k8s之安全信息(secret)及配置信息(configmap)管理

最新推荐文章于 2024-07-23 16:22:11 发布
最新推荐文章于 2024-07-23 16:22:11 发布
阅读量717 收藏
点赞数 1
文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47151643/article/details/109110074
版权

文章目录


前言

在K8s中有Secret和configMap这两种资源对象,这也是实现数据持久化的一种方式,与之前写过的PV或挂载目录等这些数据持久化的方式有些许不一样。

  • Secret资源对象:可以保存轻量的敏感信息,比如数据库的用户名和密码或者认证秘钥等。 它保存的数据是以秘文的方式存放的

  • configMap资源对象:和Secret一样,拥有大多数共同的特性,但是区别是,configMap保存的是 一些不太重要的信息,它保存的数据是以明文的方式存放的。

当我们创建上述两种资源对象时,其实就是将这两种资源对象存储的信息写入了k8s群集中的etcd数据中心。

一:secret和configMap的区别

相同点: 都是用来保存轻量级信息的,可以供其他资源对象(Deployment、RC、RS和POd)进行挂载使用。
这两种资源对象的创建方法(4种)及引用方法(2种)都是一样的,都是以键值对的方式进行存储的。

不同点: Secret是用来保存敏感信息的,而configMap是用来保存一些不太重要的数据的,具体表现在当我 们执行“kubectl
describe …”命令时,Secret这种类型的资源对象时查看不到其具体的信息的,
而configMap是可以查看到其保存的具体内容的。

## 二:创建Secert方式

加密数据并存放在Etcd中,让Pod的容器以挂载Volume方式访问

### 2.1:通过 --from-file:

- 使用`--from-file`的方式,文件中的数据不用使用base64加密。和ConfigMap类似,如果不指定key的名称,默认使用文件名。

```handlebars
'采用的加密方式是generic(通用的、一般的加密方式)''
''// 注意,一个--from-literal语句 ,只能保存一条信息'

'创建用户名/密码文件'
echo -n 'shuaige' > ./username.txt
echo -n '123123' > ./password.txt

'写入Server对象中'
kubectl create secret generic shuai-user-pass --from-file=./username.txt --from-file=./password.txt
  • 查看secret资源
[root@master ~]# kubectl get secret
NAME                  TYPE                                  DATA   AGE
default-token-cfdcs   kubernetes.io/service-account-token   3      16d
shuai-user-pass       Opaque                                2      13s

'查看刚写的详细信息'
[root@master ~]# kubectl describe secret shuai-user-pass
Name:         shuai-user-pass
Namespace:    default
Labels:       <none>
Annotations:  <none>

Type:  Opaque   '表示不透明的,看不见的'

Data
====
password.txt:  6 bytes   '只能查看键的名称,无法查看键对应的值'
username.txt:  7 bytes
  • 查看刚才创建的secret使用yaml方式查看
[root@master ~]# kubectl get secret shuai-user-pass -o yaml
apiVersion: v1
data:
  password.txt: MTIzMTIz
  username.txt: c2h1YWlnZQ==
kind: Secret
metadata:
  creationTimestamp: 2020-10-15T13:43:24Z
  name: shuai-user-pass
  namespace: default
  resourceVersion: "349589"
  selfLink: /api/v1/namespaces/default/secrets/shuai-user-pass
  uid: 65e06dfd-0eec-11eb-a2d8-000c2984c1e3
type: Opaque

2.2:通过YAML创建Secret

  • 先将要保存的值进行Base64编码
[root@master ~]# echo -n 'shuaige' | base64
c2h1YWlnZQ==
[root@master ~]# echo -n '123123' | base64
MTIzMTIz
  • 编写yaml文件
vim secret.yaml

apiVersion: v1
kind: Secret
metadata:
  name: mysecret           '//名称不可以有大写'      
type: Opaque
data: 
  username: c2h1YWlnZQ==   '//将加密后的形成的值写到配置文件中'
  password: MTIzMTIz
  • 执行 kubectl apply 创建 Secret
[root@master shuai]# kubectl apply -f secret.yaml
  • 查看secret
[root@master shuai]# kubectl get secret
NAME                  TYPE                                  DATA   AGE
default-token-cfdcs   kubernetes.io/service-account-token   3      16d
mysecret              Opaque                                2      97s
shuai-user-pass       Opaque                                2      32m
  • 查看条目key
[root@master shuai]# kubectl describe secret mysecret
Name:         mysecret
Namespace:    default
Labels:       <none>
Annotations:  
Type:         Opaque

Data
====
password:  6 bytes
username:  7 bytes
  • 通过kubectl edit secret mysecret 查看vlaue
apiVersion: v1
data:
  password: MTIzMTIz
  username: c2h1YWlnZQ==
kind: Secret
metadata:
  annotations:
    kubectl.kubernetes.io/last-applied-configuration: |
      {"apiVersion":"v1","data":{"password":"MTIzMTIz","username":"c2h1YWlnZQ=="},"kind":"Secret","metadata":{"annotations":{},"name":"mysecret","namespace":"default"},"type":"Opaque"}
  creationTimestamp: 2020-10-15T14:13:59Z
  name: mysecret
  namespace: default
  resourceVersion: "352162"
  selfLink: /api/v1/namespaces/default/secrets/mysecret
  uid: ab28ca46-0ef0-11eb-a2d8-000c2984c1e3
type: Opaque

注:即使,在保存数据前,我们对要保存的数据做了加密处理,但,base64这种方法也不是绝对
的安全,比如上边我们用base64这种方法得到的乱码字符串,就可以使用--decode解码如下:
  • 通过base64将value反解码
[root@master shuai]# echo -n c2h1YWlnZQ== | base64 --decode
shuaige[root@master shuai]# echo -n MTIzMTIz | base64 --decode
123123[root@master shuai]#

2.3:以环境变量的方式使用secret

2.31:方式一:使用secret中的变量导入到pod中
  • 查看刚才创建的secret使用yaml方式查看
kubectl get secret mysecret -o yaml

apiVersion: v1
data:
  password: MTIzMTIz
  username: c2h1YWlnZQ==
kind: Secret
metadata:
  annotations:
    kubectl.kubernetes.io/last-applied-configuration: |
      {"apiVersion":"v1","data":{"password":"MTIzMTIz","username":"c2h1YWlnZQ=="},"kind":"Secret","metadata":{"annotations":{},"name":"mysecret","namespace":"default"},"type":"Opaque"}
  creationTimestamp: 2020-10-15T14:13:59Z
  name: mysecret
  namespace: default
  resourceVersion: "352162"
  selfLink: /api/v1/namespaces/default/secrets/mysecret
  uid: ab28ca46-0ef0-11eb-a2d8-000c2984c1e3
type: Opaque
  • 编写yaml文件

key: username赋值给SECRET_USERNAME

key: password 赋值给SECRET_PASSWORD

vim secret.var.yaml

apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: nginx
    image: nginx
    env:                         '设置环境变量'
      - name: SECRET_USERNAME    '容器变量名称'
        valueFrom:
          secretKeyRef:
            name: mysecret       '调用的是mysecret'
            key: username        '对应的是mysecret中username对应的值'
      - name: SECRET_PASSWORD    '第二个环境变量名'
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: password
  • 创建资源
[root@master shuai]# kubectl apply -f secret.var.yaml 

[root@master shuai]# kubectl get pods
NAME                     READY   STATUS      RESTARTS   AGE
mypod                    1/1     Running     0          40s

'进入容器之后,查看变量对应的值'
[root@master shuai]# kubectl exec -it mypod bash
root@mypod:/# echo $SECRET_USERNAME
shuaige
root@mypod:/# echo $SECRET_PASSWORD
123123

注:通过发现,用环境变量的方式也可以正确引用secret资源,但是,它并不会像Volume的方式一样,它引用数据不会进行动态的更新,除非重新生成pod。

2.4:volume 方式使用 Secret

Pod 可以通过 Volume 或者环境变量的方式使用 Secret,先学习 Volume 方式。

Pod 的配置文件如下所示:

vim secret-vol.yaml

apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: nginx
    image: nginx
    volumeMounts:
    - name: foo
      mountPath: "/etc/foo"     '//指定容器中的目录'
      readOnly: true            '//以只读的方式挂载'
  volumes:
  - name: foo                   '//定义 volume foo,来源为 secret mysecret'
    secret:
      secretName: mysecret      '//指定的是已有的secret资源的名称'
  • 创建 Pod 并在容器中读取 Secret:
'删除原有资源'
[root@master shuai]# kubectl delete -f secret.var.yaml 

'创建资源'
[root@master shuai]# kubectl apply -f secret-vol.yaml 

'查看pod资源'
[root@master shuai]# kubectl get pods
NAME                     READY   STATUS      RESTARTS   AGE
mypod                    1/1     Running     0          48s
  • 进入容器查看数据
[root@master shuai]# kubectl exec -it mypod bash
root@mypod:/# ls /etc/foo
password  username
root@mypod:/# cat /etc/foo/username 
shuaigeroot@mypod:/# cat /etc/foo/password 

'一样查看'
[root@master shuai]# kubectl exec -it mypod bash

'//查看对应目录是否存在数据'
root@mypod:/# cat -n /etc/foo/username /etc/foo/password 
     1	shuaige123123root@mypod:/#

三:configMap数据的两种引用方式

大多数情况下,配置信息都以文件形式提供,所以在创建 ConfigMap 时通常采用 --from-file 或 YAML 方式读取 ConfigMap 时通常采用 Volume 方式。

比如给 Pod 传递如何记录日志的配置信息:

3.1:创建kubectl

  • 编写redis服务需要的配置并创建configmap资源
vim redis.properties

redis.host=127.0.0.1
redis.port=6379
redis.password=123456
  • 创建configmap资源
[root@master shuai]# kubectl create configmap redis-config --from-file=redis.properties
configmap/redis-config created

'查看资源'
[root@master shuai]# kubectl get configmap
NAME           DATA   AGE
redis-config   1      17s

'简写查看'
[root@master shuai]# kubectl get cm
NAME           DATA   AGE
redis-config   1      37s

'查看详细信息'
[root@master shuai]# kubectl describe cm redis-config
Name:         redis-config
Namespace:    default
Labels:       <none>
Annotations:  <none>

Data
====
redis.properties:
----
redis.host=127.0.0.1
redis.port=6379
redis.password=123456

Events:  <none>
  • 如果想看到键值的化,可以用kubectl get
'我们已yaml格式输出配置'
[root@master shuai]# kubectl get configmaps redis-config -o yaml
apiVersion: v1
data:
  redis.properties: |
    redis.host=127.0.0.1
    redis.port=6379
    redis.password=123456
kind: ConfigMap
metadata:
  creationTimestamp: 2020-10-15T15:52:49Z
  name: redis-config
  namespace: default
  resourceVersion: "360526"
  selfLink: /api/v1/namespaces/default/configmaps/redis-config
  uid: 79aa92e1-0efe-11eb-a2d8-000c2984c1e3
  • 创建mypod资源查看文件导入
vim cm.yaml

apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
    - name: busybox
      image: busybox
      command: [ "/bin/sh","-c","cat /etc/config/redis.properties" ]
      volumeMounts:
      - name: config-volume
        mountPath: /etc/config
  volumes:
    - name: config-volume
      configMap:
        name: redis-config
  restartPolicy: Never
  • 创建资源
'删掉之前创建重名的mypod'
[root@master shuai]# kubectl delete pod mypod

'创建资源'
[root@master shuai]# kubectl apply -f cm.yaml 

[root@master shuai]# kubectl get pods
NAME                     READY   STATUS      RESTARTS   AGE
mypod                    0/1     Completed   0          6s
  • 查看里面配置信息
[root@master shuai]# kubectl logs mypod
redis.host=127.0.0.1
redis.port=6379
redis.password=123456

3.2:第二种变量参数形式

  • 创建configmap资源
vim myconfig.yaml

apiVersion: v1
kind: ConfigMap
metadata:
  name: myconfig
  namespace: default
data:
  special.level: info
  special.type: hello
  
'创建资源'
kubectl apply -f myconfig.yaml 

'查看资源'
kubectl get cm
NAME           DATA   AGE
myconfig       2      3m     'configmap资源名myconfig'
  • 创建mymod使用configmap资源输出变量参数
vim config-var.yaml

apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
    - name: busybox
      image: busybox
      command: [ "/bin/sh", "-c", "echo $(LEVEL) $(TYPE)" ]
      env:
        - name: LEVEL
          valueFrom:
            configMapKeyRef:
              name: myconfig
              key: special.level
        - name: TYPE
          valueFrom:
            configMapKeyRef:
              name: myconfig     '引入资源名myconfig'
              key: special.type   '资源变量'
  restartPolicy: Never
  • 创建mypod资源
kubectl apply -f config.yaml 

kubectl get pods
NAME                     READY   STATUS      RESTARTS   AGE
mypod                    0/1     Completed   0          5s
  • 查看变量的输出
[root@master shuai]# kubectl logs mypod
info hello

本次实验结束,感谢观看

小爱人
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
十二、K8S-配置管理ConfigMapSecret
爱吃西红柿的博客
01-24 1180
如果引用Secret数据的应用,会随着secret资源对象内保存的数据的更新,而实时更新,那么应该使用volumes挂载的方式引用资源,因为环境变量的方式引用不会实时更新数据。ConfigMapSecret的区别:
[Kubernetes]6. k8s Pod配置管理ConfigMap & Secret以及传递环境变量的使用,k8s的命名空间以及使用kubens管理命名空间
zhoupenghui168的博客
01-09 1111
k8s Pod配置管理ConfigMap & Secret以及传递环境变量的使用,k8s借助命令行配置管理ConfigMap & Secret,以及借助腾讯云面板配置管理ConfigMap & Secret,k8s的命名空间以及使用kubens管理命名空间
k8sConfigMapsecret
wang0907的博客
01-07 1130
我们知道k8s的数据都是存储到kv数据库etcd中的,那么我们程序中使用到各种配置信息是否可以也存储到etcd,然后在pod中使用呢?是可以的,k8s为了实现将自定义的数据存储到etcd,定义了ConfigMapsecret两种API对象。其中ConfigMap用来保存明文数据,如端口号,普通配置参数等,Secret用来配置需要加密的数据,如密码,秘钥等。本文就一起来看下这两个对象的定义以及如何在pod中使用。
k8sconfigmapsecret
weixin_33908217的博客
12-25 430
配置信息注入 configmapsecret 简介   ConfigMap API资源提供了将配置数据注入容器的方式,同时保证该机制对容器来说是透明的。ConfigMap可以被用来保存单个属性,也可以用来保存整个配置文件或者JSON二进制大对象。   ConfigMap API资源存储键/值对配置数据,这些数据可以在pods里使用。ConfigMapSecrets类似,但是ConfigMap...
k8s---Secret详解
最新发布
qinxue722的博客
07-23 1024
k8s-Secret
k8s--configMapsecret
sfakh的博客
12-08 460
k8s--configMapsecretconfigMap是什么创建configMapsecret向容器传递命令行参数 在k8s中向应用传递配置数据可以通过环境变量、configmapsecret等方式。 configmapsecret都是k8s中的资源,用于将pod的配置分离,便于处理和信息的保密 configMap是什么 configMapK8s中用于数据持久化和共享的资源,常用于将其挂载到pod中的容器。configmapk8s中用于将配置资源映射到pod容器中的一种资源。可以在pod中的容
K8SconfigMap&secret
a91888888的博客
01-16 658
configMap的热更新:热更新可以直接反应到容器的内部,也不会触发pod的更新机制,如果不是需要重启的配置,都可以直接生效。2、config的热更新,在pod运行的情况下,对config配置信息进行修改。ConfigMap在创建容器中,给他注入我们需要的配置信息,既可以是单个的属性也可以整个容器的配置文件。这类数据可以存放在镜像当中,但是防止secret当中可以更方便的控制,减少暴露的风险保存加密的信息configMap:就是把配置信息传给容器,健偏对形式保存的,非加密的信息
K8s配置存储-ConfigMap / secret
wangjie72270的博客
01-04 1005
配置存储,ConfigMapsecret的详解
学习k8s配置信息(configmap)和安全信息(secret)管理
下一个艺术家
01-29 1292
secret和configmap可以理解为特殊的存储卷,但是它们不是给Pod提供存储功能的,而是提供了从集群外部向集群内部的应用注入配置信息的功能。 Secret:Base64的编码机制
k8ssecret里导入证书_k8s安全信息Secret)及配置信息ConfigMap
weixin_39841825的博客
12-22 396
Secretsecret也是k8s中的一个资源对象,主要用于保存轻量的敏感信息,比如数据库用户名和密码,令牌,认证密钥等。我们可以将这类敏感信息放在secret对象中,如果把它们暴露到镜像或者pod spec中稍显不妥,将其放在secret对象中可以更好地控制及使用,并降低意外暴露的风险。Secret可以使用volume或者环境变量的方式来使用这些轻量级数据。Secret有三种类型:Service...
k8s——加密管理secret,configmap
weixin_44848382的博客
07-27 3254
k8s——加密管理Kubenetes的加密管理SecretPod通过volume的方式使用secretPod通过环境变量的方式使用secretconfigmapPod通过volume使用configmap:Pod通过环境变量使用configmap Kubenetes的加密管理Secret Secret 解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Spec 中。Secret 可以以 Volume 或者环境变量的方式使用,SECRET会以密文的方式存储,
k8s 配置存储之 Configmap & secret
看,未来的博客
07-25 1185
这篇比较轻松,因为我这会儿的时间被称之为“碎片时间”。
k8s-configmapsecret
fzzjoy的专栏
04-24 444
ConfigMap ConfigMap 并不提供保密或者加密功能。 如果你想存储的数据是机密的,请使用 Secret, 或者使用其他第三方工具来保证你的数据的私密性,而不是用 ConfigMap。 如何在容器中监听configMap的变化 viper 参考 ConfigMap ...
k8sSecret & Configmap
weixin_51697758的博客
08-13 792
Secret可以为Pod提供密码、Token、私钥等敏感数据;对于一些 非敏感数据,比如应用的配置信息,则可以用ConfigMapConfigMap的创建和使用方式与Secret非常类似,主要的不同是 数据以明文的形式存放Configmap能解决哪些问题?...
Liunx——k8sConfigmapSecret
weixin_45191791的博客
11-22 302
Secret和ConfigMap 在日常单机甚至集群状态下,我们需要对一个应用进行配置,只需要修改其配置文件即可。 传统的实践过程中通常有以下几种方式: 启动容器时,通过命令传递参数; 将定义好的配置文件通过镜像文件进行写入; 通过环境变量的方式传递配置数据; 挂载Docker卷传送配置文件; 而在Kubernetes系统之中也存在这样的组件,就是特殊的存储卷类型。其并不是提供pod存储空间,而是给管理员或用户提供从集群外部向Pod内部的应用注入配置信息的方式。这两种特殊类型的存储卷分别是:config
玩转k8s(八)—— Secret & Configmap
weixin_49561506的博客
03-19 619
介绍如何向Pod传递配置信息,如果信息需要加密,可以使用Secret,如果是一般的配置信息,则使用ConfigMap。Pod在使用它们时,可以选择Volume方式或环境变量方式,但是只有Volume方式支持动态更新。
k8s-secret与configmap
Insomnia_Mr的博客
07-27 400
secret与configmapSecret创建方式使用键值对文件方式yaml文件Pod通过volume的方式使用secretPod通过环境变量的方式使用secretConfigmap创建方式键值对文件yamlPod通过volume使用configmapPod通过环境变量使用configmap Secret Secret 解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Spec 中。Secret 可以以 Volume 或者环境变量的方式使用 创建方式 使用键值
k8s上使用ConfigMapSecret
清瞳清的博客
06-16 1042
展示如何在 Kubernetes 中使用 ConfigMapSecret 来管理一个 web 应用的配置和数据库凭证。
K8S配置中心configMapSecret
人丑就要多读书的博客
01-02 989
在生产环境中经常会遇到需要修改配置文件的情况,传统的修改方式不仅会影响到服务的正常运行,而且操作步骤也很繁琐。为了解决这个问题,kubernetes项目从1.2版本引入了ConfigMap功能,用于将应用的配置信息与程序的分离。这种方式不仅可以实现应用程序被的复用,而且还可以通过不同的配置实现更灵活的功能。在创建容器时,用户可以将应用程序打包为容器镜像后,通过环境变量或者外接挂载文件的方式进行配置注入。ConfigMap && Secret 是K8S中的针对应用的配置中心,它有效的解决了应用
k8s configmap secret
07-27
Kubernetes (k8s) provides two types of resources for managing configuration data: ConfigMaps and Secrets. ConfigMaps are used to store non-sensitive configuration data, such as environment variables, command-line arguments, or configuration files. They can be created from literal values, directories, or files. On the other hand, Secrets are used to store sensitive information, such as usernames, passwords, or API keys. They are base64-encoded and can be mounted as files or used as environment variables in pods. To create a ConfigMap, you can use the `kubectl create configmap` command and provide the data using flags or a configuration file. For example: ```bash kubectl create configmap my-config --from-literal=key1=value1 --from-file=path/to/file ``` To create a Secret, you can use the `kubectl create secret` command and provide the sensitive data using flags or a configuration file. For example: ```bash kubectl create secret generic my-secret --from-literal=username=admin --from-file=path/to/file ``` Both ConfigMaps and Secrets can be mounted as volumes or used as environment variables in pods. You can reference them in the pod's YAML file using the `env` or `volumes` sections. I hope this helps! Let me know if you have any more questions.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值