kubernetes存储-secrets

已于 2023-11-02 21:01:48 修改
阅读量413 收藏
点赞数
分类专栏: kubernetes 文章标签: kubernetes 容器 云原生
于 2023-11-01 23:08:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_56744753/article/details/134172210
版权

目录

一、从文件创建

二、编写yaml文件

三、将Secret挂载到Volume中

四、向指定路径映射 secret 密钥

五、将Secret设置为环境变量

六、存储docker registry的认证信息

       Kubernetes中的Secrets是用于存储敏感信息的一种对象类型,例如密码、令牌、证书等。Secrets可以以编码、加密或未加密的形式存储。使用Secrets可以保护敏感信息不被直接暴露在Pod定义中,从而增加了应用程序的安全性。

一、从文件创建

echo -n 'admin' > ./username.txt
echo -n '123456' > ./password.txt
kubectl create secret generic db-user-pass --from-file=./username.txt --from-file=./password.txt
kubectl get secrets db-user-pass -o yaml
echo MTIzNDU2 | base64 -d

二、编写yaml文件

echo -n 'admin' | base64
echo -n '123456' | base64
vim mysecret.yaml

apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  username: YWRtaW4=                    #必须编码后的值
  password: MTIzNDU2

kubectl apply -f mysecret.yaml
kubectl get secrets mysecret -o yaml

 

三、将Secret挂载到Volume中

vim pod1.yaml

apiVersion: v1
kind: Pod
metadata:
  name: mysecret
spec:
  containers:
  - name: nginx
    image: nginx
    volumeMounts:
    - name: secrets
      mountPath: "/secret"
      readOnly: true
  volumes:
  - name: secrets
    secret:
      secretName: mysecret

kubectl apply  -f pod1.yaml
kubectl get pod
kubectl exec  mysecret -- ls /secret
kubectl delete  -f pod1.yaml

 

四、向指定路径映射 secret 密钥

vim pod2.yaml

apiVersion: v1
kind: Pod
metadata:
  name: mysecret
spec:
  containers:
  - name: nginx
    image: nginx
    volumeMounts:
    - name: secrets
      mountPath: "/secret"
      readOnly: true
  volumes:
  - name: secrets
    secret:
      secretName: mysecret
      items:
      - key: username
        path: my-group/my-username

kubectl apply -f pod2.yaml
kubectl exec  mysecret -- cat /secret/my-group/my-username
kubectl delete  -f pod2.yaml

 

五、将Secret设置为环境变量

vim pod3.yaml

apiVersion: v1
kind: Pod
metadata:
  name: secret-env
spec:
  containers:
  - name: pod3
    image: busybox
    command: ["/bin/sh", "-c", "env"]
    env:
      - name: SECRET_USERNAME
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: username
      - name: SECRET_PASSWORD
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: password
  restartPolicy: Never

kubectl apply -f pod3.yaml
kubectl logs secret-env

六、存储docker registry的认证信息

新建私有仓库

 

kubectl create secret docker-registry myregistrykey --docker-server=reg.westos.org --docker-username=admin --docker-password=123456 --docker-email=yyl@westos.org
vim pod4.yaml

apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
    - name: game2048
      image: reg.westos.org/westos/game2048
  imagePullSecrets:
    - name: myregistrykey

kubectl apply -f pod4.yaml
kubectl get pod

推荐把registrykey绑定到sa,这样yaml文件中就可以不用指定,更加安全。

kubectl patch serviceaccount default -p '{"imagePullSecrets": [{"name": "myregistrykey"}]}'
kubectl describe sa default

Mlul392
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kubernetes存储-Secret
weixin_43273856的博客
03-10 749
kubernetes存储-Secret
【中危】Kubernetes secrets-store-csi-driver 信息泄露漏洞
murphysec的博客
06-19 1448
Kubernetes secrets-store-csi-driver 是一个用于 Kubernetes 的 CSI 驱动程序,它提供了一种将外部密钥存储系统中的凭据注入到 Kubernetes Pod 的机制。在 secrets-store-csi-driver 受影响版本中,当在 CSIDriver 对象中配置了 TokenRequests 并且将驱动程序日志设置为级别 2 或更高的级别时,会将服务账号令牌记录到日志中。攻击者访问日志时可以获取到这些敏感信息。
Kubernetes---Secret配置管理
Jelly
04-21 1027
一、Secret配置管理介绍 Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 ssh key。 敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。 Pod 可以用两种方式使用 secret: • 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里; • 当 kubelet 为 pod 拉取镜像时使用。 Secret的类型: • Service Account:K...
浅析kubernetes client-go structure
期待幸福
05-22 821
Prepare Introduction 从2016年8月起,Kubernetes官方提取了与Kubernetes相关的核心源代码,形成了一个独立的项目,即client-go,作为官方提供的go客户端。Kubernetes的部分代码也是基于这个项目的。 client-go 是kubernetes中广义的客户端基础库,在Kubernetes各个组件中或多或少都有使用其功能。。也就是说,client-go可以在kubernetes集群中添加、删除和查询资源对象(包括deployment、service、pod、
Docker(二十六)--Docker k8s--Kubernetes存储--kubernetes监控--kubernetes资源监控
weixin_62615875的博客
01-24 1088
目录 1. Metrics-Server 1.0 前期准备 1.1 Metrics-Server部署 1.2. 部署后还有不少坑需要填 2. Dashboard部署(可视化) 2.1 拉取镜像 2.2 配置 2.3. 测试:登陆火狐浏览器输入https://172.25.13.101,访问成功,但是需要token,授权 2.4 授权 2.5 默认dashboard对集群没有操作权限,需要授权 2.6 通过web操作集群 2.7 补充 1. Metrics-Server 1.0
Docker(二十一)--Docker k8s--Kubernetes存储--kubernetes监控--kubernetes资源监控
qwerty1372431588的博客
03-03 573
资源监控1. Metrics-Server1.0 前期准备1.1 Metrics-Server部署1.2. 部署后还有不少坑需要填2. Dashboard部署(可视化)2.1 拉取镜像2.2 配置2.3. 测试:登陆火狐浏览器输入https://172.25.13.101,访问成功,但是需要token,授权2.4 授权2.5 默认dashboard对集群没有操作权限,需要授权2.6 通过web操作集群2.7 补充 1. Metrics-Server 1.0 前期准备 k8s中文官网 gitee官网
k8s--Kubernetes存储--Secret配置管理
Gong_yz的博客
03-13 876
- Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 ssh key。 - 敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。 - Pod 可以用两种方式使用 secret: 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里。 当 kubelet 为 pod 拉取镜像时使用。
kubernetes--kubernetes审计日志(api访问日志)
m0_57911290的博客
03-25 1987
Kubernetes集群中,API Server的审计日志记录了哪些用户、哪些服务请求操作集群资源,并且可以编写不通规则,控制忽略、存储的操作日志。审计日志采用JSON输出,每条日志报包含丰富的元数据,例如请求的URL、HTTP的方法、客户端来源登,你可以使用监控服务来分析API流量,以检测趋势或可能存在的安全隐患。管理节点(controller-manager scheduler)工作节点(kubelt、kube-proxy)集群服务(CoreDNS、Calico、HPA等)
kubernetes-external-secrets:将外部秘密管理系统与Kubernetes集成
01-30
这个怎么运作该项目通过使用添加一个ExternalSecrets对象和一个控制器来实现对象本身的行为,从而扩展了Kubernetes API。 当控制器将所有ExternalSecrets转换为Secrets ,一个ExternalSecret声明如何获取秘密数据。 ...
external-secrets:External Secrets Kubernetes操作员从第三方服务(如AWS Secrets Manager)读取信息,并自动将值作为Kubernetes Secrets注入
04-04
外部机密 External Secrets Kubernetes操作员从第三方服务(如读取信息,并自动将值作为注入。 多个人和组织正在共同努力,以基于现有项目创建单个“外部秘密”解决方案。 如果您对这个项目的起源感到好奇,请查看此...
aws-eks-kubernetes-masterclass:AWS EKS Kubernetes-大师班| DevOps,微服务
03-19
4,带有AWS EBS CSI驱动程序的EKS存储5, Kubernetes应用程序部署的重要概念5.1 Kubernetes-秘密5.2 Kubernetes-初始化容器5.3 Kubernetes-活力与就绪性探针5.4 Kubernetes-请求和限制5.5 Kubernetes-命名空间,限制...
secrets-store-csi-driver:用于Kubernetes密钥的Secrets Store CSI驱动程序-通过CSI卷将密钥存储Kubernetes集成。
02-03
Secrets Store CSI驱动程序secrets-store.csi.k8s.io允许Kubernetes存储在企业级外部秘密存储中的多个秘密,密钥和证书作为卷装载到其pod中。 一旦附加了卷,其中的数据就会装入容器的文件系统中。 想帮忙? ...
kube-secrets:Kubernetes机密的命令行编辑器
04-28
注意:这是非常早期的应用程序,请谨慎使用例子通过密钥创建或更新Kubernetes机密kube-secrets update test_data/sample.yml MYSQL_ROOT_PASSWORD创建新的Kubernetes机密文件kube-secrets create mysql-secret.yml ...
k8s相关常用语句
QQ563627436的博客
05-11 664
查连的是哪个数据库:kubectl logs -f --tail=500000 phoenix-trade-a1e3d-9c4f897c7-xb26g -n sit-jd20230721zh | grep dbId=看实时日志: kubectl logs -f --tail=500000 ${pod的名称} -n ${命名空间}(pod的名称就像这样的:cif-sit-gp20230519go-6bf7bd4c99-948pc)
Kubernetes 之 Pod 标签、节点选择器和节点亲和性
千度阿三的博客
05-18 329
我们在创建 Pod 资源的时候,Pod 会根据 Scheduler 进行调度,默认会调度到随机的一个工作节点。如果我们想要将 Pod 调度到指定节点或者调度到一些具有相同特点的 Node 节点,可以使用 Pod 中的nodeName或者字段来指定要调度到的 Node 节点。节点亲和性是 Pod 在调度过程中一系列调度约束规则,主要针对节点选择器的匹配,匹配度越高,则该节点执行该 Pod 的概率就越高。节点亲和性分为硬亲和性和软亲和性,硬亲和性代表必须满足,软亲和性在不满足约束规则的条件上,仍可以随机启动。
k8s笔记 | 高度调度
最新发布
weixin_41104307的博客
05-19 309
简介:在k8s中周期性运行计划任务,与linux中的crontab相同;注意点 CornJob执行的时间是controller-manager的时间,所以一定要确保controller-manager的时间是准确的,另外cornjob。
k8s1.24+ dashboard不能自动生成token的问题
梦想成为一名优秀的测开人员
05-17 251
根据yaml文件配置内容创建更新资源对象,可以看到没有生成admin-token类似字眼。较早版本会自动生成secret,v1.28.2版本需要手动生成,执行命令即可。创建k8s-admin.yaml文件。
kubectl 获取secrets
05-23
要获取 Kubernetes 中的 Secrets,您可以使用以下命令: ``` kubectl get secret <secret-name> ``` 其中 `<secret-name>` 是您要获取的 Secret 的名称。如果您不知道要获取的 Secret 的名称,可以使用以下命令来...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值