registry的认证信息

serviceaccout 创建时 Kubernetes 会默认创建对应的 secret。对应的 secret 会自动挂载到 Pod 的 /var/run/secrets/kubernetes.io/serviceaccount 目录中
在这里插入图片描述
在这里插入图片描述

每个namespace下有一个名为default的默认的ServiceAccount对象

$ kubectl get Secret
NAME TYPE DATA AGE
default-token-mmkdj kubernetes.io/service-account-token 3 8d

ServiceAccount里有一个名为Tokens的可以作为Volume一样被Mount到Pod里的Secret,当Pod启动时这个Secret会被自动Mount到Pod的指定目录下,用来协助完成Pod中的进程访问API Server时的身份鉴权过程。

$ kubectl get pod -o yaml
在这里插入图片描述

如图创建个secrets

在这里插入图片描述
可以看到他的在base64 转译后的显示
在这里插入图片描述
同理我们可以使用base64 给 解密出来
在这里插入图片描述
我们使用刚刚加密的文件写一个yaml文件
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

**

将Secret挂载到Volume中

**

apiVersion: v1
kind: Pod
metadata:
  name: mysecret
spec:
  containers:
  - name: nginx
    image: nginx
    volumeMounts:
    - name: secrets
      mountPath: "/secret"
      readOnly: true
  volumes:
  - name: secrets
    secret:
      secretName: mysecret

在这里插入图片描述

向指定路径映射 secret 密钥

apiVersion: v1
kind: Pod
metadata:
  name: mysecret
spec:
  containers:
  - name: nginx
    image: nginx
    volumeMounts:
    - name: secrets
      mountPath: "/secret"
      readOnly: true
  volumes:
  - name: secrets
    secret:
      secretName: mysecret
      items:
      - key: username
        path: my-group/my-username

在这里插入图片描述

将Secret设置为环境变量

apiVersion: v1
kind: Pod
metadata:
  name: secret-env
spec:
  containers:
  - name: nginx
    image: nginx
    env:
      - name: SECRET_USERNAME
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: username
      - name: SECRET_PASSWORD
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: password

在这里插入图片描述

kubernetes.io/dockerconfigjson用于存储docker registry的认证信息.
实验前在narbor上创建一个不公开的用户
在这里插入图片描述

$ kubectl create secret docker-registry myregistrykey --docker-server=reg.westos.org --docker-username=cxf --docker-password=westos --docker-email=yakexi007@westos.org
secret/myregistrykey created

vim mypod.yaml
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
    - name: game2048
      image: reg.westos.org/westos/game2048
  imagePullSecrets:
    - name: myregistrykey

$ kubectl create -f mypod.yaml 
pod/mypod created

这样配置后 想要下载私密仓库的文件就必须登陆 或者部署了myregistrykey 才可以下载

倚马可待
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kubernetes基础:Secrets管理与环境变量引用方式
知行合一 止于至善
12-02 927
在容器化的实践之中,密码、token等信息的安全管理一直是一个问题,而在Kubernetes中可以使用Secrets可以在一定程度上解决这一问题。Secrets是Kubernetes中的一种对象类型,用来保存密码、token、私钥等敏感信息。
每天5分钟玩转Kubernetes | 在Pod中使用Secret
COCO_gsta的博客
06-23 463
书籍来源:cloudman《每天5分钟玩转Kubernetes》一边学习一边整理老师的课程内容及试验笔记,并与大家分享,侵权即删,谢谢支持!Pod可以通过Volume或者环境变量的方式使用Secret。Pod的配置文件如下所示。 ① 定义volume foo,来源为secret mysecret。② 将foo mount到容器路径/etc/foo,可指定读写权限为readOnly。创建Pod并在容器中读取Secret,如图所示。可以看到,Kubernetes会在指定的路径/etc/foo下为每条敏感数据
ConfigMap和Secret配置Pod环境变量与热更新
最新发布
DwanCloud
03-31 719
在云原生应用开发和部署过程中,ConfigMap 和 Secret 是非常重要的资源对象,用于存储管理应用程序的配置信息和敏感数据。然而,当我们更新 ConfigMap 或 Secret 的内容时,对于已经运行的 Pod,其中引用的环境变量和挂载的文件是否会自动更新呢?
kubernetes in action读书笔记(四)ConfigMap、Secret、滚动升级、downwardAPI、Deployment、Statefulset
weixin_42305433的博客
05-02 487
kubernetes in action读书笔记(四)ConfigMap、Secret、滚动升级、downwardAPI、Deployment、StatefulsetConfigMapSecret如何访问pod的元数据由滚动升级引出Deployment原始的RC人工滚动升级缺陷DeploymentStatefulset ConfigMap 没有太多好说的,一个用来解决服务配置的资源,可以避免硬编码...
k8s通过secret管理敏感信息
weixin_30650039的博客
11-14 377
应用启动过程中可能需要一些敏感信息,比如访问数据库的用户名密码或者秘钥。将这些信息直接保存在容器镜像中显然不妥,Kubernetes 提供的解决方案是 Secret。 Secret 会以密文的方式存储数据,避免了直接在配置文件中保存敏感信息。Secret 会以 Volume 的形式被 mount 到 Pod,容器可通过文件的方式使用 Secret 中的敏感数据;此外,容器也可以环境变量的方...
k8s--Kubernetes存储--Secret配置管理
Gong_yz的博客
03-13 894
- Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 ssh key。 - 敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。 - Pod 可以用两种方式使用 secret: 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里。 当 kubelet 为 pod 拉取镜像时使用。
Kubernetes----配置Secret存储
redrose2100的博客
04-11 497
一、Secret实例演示 在kubernetes中,还存在一种configmap非常类似的对象,称为Secret对象,它主要用户存储敏感信息,例如密码,密钥、证书等等 1.1 首先使用base64对数据进行编码 如下,将admin和admin123使用base64编码 [root@master volume]# echo -n 'admin' | base64 YWRtaW4= [root@master volume]# echo -n 'admin123' | base64 YWRtaW4xMjM= [r
kubernetes-server-linux-amd64.tar.gz
11-29
- **ConfigMap**与**Secret**:用于存储非敏感和敏感的应用配置数据,提供安全的环境变量注入方式。 - **Ingress**:定义外部网络到服务内部的访问规则,支持负载均衡和路由。 2. **Kubernetes 1.21.0新特性**: ...
kubernetes-rabbitmq-cluster:适用于kubernetes的可部署的Rabbitmq集群
02-03
在IT行业中,Kubernetes(简称K8s)是目前最流行的容器编排系统,它能够自动化容器化应用的部署、扩展以及管理。RabbitMQ,则是广泛应用的消息队列服务,用于处理应用程序之间的异步通信和数据交换。当我们把...
kubernetes-yaml-templates:Kubernetes Yaml模板
01-30
5. **ConfigMap** 和 **Secret**:分别用于存储非敏感和敏感的应用配置数据,与代码分离,便于管理和更新。 6. **Ingress**:定义外部访问应用的路由规则,可以实现基于路径、主机等的路由策略。 "AwesomeLists...
kubernetes集群实战——Configmap配置管理和Secret配置管理
weixin_45792518的博客
07-07 351
1.ConfigMap配置管理 configmap用于保存配置数据,以键值对形式存储。 configMap 资源提供了向 Pod 注入配置数据的方法。 旨在让镜像和配置文件解耦,以便实现镜像的可移植性和可复用性。 典型的使用场景: • 填充环境变量的值 • 设置容器内的命令行参数 • 填充卷的配置文件 2.创建ConfigMap的方式 4种方式: • 使用字面值创建 • 使用文件创建 • 使用目录创建 • 编写configmap的yaml文件创建 2.1使用字面值创建 kubectl create conf
Docker Kubernetes存储--Configmap配置管理、Secret配置管理
但行好事
03-12 359
文章目录1. Configmap配置管理1.1 清理实验环境1.2 使用字面值创建1.3 使用文件创建1.4 使用目录创建1.5 编写configmap的yaml文件2.如何使用configmap2.1 使用configmap设置环境变量2.2 使用conigmap设置命令行参数2.3 通过数据卷使用configmap2.4 configmap热更新(使用数据卷)2.5 pod滚动更新2.5.1 使用命令更新(打补丁)2.5.2 直接删除pod更新 1. Configmap配置管理 - Configma
关于更改Deployment Config的初始化环境变量中的secret,重新deploy后不生效的问题
weixin_43606893的博客
06-05 1602
最近为加强安全性,需要修改mysql或者influxdb的deployment config的环境变量中定义的secret,但是更改并重新部署后并不生效。 诸如上述这种,其实原因并不在于secret和deployment config存在什么问题,而是由于这些环境变量是用于容器初始化时使用,而我们这些DC上都挂载有存储,所以再次部署时,不会重新初始化,也就是数据库存储中,已经固有了原来的密码不会...
fence应用
weixin_45931409的博客
08-09 661
每个节点之间互相发送探测包进行判断节点的存活性。一般会有专门的线路进行探测,这条线路称为“心跳线”(上图直接使用eth0线路作为心跳线)。假设node1的心跳线出问题,则node2和node3会认为node1出问题,然后就会把资源调度在node2或者node3上运行,但node1会认为自己没问题不让node2或者node3抢占资源,此时就出现了脑裂(split brain)。 此时如果在整个环境里有一种设备直接把node1断电,则可以避免脑裂的发生,这种设备叫做fence或者stonith(Shoot T.
mysql的分布式集群
weixin_45931409的博客
08-19 429
实验环境 : server2:172.25.16.2 server6:172.25.16.10 server7:172.25.16.20 在三台主机上面配置 1.如果前面有mysql作其他的项目,在/data/mysql 把目录中的文件删除,初始化mysql mysqld --initialize --user=mysql,记住初始化密码 2.修改/etc/my.cnf [mysqld] basedir=/usr/local/lnmp/mysql datadir=/data/mysql socket=/d
Kubernetes(5)存储
weixin_45931409的博客
11-25 275
configmap 四种创建方式 1. [k8s@server11 ~]$ kubectl create configmap my-config --from-literal=key1=config1 --from-literal=key2=config2 configmap/my-config created [k8s@server11 ~]$ kubectl get cm my-config -o yaml apiVersion: v1 data: key1: config1 key2: con
Kubernetes(7)---volumes
weixin_45931409的博客
11-25 274
emptyDir 的使用场景: 缓存空间,例如基于磁盘的归并排序。 为耗时较长的计算任务提供检查点,以便任务能方便地从崩溃前状态恢复执行。 在 Web 服务器容器服务数据时,保存内容管理器容器获取的文件。 默认情况下, emptyDir 卷存储在支持该节点所使用的介质上;这里的介质可以是磁盘或 SSD 或网络存储,这取决于您的环境。 但是,您可以将 emptyDir.medium 字段设置为 “Memory”,以告诉 Kubernetes 为您安装 tmpfs(基于内存的文件系统)。 虽然 tmpfs 速度
nginx(OpenResty)对tomcat的负载均衡
weixin_45931409的博客
08-16 248
** 一、Tomcat简介: ** Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP 程序的首选。对于一个初学者来说,可以这样认为,当在一台机器上配置好Apache 服务器,可利用它响应HTML(标准通用标记语言下的一个应用)页面的访问请求。实际上Tomcat是Apache 服务器的扩展,但运行时它是独立运行的,所以当你运行tomcat 时,它实际上作为一个与Apache 独立的进程单独运行的。 诀
Docker
weixin_45931409的博客
12-30 247
docker 的安装 一台主机就可以了、 在镜像源下好安装包 [root@server1 ~]# cd /etc/sysctl.d [root@server1 sysctl.d]# ls 99-sysctl.conf docker.conf [root@server1 sysctl.d]# cat docker.conf net.bridge.bridge-nf-call-iptables=1 net.bridge.bridge-nf-call-ip6tables=1 [root@server1...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值