企企业运维----Docker-kubernetes-Secret配置管理

最新推荐文章于 2024-04-17 12:32:53 发布
最新推荐文章于 2024-04-17 12:32:53 发布
阅读量264 收藏
点赞数
分类专栏: Docker 笔记 k8s 文章标签: 运维 docker kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_56892849/article/details/119274637
版权
本文介绍了在企业运维中如何使用Docker和Kubernetes的Secret进行敏感数据的配置管理,包括从文件创建Secret、挂载到Volume、映射密钥、设置为环境变量以及存储Docker registry认证信息的方法。
摘要由CSDN通过智能技术生成

kubernetes-Secret

Secret

Secret 有三种类型:

Service Account :用来访问 Kubernetes API,由 Kubernetes 自动创建,并且会自动挂载到 Pod 的/run/secrets/kubernetes.io/serviceaccount  目录中

Opaque :base64编码格式的Secret,用来存储密码、密钥等

kubernetes.io/dockerconfigjson :用来存储私有 docker registry 的认证信息

Secret 解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Spec 中。Secret 可以以 Volume 或者环境变量的方式使用

从文件创建secret

创建认证文本文件

[root@server2 configmap]# echo -n 'admin' > ./username.txt
[root@server2 configmap]# echo -n 'westos' > ./password.txt
[root@server2 configmap]# kubectl create secret generic db-user-pass --from-file=./username.txt --from-file=./password.txt
secret/db-user-pass created
[root@server2 configmap]# kubectl get secrets
NAME                  TYPE                                  DATA   AGE
db-user-pass          Opaque                                2      9s
default-token-pbw6h   kubernetes.io/service-account-token   3      6d19h

查看认证信息

[root@server2 configmap]# kubectl describe secrets db-user-pass
Name:         db-user-pass
Namespace:    default
Labels:       <none>
Annotations:  <none>

Type:  Opaque

Data
====
password.txt:  6 bytes
username.txt:  5 bytes
[root@server2 configmap]#

为了安全 kubectl get和kubectl describe 默认不会显示密码,可以通过以下方式查看

[root@server2 configmap]# kubectl get secrets db-user-pass -o yaml
apiVersion: v1
data:
  password.txt: d2VzdG9z
  username.txt: YWRtaW4=
kind: Secret
metadata:
  creationTimestamp: "2021-07-31T05:47:20Z"
  name: db-user-pass
  namespace: default
  resourceVersion: "631826"
  uid: f467583b-973c-4919-b799-1b9a2b27c618
type: Opaque

查看加密的明文

[root@server2 configmap]# echo d2VzdG9z | base64 -d
westos[root@server2 configmap]#

编写secret


                

                
                
        

        

    




        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  oam_chen
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
企业运维----Docker-kubernetes-ingress(实现七层负载均衡)

				
			

			

				

					weixin_56892849的博客
				

				

					07-31
					
					527
					
				

			

		

		

			
				
kubernetes-ingressingress部署ingress-nginx七层负载均衡

ingress
Ingress 公开了从集群外部到集群内服务的 HTTP 和 HTTPS 路由。 流量路由由 Ingress 资源上定义的规则控制。
可以将 Ingress 配置为服务提供外部可访问的 URL、负载均衡流量、终止 SSL/TLS,以及提供基于名称的虚拟主机等能力。 Ingress 控制器 通常负责通过负载均衡器来实现 Ingress,尽管它也可以配置边缘路由器或其他前端来帮助处理流量。
Ingre

			
		

	



                

              
                



	

		

			

				
					
Docker(二十)--Docker k8s--Kubernetes存储--Secret配置管理

				
			

			

				

					qwerty1372431588的博客
				

				

					02-25
					
					358
					
				

			

		

		

			
				
Secret配置管理1. 简介2. 配置2.1 默认secret2.2 简单操作2.3 将Secret挂载到Volume,向指定路径映射secret密钥2.4 将Secret设置为环境变量2.5 拉取未公开仓库镜像
1. 简介
- Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 ssh key。 
- 敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。	
- Pod 可以用两种方式使用 secret:
		作为 volume 中的文件被挂载到 pod

			
		

	



                


  
              

                


	

		

			

				
					
kubernetes docker Secret

				
			

			

				

					weixin_34416754的博客
				

				

					05-08
					
					197
					
				

			

		

		

			
				
# cat /root/.docker/config.json | base64保证只有一个登录的用户
vim dockerauth.yaml
apiVersion: v1
kind: Secret
metadata:
  name: authissll
  namespace: lamp
type: kubernetes.io/dockercfg
data:
  .dockerconfigjso...

			
		

	





	

		

			

				
					
08-Kubernetes中的Secret

				
			

			

				

					yuhuofei的草屋
				

				

					05-04
					
					558
					
				

			

		

		

			
				
Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 SSH 密钥。 将这些信息放在 Secret 中比放在 Pod 的定义或者容器镜像中相对更加安全和灵活。
这里假设已有一个私有的docker仓库地址,用于存放镜像的。
1. 新建密钥
(1)命令格式
kubectl create secret docker-registry \
  --docker-server=<你的镜像仓库服务器> \
  --docker-username=<你的用户名> \
  --doc

			
		

	



		

			
		



	

		

			

				
					
kubernetes的Service Account和secret

					
热门推荐

				
			

			

				

					柳清风的专栏
				

				

					06-04
					
					2万+
					
				

			

		

		

			
				
Service AccountService Account概念的引入是基于这样的使用场景:运行在pod里的进程需要调用Kubernetes API以及非Kubernetes API的其它服务。Service Account它并不是给kubernetes集群的用户使用的,而是给pod里面的进程使用的,它为pod提供必要的身份认证。kubectl get sa --all-namespacesNAME

			
		

	





	

		

			

				
					
Kubernetes集成docker的部署-

				
			

			

				

					zlhblogs的博客
				

				

					04-20
					
					334
					
				

			

		

		

			
				
etcd:存储Kubernetes信息、存储各种业务容器信息等,存储flannel网络配置信息,供各节点协调。1.在Kubernetes master中定义一个yaml文件,使用kubectl命令根据定义创建pods。2.配置用于flannel服务的etcd服务器。3.配置Kubernetes接口服务,/etc/kubernetes/apiserver。3.在/etc/kubernetes/config中配置Kubernetes的主服务接口。4.配置/etc/kubernetes/kubelet。

			
		

	





	

		

			

				
					
企业运维----Docker-kubernetes-访问控制

				
			

			

				

					weixin_56892849的博客
				

				

					08-05
					
					251
					
				

			

		

		

			
				
kubernetes-API 访问控制访问控制认证

访问控制
[root@server2 statefulset]# kubectl get pod -n kube-system 
NAME                              READY   STATUS    RESTARTS   AGE
coredns-7777df944c-4ls4d          1/1     Running   3          9d
coredns-7777df944c-gwxzq       

			
		

	





	

		

			

				
					
aws-workshop-for-kubernetes:适用于Kubernetes的AWS Workshop

				
			

			

				

					02-01
				

			

		

		

			
				
通过Kubernetes,开发人员和运维人员可以更轻松地在云或本地环境中部署和管理微服务架构。  AWS是全球领先的云服务提供商,提供了丰富的服务,如EC2(Elastic Compute Cloud)用于计算、EBS(Elastic Block Store)...

			
		

	





	

		

			

				
					
linux企业运维----->kubernetes(3)pod资源清单

				
			

			

				

					WHDCCDJA的博客
				

				

					10-21
					
					369
					
				

			

		

		

			
				
目录一、什么是资源清单二、资源清单的格式三、资源清单四、资源清单的编写
一、什么是资源清单
在k8s中,一般使用yaml格式的文件来创建符合我们预期期望的pod,这样的yaml文件我们一般称为资源清单
二、资源清单的格式

apiVersion: group/version    #指明api资源属于哪个群组和版本,同一组群可以有多个版本
$ kubectl api-versions   #查询命令
kind:    #标记创建的资源类型,k8s主要支持以下资源类别
Pod,ReplicaSet,Deplo

			
		

	





	

		

			

				
					
kubernetes查看用户token

				
			

			

				

					拒绝熬夜啊的博客
				

				

					02-28
					
					6576
					
				

			

		

		

			
				
kubernetes查看用户token

			
		

	





	

		

			

				
					
k8s-StoargClass的使用-基于nfs

				
			

			

				

					crontab_e的博客
				

				

					10-31
					
					304
					
				

			

		

		

			
				
要已经创建好nfs-server,这里使用的是192.168.75.11。这里的image是我的私人镜像仓库的容器,可以更换成。并且在需要挂载的机器上安装nfs-util工具.创建目录并且.给指定的目录进行授权读写权限。重启nfs-servert。

			
		

	





	

		

			

				
					
Kubernetes之Pod镜像拉取策略配置

				
			

			

				

					花&败
				

				

					04-15
					
					4179
					
				

			

		

		

			
				
一、默认的镜像拉取策略

1.1 当镜像指定的标签是latest时,默认策略是每次都下载更新

编辑pod-imagepullpolicy.yaml文件,内容如下:


apiVersion: v1
kind: Namespace
metadata:
  name: dev

---

apiVersion: v1
kind: Pod
metadata:
  name: pod-image-pull-policy
  namespace: dev
  labels:
    user: redrose21.

			
		

	





	

		

			

				
					
Pod使用进阶

				
			

			

				

					weixin_39246554的博客
				

				

					12-12
					
					1612
					
				

			

		

		

			
				
pod

			
		

	





	

		

			

				
					
k8s学习 — (实践)第四章 资源调度,Golang高级工程师必看系列

					
最新发布

				
			

			

				

					
				

				

					04-17
					
					1056
					
				

			

		

		

			
				
比如下面的例子代表调度包含标签 wolfcode.cn/framework-name 并且值为 spring 或 springboot 的 Node 上,并且优选还带有标签 another-node-label-key=another-node-label-value 的Node。StatefulSet 也可以采用滚动更新策略,同样是修改 template 属性后会触发更新,但是由于 pod 是有序的,在 StatefulSet 中更新时是基于 pod 的顺序,倒序更新的。

			
		

	





	

		

			

				
					
KubernetesSecret使用详解

				
			

			

				

					全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
				

				

					10-26
					
					1万+
					
				

			

		

		

			
				
Secret解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。
Secret类型
Secret有三种类型:
Opaque:base64编码格式的Secret,用来存储密码、密钥等;但数据也通过base64 –decode解码得到原始数据,所有加密性很弱。
kubernetes.io/doc...

			
		

	





	

		

			

				
					
使用K8S部署zookeeper集群

				
			

			

				

					潮听哥的博客
				

				

					04-13
					
					7961
					
				

			

		

		

			
				
1、目的:

本次的目的是通过使用k8s搭建一个三节点的zookeeper集群,因为zookeeper集群需要用到存储,所以我们需要准备三个持久卷(Persistent Volume) 简称就是PV。

2、创建pv:

分别对应三节点zk集群中的三个pod的持久化目录,创建好目录之后编写yaml创建zk-pv.yaml


apiVersion: v1
kind: PersistentVolume
metadata:
  name: k8s-pv-zk01
  namespace: tools
  lab

			
		

	





	

		

			

				
					
Kubernetes创建docker-registy secret

				
			

			

				

					engchina的专栏
				

				

					07-23
					
					1010
					
				

			

		

		

			
				
Kubernetes创建docker-registy secret。


kubectl create secret docker-registry <SECRET_NAME> \
  -n <NAME_SPACE> \
  --docker-server='<DOCKER_SERVER>' \
  --docker-username='<DOCKER_U...

			
		

	





	

		

			

				
					
kubernetes配置仓库的secret

				
			

			

				

					爷来辣的博客
				

				

					07-11
					
					1703
					
				

			

		

		

			
				
kubectl create secret docker-registry aliyun-ns-test --namespace=test --docker-server=registry.cn-shanghai.aliyuncs.com --docker-username=${USERNAME} --docker-password=${PASSWORD}

官方demo
kubectl create secret docker-registry regcred --docker-server=<yo

			
		

	





	

		

			

				
					
K8s集群部署Docker-Harbor镜像:Node认证详解

				
			

			

				

					
				

			

		

		

			
				
Kubernetes中,`imagePullSecrets` 是用来存储Docker注册表(如Harbor)凭证的Secret对象,这里需要在创建Deployment之前创建。你可以使用`kubectl create secret docker-registry`命令创建一个Secret,然后将`$...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值