Secret概述与操作

最新推荐文章于 2024-05-31 15:55:22 发布
最新推荐文章于 2024-05-31 15:55:22 发布
阅读量1.2k 收藏 4
点赞数 1
文章标签: kubernetes docker 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49888547/article/details/125147478
版权

Secret概述与操作

1. Secret是什么

Configmap 一般是用来存放明文数据的,如配置文件,对于一些敏感

数据,如密码、私钥等数据时,要用 secret 类型。

Secret 解决了密码、token、秘钥等敏感数据的配置问题,而不需要把这些敏感数据

暴露到镜像或者 Pod Spec 中。Secret 可以以 Volume 或者环境变量的方式使用。

要使用 secret,pod 需要引用 secret。Pod 可以用两种方式使用 secret:作为

volume 中的文件被挂载到 pod 中的一个或者多个容器里,或者当 kubelet 为 pod 拉取

镜像时使用。

secret 可选参数有三种:

generic: 通用类型,通常用于存储密码数据。

tls:此类型仅用于存储私钥和证书。

docker-registry: 若要保存 docker 仓库的认证信息的话,就必须使用此种类型来创

建。

Secret 类型:

Service Account:用于被 serviceaccount 引用。serviceaccout 创建时

Kubernetes 会默认创建对应的 secret。Pod 如果使用了 serviceaccount,对应的

secret 会自动挂载到 Pod 的 /run/secrets/kubernetes.io/serviceaccount 目录

中。

Opaque:base64 编码格式的 Secret,用来存储密码、秘钥等。可以通过 base64 –

decode 解码获得原始数据,因此安全性弱

kubernetes.io/dockerconfigjson:用来存储私有 docker registry 的认证信息。

2. Secret操作

2.1 通过环境变量引入 Secret

#把 mysql 的 root 用户的 password 创建成 secret

[root@master1 ~]# kubectl create secret generic mysql-password --from-literal=password=mack
secret/mysql-password created
You have new mail in /var/spool/mail/root
[root@master1 ~]# kubectl get secret
NAME                          TYPE                                  DATA   AGE
default-token-vqst8           kubernetes.io/service-account-token   3      10d
mysql-password                Opaque                                1      9s
nfs-provisioner-token-j24f6   kubernetes.io/service-account-token   3      5d
[root@master1 ~]# kubectl describe secret mysql-password
Name:         mysql-password
Namespace:    default
Labels:       <none>
Annotations:  <none>

Type:  Opaque

Data
====
password:  4 bytes
[root@master1 ~]# 

#password 的值是加密的, #但 secret 的加密是一种伪加密,它仅仅是将数据做了 base64 的编码.

#创建 pod,引用 secret

cat > /root/pod-secret.yaml <<END
apiVersion: v1
kind: Pod
metadata:
  name: pod-secret
  labels:
    app: myapp
spec:
  containers:
  - name: myapp
    image: ikubernetes/myapp:v1
    ports:
    - name: http
      containerPort: 80
    env:
    - name: MYSQL_ROOT_PASSWORD   #它是pod启动成功后,pod中容器的环境变量名
      valueFrom:
        secretKeyRef:
          name: mysql-password   #这是secret的对象名
          key: password          #它是secret中的key名
END

kubectl apply -f /root/pod-secret.yaml
[root@master1 ~]# kubectl get pods
NAME                               READY   STATUS    RESTARTS   AGE
client-7d8bfb6fcf-txwxf            1/1     Running   9          3d22h
mysql-pod                          1/1     Running   19         19h
mysql-pod-envfrom                  1/1     Running   18         18h
mysql-pod-volume                   1/1     Running   18         18h
nfs-provisioner-65475d58bc-nn67v   1/1     Running   0          3d22h
pod-secret                         1/1     Running   0          7s
test-hostpath                      2/2     Running   0          5d22h
test-nfs-volume                    1/1     Running   0          5d21h
web-0                              0/1     Pending   0          3d21h


[root@master1 ~]# kubectl exec -it pod-secret -- /bin/sh
/ # printenv
MY_NGINX_SERVICE_PORT=80
MY_NGINX_PORT=tcp://10.108.124.96:80
MYAPP_SVC_PORT_80_TCP_ADDR=10.98.57.156
KUBERNETES_SERVICE_PORT=443
KUBERNETES_PORT=tcp://10.96.0.1:443
MYAPP_SVC_PORT_80_TCP_PORT=80
HOSTNAME=pod-secret
SHLVL=1
MYAPP_SVC_PORT_80_TCP_PROTO=tcp
MY_NGINX_NODEPORT_SERVICE_SERVICE_HOST=10.104.102.223
HOME=/root
MY_NGINX_PORT_80_TCP_ADDR=10.108.124.96
MY_NGINX_PORT_80_TCP_PORT=80
MY_NGINX_PORT_80_TCP_PROTO=tcp
MYSQL_ROOT_PASSWORD=mack                                #密码已经传入pod的容器中
MY_NGINX_NODEPORT_SERVICE_SERVICE_PORT=80
MY_NGINX_NODEPORT_SERVICE_PORT=tcp://10.104.102.223:80
MYAPP_SVC_PORT_80_TCP=tcp://10.98.57.156:80
MY_NGINX_PORT_80_TCP=tcp://10.108.124.96:80
MY_NGINX_NODEPORT_SERVICE_PORT_80_TCP_ADDR=10.104.102.223
TERM=xterm
NGINX_VERSION=1.12.2
MYSQL_PORT_3306_TCP_ADDR=10.102.58.92
KUBERNETES_PORT_443_TCP_ADDR=10.96.0.1
MY_NGINX_NODEPORT_SERVICE_PORT_80_TCP_PORT=80
PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
MY_NGINX_NODEPORT_SERVICE_PORT_80_TCP_PROTO=tcp
KUBERNETES_PORT_443_TCP_PORT=443
MYSQL_PORT_3306_TCP_PORT=3306
MYSQL_SERVICE_HOST=10.102.58.92
MYSQL_PORT_3306_TCP_PROTO=tcp
KUBERNETES_PORT_443_TCP_PROTO=tcp
MYAPP_SVC_SERVICE_HOST=10.98.57.156
MY_NGINX_NODEPORT_SERVICE_PORT_80_TCP=tcp://10.104.102.223:80
MYSQL_PORT=tcp://10.102.58.92:3306
MYSQL_SERVICE_PORT=3306
KUBERNETES_PORT_443_TCP=tcp://10.96.0.1:443
KUBERNETES_SERVICE_PORT_HTTPS=443
MYSQL_PORT_3306_TCP=tcp://10.102.58.92:3306
MY_NGINX_SERVICE_HOST=10.108.124.96
PWD=/
KUBERNETES_SERVICE_HOST=10.96.0.1
MYAPP_SVC_SERVICE_PORT=80
MYAPP_SVC_PORT=tcp://10.98.57.156:80
/ #
2.2 通过 volume 挂载 Secret

1 创建 Secret

手动加密,基于 base64 加密

[root@master1 ~]# echo -n 'mack' | base64          #用户名
bWFjaw==
[root@master1 ~]# echo -n 'mack123456' | base64    #密码
bWFjazEyMzQ1Ng==

解码

[root@master1 ~]# echo bWFjaw== | base64 -d
mack

2 创建 yaml 文件

cat > /root/secret.yaml <<END
apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  username: bWFjaw==
  password: bWFjazEyMzQ1Ng==
END

kubectl apply -f /root/secret.yaml
[root@master1 ~]# kubectl get secret
NAME                          TYPE                                  DATA   AGE
default-token-vqst8           kubernetes.io/service-account-token   3      10d
mysecret                      Opaque                                2      10s
mysql-password                Opaque                                1      35m
nfs-provisioner-token-j24f6   kubernetes.io/service-account-token   3      5d

[root@master1 ~]# kubectl describe secret mysecret
Name:         mysecret
Namespace:    default
Labels:       <none>
Annotations:  <none>

Type:  Opaque

Data
====
password:  10 bytes
username:  4 bytes
[root@master1 ~]#

3 将 Secret 挂载到 Volume 中

cat > /root/pod_secret_volume.yaml <<END
apiVersion: v1
kind: Pod
metadata:
  name: pod-secret-volume
spec:
  containers:
  - name: myqpp
    image: janakiramm/myapp:v1
    volumeMounts:
    - name: secret-volume
      mountPath: /etc/secret
      readOnly: true
  volumes:
  - name: secret-volume
    secret:
      secretName: mysecret     #在pod所在的命名空间内所使用的secret的名字
      
END
kubectl apply -f /root/pod_secret_volume.yaml
kubectl get pods
NAME                               READY   STATUS    RESTARTS   AGE
client-7d8bfb6fcf-txwxf            1/1     Running   9          3d22h
mysql-pod                          1/1     Running   19         19h
mysql-pod-envfrom                  1/1     Running   19         19h
mysql-pod-volume                   1/1     Running   19         19h
nfs-provisioner-65475d58bc-nn67v   1/1     Running   0          3d23h
pod-secret                         1/1     Running   0          35m
pod-secret-volume                  1/1     Running   0          3s
test-hostpath                      2/2     Running   0          5d22h
test-nfs-volume                    1/1     Running   0          5d22h
web-0                              0/1     Pending   0          3d22h

[root@node1 ~]# kubectl exec -it pod-secret-volume -- /bin/sh
# cd /etc/secret
# ls
password  username
# cat password     
mack123456# cat username
mack# ls -l   
total 0
lrwxrwxrwx. 1 root root 15 Jun  6 07:13 password -> ..data/password
lrwxrwxrwx. 1 root root 15 Jun  6 07:13 username -> ..data/username
#
mackzhaohan
关注
【云原生】kubernetessecret原理详解与应用实战
景天科技苑
06-04 2万+
对于一些敏感数据,如密码、私钥等数据时,要用secret类型。 Secret解决了密码、token、秘钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。 Secret可以以Volume或者环境变量的方式使用。 要使用 secret,pod 需要引用 secret。Pod 可以用两种方式使用 secret: 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里, 或者当 kubelet 为 pod 拉取镜像时使用。
Java 反射机制 -- Java 语言反射的概述、核心类与高级应用
最新发布
栗筝i的博客
06-13 4828
Reflection(反射)是被视为动态语言的关键,反射机制允许程序在执行期借助于 ReflectionAPI 取得任何类的内部信息,并能直接操作任意对象的内 部属性及方法。
Kubernetes 012】Secret原理和实际操作详解
T型人小付的博客
05-10 1108
上一节我们学习了ConfigMap,k8s集群的配置中心。但是因为采用明文存储,ConfigMap并不适合用来存储私密信息,例如密钥等。这一节我们来学习k8s中专门存储私密信息的组件:Secret。 我是T型人小付,一位坚持终身学习的互联网从业者。喜欢我的博客欢迎在csdn上关注我,如果有问题欢迎在底下的评论区交流,谢谢。 文章目录Secret创建Secret文件或文件夹创建Secretyaml文件或者命令行创建Secret容器中使用secret环境变量使用secretvolume使用secret访问私
【网址收藏】k8s Secret详解
学亮编程手记
03-01 241
https://zhuanlan.zhihu.com/p/115227381
备战CKA每日一题——第9天 | secret类型、创建、Pod使用以及ServiceAccount关联Secret,网络隔离考题引出
技术宅,专注云原生、Go、Linux、Java等技术分享,原创文章、效率工具、实战解决方案!关注我,了解互联网动态,学 IT 不迷路
11-28 887
secret类型、创建、Pod使用以及ServiceAccount关联Secret,网络隔离考题引出
secret的知识
weixin_46837396的博客
03-26 1157
Secret 我们说ConfigMap这个资源对象是Kubernetes当中非常重要的一个对象,一般情况下ConfigMap是用来存储一些非安全的配置信息,如果涉及到一些安全相关的数据的话用ConfigMap就非常不妥了,因为ConfigMap是名为存储的,我们说这个时候我们就需要用到另外一个资源对象了:Secret,Secret用来保存敏感信息,例如密码、OAuth 令牌和 ssh key等等,将这些信息放在Secret中比放在Pod的定义中或者docker镜像中来说更加安全和灵活。 Secret有三种类
私密凭据:Secret
皮皮的博客
03-06 567
SecretSecretSecret的创建应用于docker私有仓库的secret Secret Secret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 这样的信息可能会被放在 Pod 规约中或者镜像中。 使用 Secret 意味着你不需要在应用程序代码中包含机密数据。(这段话来自官网) 使用过程与ConfigMap类似 与ConfigMap不同的是: ConfigMap用于明文,Secret用于加密文件,如:密码 ConfigMap是没有类型的,但是Secret有类型(type) 常用的Se
secret的认识
weixin_46837396的博客
03-14 2759
文章目录一、secret的认识1、serviceaccount2.Opaque Secret1)创建secret2)将secret挂载到volume中3)将secret挂载到环境变量中4)Secre存储私有docker registry的认证使用kubectl创建docker regiestry认证的secret4、kubernetes.io/dockerconfigjson5、kubernetes.io/service-account-token6、kubernetes.io/service-accoun
专业预算软件广联达gbq详细使用操作教程secret.doc
03-15
一、工程预算软件概述 工程预算软件分为几大类,包括清单算量软件、钢筋抽样软件、清单计价软件和标书软件。清单算量软件用于计算除钢筋外的工程量,实现清单工程量和定额工程量的计算;钢筋抽样软件专门处理预算...
The Secret
03-21
书中内容概述了几个主要章节,包括: - 前言:书的序言部分,介绍书的背景和目的。 - 致谢:对为这本书做出贡献的人表示感谢。 - 揭示秘密:揭秘秘密本质的章节。 - 简化秘密:如何简便地使用秘密。 - 如何使用秘密...
Kubernetes K8S之存储Secret详解
踏歌行的专栏
09-28 7490
K8S之存储Secret概述与类型说明,并详解常用Secret示例
Secret加密数据 挂载到其他pod
男儿当自强
06-01 586
通过secret可以将加密数据保存到etcd中,其他pod通过变量或者容器数据卷的方式将加密数据挂载到该pod容器中。 创建secret pod,把加密数据保存到etcd
python环境配置及参数_python项目中通过环境变量的方式使用secret密钥参数
weixin_39737951的博客
12-22 437
转载请注明出处:python项目中通过环境变量的方式使用secret密钥参数secret是k8s的一个密钥管理工具更多参考secret详情可参考Kubernetessecret的简介和使用创建私密参数secret方式一 直接设置密钥参数kubectl create secret generic my-secret --from-literal=mongohost=192.168.30.11 --...
Kubernetes学习笔记七:ConfigMap和Secret
liuffei的专栏
02-20 722
ConfigMap和Secret实战
KubernetesSecret使用详解
热门推荐
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
10-26 1万+
Secret解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。 Secret类型 Secret有三种类型: Opaque:base64编码格式的Secret,用来存储密码、密钥等;但数据也通过base64 –decode解码得到原始数据,所有加密性很弱。 kubernetes.io/doc...
k8s学习(十五)Secret的使用
码易的博客
12-29 2007
目录前言一、创建Secret二、使用Secret 前言 。 一、创建Secret 1、base64加密 [root@k8s-master k8s]# echo -n "root" | base64 cm9vdA== [root@k8s-master k8s]# echo -n "root123" | base64 cm9vdDEyMw== 2、secret.yaml [root@k8s-master k8s]# cat secret.yaml apiVersion: v1 kind: Secr..
k8s 配置 Secret 集成Harbor
qq_34285557的博客
04-28 1785
本篇主要 记录一下 在 k8s 中如果想要 从 harbor拉取镜像 该怎么操作,以及介绍了一下 k8s 中 Secret 是什么 1.Secret 是什么 1.1 Secret 概述 Secret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 这样的信息可能会被放在 Pod 规约中或者镜像中。 使用 Secret 意味着你不需要在应用程序代码中包含机密数据。 由于创建 Secret 可以独立于使用它们的 Pod, 因此在创建、查看和编辑 Pod 的工作流程中暴露 Secret(及其数据...
K8s 安全抽象:Secret
梦想起飞的地方.........
05-19 733
​​​​​​ Secret 是对敏感信息的抽象,例如:密码、token、SSH key,其他对象可引用Secret。 Pod 使用 Secret 有两种场景: 作为 volume 中的文件被挂载到 Pod 中一个或多个容器中 拉取镜像时需要使用 secret 作为安全凭证 Secret 分类 Secret 可分为三类: docker-registry: 创建一个给 Docker Registry 使用的 secret,实际是保存了账户密码。 generic:从本地 file, direct
k8s学习--Secret详细解释与应用
lwxvgdv的博客
05-31 1150
类似与ConfigMap 区别在于ConfigMap存储明文Secret存储密文ConfigMap可以用作配置文件管理,Secret用于密码、密钥、token等敏感数据配置管理##Secret特性1非敏感数据:专门用于存储非敏感的配置信息。2.多种数据源:数据可以从命令行、文件、目录等多种来源创建。3.动态更新:更新 ConfigMap 后,Pod 可以动态加载新的配置信息(需要应用支持热加载)
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值