k8s--Secret

最新推荐文章于 2022-08-20 16:44:56 发布
最新推荐文章于 2022-08-20 16:44:56 发布
阅读量283 收藏
点赞数
分类专栏: docker+k8s
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wyl9527/article/details/103806353
版权

Secret 存在意义

Secret 解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Spec中。Secret 可以以 Volume或者环境变量的方式使用

2 Secret 有三种类型

  • Service Account:用来访问 Kubernetes API,由 Kubernetes 自动创建,并且会自动挂载到 Pod的/run/secrets/kubernetes.io/serviceaccount目录中
  • Opaque:base64编码格式的Secret,用来存储密码、密钥等
  • kubernetes.io/dockerconfigjson:用来存储私有 docker registry 的认证信息

Service Account

Service Account 用来访问 Kubernetes API,由 Kubernetes 自动创建,并且会自动挂载到 Pod的/run/secrets/kubernetes.io/serviceaccount目录中

 

4、Opaque Secret

Opaque 类型的数据是一个 map 类型,要求 value 是 base64 编码格式:

[root@wyl01 secrets]# echo -n"admin" | base64
YWRtaW4=
[root@wyl01 secrets]# echo -n"123456" | base64
MTIzNDU2
[root@wyl01 secrets]# cat mysecrets.yaml
apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
 password: MTIzNDU2
 username: YWRtaW4=

[root@wyl01 secrets]# kubectl describe secrets mysecret 
Name:         mysecret
Namespace:    default
Labels:       <none>
Annotations:  
Type:         Opaque

Data
====
password:  6 bytes
username:  5 bytes

将 Secret 挂载到 Volume 中

[root@wyl01 secrets]# cat test1-secrets-pod.yaml 
apiVersion: v1
kind: Pod
metadata:
  name: test1-secret-pod
  labels:
    name: secret-test
spec:
  volumes:
    - name: secrets
      secret:
        secretName: mysecret
  containers:
    - image: ikubernetes/myapp:v1
      name: db
      volumeMounts:
        - name: secrets
          mountPath: "/etc/secrets"
          readOnly: true

[root@wyl01 ~]# kubectl get pod -owide --show-labels |grep test1
test1-secret-pod             1/1     Running     0          28s     10.244.2.24   wyl01-hf-aiui   <none>           <none>            name=secret-test

将 Secret 导出到环境变量中

[root@wyl01 secrets]# cat test2-secrets-deployment.yaml 
apiVersion: apps/v1
kind: Deployment
metadata:
  name: pod-deployment
spec:
  replicas: 2
  selector:
    matchLabels:
      app: pod-deployment
  template:
    metadata:
      labels:
        app: pod-deployment
    spec:
      containers:
      - name: pod-1
        image: ikubernetes/myapp:v1
        ports:
        - containerPort: 80
        env:
        - name: TEST_USER
          valueFrom:
            secretKeyRef:
              name: mysecret
              key: username
        - name: TEST_PASSWORD
          valueFrom:
            secretKeyRef:
              name: mysecret
              key: password

wyl9527
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
k8s-dashboardv2.0.3.zip
10-08
`k8s-dashboard-configmap-secret.yaml` 文件可能包含了 Dashboard 的配置映射(ConfigMap)和秘密(Secret)。ConfigMap 用于存储非敏感的配置数据,如设置或配置文件,而 Secret 则用于安全地存储密码、密钥等敏感...
Kubernetes(k8s)之Secret私密凭据
Tuki来了
08-01 1081
secret用来保管私密数据。
k8s学习(十五)Secret的使用
码易的博客
12-29 1984
目录前言一、创建Secret二、使用Secret 前言 。 一、创建Secret 1、base64加密 [root@k8s-master k8s]# echo -n "root" | base64 cm9vdA== [root@k8s-master k8s]# echo -n "root123" | base64 cm9vdDEyMw== 2、secret.yaml [root@k8s-master k8s]# cat secret.yaml apiVersion: v1 kind: Secr..
容器编排技术 -- Kubernetes kubectl create secret docker-registry 命令详解
YunWisdom
08-28 3239
容器编排技术 -- Kubernetes kubectl create secret docker-registry 命令详解 1kubectl create secret docker-registry 2语法 3示例 4Flags kubectl create secret docker-registry 创建与Docker registries一起使用的secret。...
Kubernetes 解决spec.template.spec.containers[0].securityContext.privileged: Forbid
看看我都干了些啥!
04-05 1万+
Kubernetes 解决spec.template.spec.containers[0].securityContext.privileged: Forbidden: disallowed by policy问题   kube-apiserver和kubelet的启动脚本中添加--allow_privileged=true,如果不添加的话,下面在部署calico的时候   vi /e...
k8s学习-Secret(创建、使用、更新、删除等)
关注网络安全、云原生安全
08-20 8882
注意:Base64只是一种编码,不含密钥的,并不安全。任何拥有 API 访问权限的人都可以检索或修改 Secret,任何有权访问 etcd 的人也可以。此外,任何有权限在命名空间中创建 Pod 的人都可以使用该访问权限读取该命名空间中的任何 Secret;使用该 ServiceAccount 创建的任何 Pod 和默认使用该 ServiceAccount 的 Pod 将会将其的 imagePullSecret 字段设置为服务帐户的 imagePullSecret 值。中的安全部分详细展开。
vault-k8s-secret-engine
03-30
Vault K8s动态服务帐户 该项目包含插件的源代码,该插件为短暂的服务帐户提供按需(动态)凭据。 如果凭据泄漏或滥用,这可以使爆炸半径保持相对较小。 注意:此插件仍在积极开发中内容建筑概貌这个插件是围绕秘密...
k8s-coredns-1.8.6镜像包和安装文件
12-01
在容器编排领域,Kubernetes(简称k8s)是一个广泛应用的开源系统,用于自动化容器化应用程序的部署、扩展和管理。在这个场景中,我们关注的是k8s的一个关键组件——CoreDNS,它是一个高性能、插件化的DNS服务器,被...
k8s-二进制yaml.zip
09-15
Kubernetes,简称k8s,是Google开源的一种容器编排系统,用于自动化容器化的应用程序部署、扩展和管理。在“k8s-二进制yaml.zip”这个压缩包中,我们很显然关注的是Kubernetes的YAML配置文件,这些文件是k8s集群中...
k8s-yml.zip
12-14
标题 "k8s-yml.zip" 暗示着这个压缩包包含的是与 Kubernetes(简称 k8s)相关的 YAML 文件。Kubernetes 是一个开源的容器编排系统,用于自动化容器化应用的部署、扩展和管理。YAML 文件是 Kubernetes 集群中用来定义...
docker安装mysql
热门推荐
wyl9527的博客
01-19 1万+
1、docker下载镜像。#我们查看一下docker.hup上的镜像。 [root@bfd-v7 ~]# docker search mysql NAME DESCRIPTION STARS OFFIC
docker界面图形化管理工具--Shipyard
wyl9527的博客
01-20 7720
1、Shipyard是基于Docker API实现的容器图形管理系统,支持container,images,engine,cluster等功能,可满足我们基本的容器部署需求。 Shipyard分为手动部署和自动部署。 Shipyard官网部署文档 1.1、Datastore docker run \ -ti \ -d \ --restart=always \
rancher在使用时候拉取Harbor私有仓库镜像失败
wyl9527的博客
02-03 5376
rancher管理页面中部署服务,在拉去镜像时报下面的错误: ErrImagePull: rpc error: code = Unknown desc = Error response from daemon: unauthorized: unauthorized to access repository: testproject/simple-video-search, action: pull: unauthorized to access repository: testproject/simpl
centos7集群部署k8s
wyl9527的博客
01-26 2778
1、机器情况 机器ip 角色 部署内容 172.18.1.22 matser etcd、kube-apiserver、kube-controller-manager、kube-scheduler 172.18.1.23 minion kube-proxy,kubelet,docker,flanneld 172.18.1.24 minion kube-pr
rancher导入k8s集群
wyl9527的博客
02-03 2432
rancher导入k8s集群 在k8s的master节点上执行指令后
docker自带的界面化管理
wyl9527的博客
01-20 2272
1、DockerUI是一个机遇Docker API提供图形化页面简单的容器管理系统,支持容器管理,镜像管理。 docker自带的界面化管理工具2、点击上述连接我们按照官网中的操作步骤执行: [root@bfd-v7 ~]# docker pull abh1nav/dockerui:latest[root@bfd-v7 ~]# docker run -d -p 9000:9000 -v /var/
docker三大组件---容器
wyl9527的博客
01-17 2222
1、容器是 Docker 又一核心概念。 简单的说,容器是独立运行的一个或一组应用,以及它们的运行态环境。对应的,虚拟机可以理解为模拟 运行的一整套操作系统(提供了运行态环境和其他系统环境)和跑在上面的应用。 1.1、启动容器 1.1.1、docker run 启动 [root@bfd-v7 ~]# docker run ubuntu:12.04 /bin/echo 'Hel
prometheus在k8s中的部署
wyl9527的博客
05-24 1647
1.创建namespace、sa账号,在k8s集群的master节点操作 #创建一个monitor-sa的名称空间 kubectl create ns monitor-sa #创建一个sa账号 kubectl create serviceaccount monitor -n monitor-sa #把sa账号monitor通过clusterrolebing绑定到clusterrole上 kubectl create clusterrolebinding monitor-clusterrolebin
rke安装k8s集群
wyl9527的博客
11-23 1635
节点规划 构建集群的第一步是将拥有的服务器按节点功能进行划分,下面是节点规划情况。 IP 角色 192.168.120.10 部署节点 192.168.120.11 master 192.168.120.12 master 192.168.120.13 master 192.168.120.14 192.168.120.15 cluster.yml文件配置内容 ...
k8s yml --help
最新发布
06-02
kubectl create secret generic NAME [--from-literal=key1=value1] [--from-literal=key2=value2] [--from-file=[key=]source] [--dry-run=server|client|none] [--output=wide|yaml|json] [options] kubectl ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值