Kubernetes -- secret (敏感数据管理)

最新推荐文章于 2023-04-14 19:22:41 发布
最新推荐文章于 2023-04-14 19:22:41 发布
阅读量196 收藏
点赞数
分类专栏: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47365365/article/details/112093817
版权

Kubernetes – secret (敏感数据管理)

https://www.kubernetes.org.cn/secret
secret 主要解决密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中
Secret可以以Volume或者环境变量的方式使用(共两种方式)

Secret有三种类型:

1.Service Account:用来访问Kubernetes API,由Kubernetes自动创建,并且会自动挂载到Pod的/run/secrets/kubernetes.io/serviceaccount目录中;
2.Opaque:base64编码格式的Secret,用来存储密码、密钥等;
3.kubernetes.io/dockerconfigjson:用来存储私有docker registry的认证信息;

实验 (Opaque)

第一步:加密用户及密码

echo “123” | base64
MTIzCg==
echo “node1” | base64
bm9kZTEK

第二步:编写secret的yml文件

apiVersion: v1
kind: Secret
metadata:
name: mysecret
data:
hostname: bm9kZTEK
password: MTIzCg==

第三步:执行secret文件

kubectl apply -f secret.yml
secret/mysecret created

第四步:查看

kubectl get secret
NAME TYPE DATA AGE
default-token-ngn4n kubernetes.io/service-account-token 3 10d
mysecret Opaque 2 2m4s

kubectl describe secret mysecret
Name: mysecret
Namespace: default
Labels:
Annotations:
Type: Opaque

Data
hostname: 6 bytes
password: 4 bytes

第五步:获取加密数据

kubectl edit secret mysecret

#Please edit the object below. Lines beginning with a ‘#’ will be ignored,
#and an empty file will abort the edit. If an error occurs while saving this file will be
#reopened with the relevant failures.

apiVersion: v1
data:
hostname: bm9kZTEK # 加密数据
password: MTIzCg== # 加密数据
kind: Secret
metadata:
annotations:
kubectl.kubernetes.io/last-applied-configuration: |
{“apiVersion”:“v1”,“data”:{“hostname”:“bm9kZTEK”,“password”:“MTIzCg==”},“kind”:“Secret”,“metadata”:{“annotations”:{},“name”:“mysecret”,“namespace”:“default”}}
creationTimestamp: “2019-08-30T08:00:24Z”
name: mysecret
namespace: default
resourceVersion: “244709”
selfLink: /api/v1/namespaces/default/secrets/mysecret
uid: f8a21f4c-18ce-4b13-814a-c20ee5efbe23
type: Opaque

第六步:解码

echo “MTIzCg==” | base64 --decode
123

echo “bm9kZTEK” | base64 --decode
node1

使用secret

以volume的形式挂载到pod

第一步:编写pod的yml文件

apiVersion: v1
kind: Pod
metadata:
name: pod-secret
spec:
containers:

  • name: busybox
    image: busybox
    imagePullPolicy: IfNotPresent
    command: ["/bin/sh","-c",“touch test;sleep 60000”]
    volumeMounts:
    • name: du
      mountPath: /tmp
      volumes:
  • name: du
    secret:
    secretName: mysecret

第二步:执行

kubectl apply -f busybox-secret.yml
pod/pod-secret created

第三步:进入pod查看

kubectl exec -it pod-secret /bin/sh
/ # ls
bin dev etc home proc root sys test tmp usr var
/ # cd tmp
/tmp # ls
hostname password
/tmp # cat hostname
node1
/tmp # cat password
123
/tmp #

第四步:动态更新密码

1、生成新密码
echo 1234 | base64
MTIzNAo=

2、修改secret文件
apiVersion: v1
kind: Secret
metadata:
name: mysecret
data:
hostname: bm9kZTEK
password: MTIzNAo=

3、重新执行secret的yml文件
kubectl apply -f secret.yml
secret/mysecret configured

第五步:查看密码

kubectl exec -it pod-secret /bin/sh
/ # cd tmp
/tmp # ls
hostname password
/tmp # cat password
1234

以环境变量的方式使用secret

第一步:编写yml文件

apiVersion: v1
kind: Pod
metadata:
name: pod-mysql
spec:
containers:

  • name: mysql
    image: mysql
    imagePullPolicy: IfNotPresent
    env:
    • name: MYSQL_ROOT_PASSWORD
      valueFrom:
      secretKeyRef:
      name: mysecret
      key: password

第二步:执行

kubectl apply -f mysql-secret.yml
pod/pod-mysql created

第三步:查看

kubectl get pod
NAME READY STATUS RESTARTS AGE
pod-mysql 1/1 Running 0 8s

kubectl exec -it pod-mysql bash
root@pod-mysql:/# env

MYSQL_ROOT_PASSWORD=1234

root@pod-mysql:/#
在这里插入图片描述

风口上的云
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kubernetes实战(十五)-敏感数据管理Secret)
专注基础架构领域
07-23 496
Secret解决了密码、token、密钥等敏感数据的配置问题,使用Secret可以避免把这些敏感数据以明文的形式暴露到镜像或者Pod Spec中。 一、Secret 分类 Secret 分为三种场景应用,本文只讲解第一种场景和第二种场景,第三种场景涉及到Kubernetes数据访问权限认证方面的内容,由于可扩展性太强,牵涉到 二进制部署、Token、SSL、ABAC、RBAC、Role、RoleBinding、ClusterRole、ClusterRoleBinding、KubeConfig等内容,后面
数据治理如何保护敏感数据
weixin_43464169的博客
02-13 387
鉴于每家公司都拥有基于其提供的私人数据的重要信息以及与他人的关系,每个企业都应该了解相关的风险,并在数据治理的旗帜下防范这些风险,避免数据泄露可能带来的成本和声誉损失,这将更加明智。缺乏坚实的数据治理基础会增加数据安全事件的风险。通过数据目录和读功能,您可以提供一个环境来保持相关数据的私密性和安全性——可用资产、它们的位置、它们之间的关系、相关系统和流程、授权用户和使用指南。如果无法掌握如何处理数据,遭受数据丢失的组织将无法从安全技术上花费的资金中获益,也无法从开发数据隐私分类的时间中获益。
Kubernetes -- secret (敏感数据管理
weixin_30535167的博客
08-30 200
https://www.kubernetes.org.cn/secret secret 主要解决密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中 Secret可以以Volume或者环境变量的方式使用(共两种方式) Secret有三种类型: Service Account:用来访问Kubernetes API,由Kubernetes自...
k8s 部署rocketmq集群
weixin_44770684的博客
10-25 8418
kubernetes k8s mq rocketmq rocketmq-dashboard 灵活调整 部署在 k8s 集群中的 rocketmq 集群副本数
k8s动态配置/etc/hosts
weixin_39250340的博客
11-17 1276
k8s动态配置/etc/hosts ###使用命令行修改hosts,完事后保存退出,立即生效 kubectl edit configmap coredns -n kube-system # Please edit the object below. Lines beginning with a '#' will be ignored, # and an empty file will abort the edit. If an error occurs while saving this file
kubernetes-server-linux-amd64.tar.gz
11-29
- **ConfigMap**与**Secret**:用于存储非敏感敏感的应用配置数据,提供安全的环境变量注入方式。 - **Ingress**:定义外部网络到服务内部的访问规则,支持负载均衡和路由。 2. **Kubernetes 1.21.0新特性**: ...
Kubernetes---Secret配置管理
Jelly
04-21 1107
一、Secret配置管理介绍 Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 ssh key。 敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。 Pod 可以用两种方式使用 secret: • 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里; • 当 kubelet 为 pod 拉取镜像时使用。 Secret的类型: • Service Account:K...
企企业运维----Docker-kubernetes-Secret配置管理
weixin_56892849的博客
07-31 290
kubernetes-Secret Secret从文件创建secret将Secret挂载到Volume中向指定路径映射密钥将Secret设置为环境变量存储docker registry的认证信息 Secret Secret 有三种类型: Service Account :用来访问 Kubernetes API,由 Kubernetes 自动创建,并且会自动挂载到 Pod 的/run/secrets/kubernetes.io/serviceaccount 目录中 Opaque :base64编码格式
Kubernetes-Secret
「 虚幻私塾」
01-25 584
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 1. 简介 Secret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 这样的信息可能会被放在 Pod 规约中或者镜像中。 使用 Secret 意味着你不需要在应用程序代码中包含机密数据。 由于创建 Secret 可以独立于使用它们的 Pod, 因此在创建、查看和编辑 P
Docker+K8S+Rancher集群搭建
最新发布
公众号Technology_stack作者,IT咨询请公众号私信
04-14 1096
【代码】Docker+K8S+Rancher集群搭建。
高级加密解密标准AES加密secret.js代码
02-13
参考技术开发文章:【前端Js】高级加密解密标准AES加密(Javascript代码实现) ,地址http://blog.csdn.net/hj7jay/article/details/55044831
k8s-通过 Service访问 Pod
weixin_44848382的博客
07-19 1357
k8s-通过 Service访问 Pod创建 Service创建 Deployment创建 serviceDNS 访问 Service外网访问 Service 创建 Service k8s 从逻辑上代表了一组 Pod,具体是哪些 Pod 则是由 label 来挑选。 Service 有自己的 IP,而且这个 IP 是不变的,客户端只需要访问 Service 的 IP, k8s 则负责建立和维护 Service 与 Pod 的映射关系,无论后端 Pod 如何变化,对客户端不会有任何影响,因为 Service
Kubernetes----kubectl常用命令总结(1.14.2)
cyfblog的博客
08-03 8555
一、kubectl简介 kubectl 是 Kubernetes 的命令行工具(CLI),是 Kubernetes 用户和管理员必备的管理工具。 kubectl 提供了大量的子命令,方便管理 Kubernetes 集群中的各种功能。这里不再罗列各种子命令的格式,而是介绍下如何查询命令的帮助 kubectl -h 查看子命令列表 kubectl options 查看全局选项 kubectl --...
网络数据安全系列-2: 浅谈敏感数据的储存
holonet的博客
12-10 1049
在数据流转的过程中,一个完整的数据生命周期通常被划分为采集、存储、处理、传输、交换和销毁六个阶段, 上一期我们针对数据采集所涉及的问题做过简单分析,这期我们对数据储存,特别是敏感数据储存做些简单分析。
Kubernetes之(十三)ConfigMap和Secret
weixin_30596023的博客
04-12 524
目录 Kubernetes之(十三)ConfigMap和Secret ConfigMap ConfigMap创建方式 存储卷方式挂载configmap: 使用nginx-www配置nginx Secret 创建 Secret ...
KubernetesSecret使用详解
热门推荐
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
10-26 1万+
Secret解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。 Secret类型 Secret有三种类型: Opaque:base64编码格式的Secret,用来存储密码、密钥等;但数据也通过base64 –decode解码得到原始数据,所有加密性很弱。 kubernetes.io/doc...
死磕k8s之calico-nodeport
shen的博客
11-11 1455
死磕k8s之calico-nodeport序言:我的环境注意开始发请求到nodeport到达work节点11.首先会到达raw的PREROUTING,包的流向如下2.然后到达mangle的PREROUTING,包的流向如下3.然后到了重要表nat的PREROUTING,在PREROUTING一般对包做DNAT操作,包的流量如下:4.然后就开始第一次的路由选择了5.由于匹配到了路由信息,所以此时会走的链是mangle的FORWARD,但是该表没有对它作任何操作6.接下来看看filter表的FORWARD7.然
Kubernetes(K8S) 之 Secret密码管理 和 ConfigmMap配置管理
li1121567428的博客
05-18 812
Secret密码管理 和 ConfigmMap配置管理 configmap 和 secret 一样,唯一的区别是secret是以加密的方式存储在etcd,而configmap是以文明方式存储。 Secret密码管理: kubectl create secret generic secret1 --from-file=/etc/hosts --from-file=/etc/passwd kubectl create secret generic secret2 --from-literal=root=root
系统管理员应该知道的9个kubectl命令
Docker的专栏
06-14 400
kubectl是Kubernetes的一个命令行管理工具,可用于Kubernetes上的应用部署和日常管理。本文列举了9个常见的kubectl命令,并对每个命令进行了简单扼要的介绍,供大...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值