Kubernetes—Secret

最新推荐文章于 2024-09-04 07:39:27 发布
最新推荐文章于 2024-09-04 07:39:27 发布
阅读量114 收藏
点赞数
分类专栏: Kubernetes 文章标签: kubernetes 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiayping/article/details/131890256
版权

文章目录

前言

Kubernetes secrets用于存储和管理一些敏感数据,Secret解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜 像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。

一、Secret类型?

Secret有三种类型:

  • Service Account :用来访问Kubernetes API,由Kubernetes自动创建,并且会自动挂载到Pod的 /var/run/secrets/kubernetes.io/serviceaccount 目录中;
  • Opaque :base64编码格式的Secret,用来存储密码、密钥等;
  • kubernetes.io/dockerconfigjson :用来存储私有docker registry的认证信息。

二、使用步骤

1.Opaque Secret

Opaque类型的数据是一个map类型,要求value是base64编码格式:
$ echo -n “admin” | base64 YWRtaW4=
$ echo -n “1f2d1e2e67df” | base64 MWYyZDFlMmU2N2Rm

secrets.yml
	apiVersion: v1 
	kind: Secret 
	metadata:
	  name: mysecret 
	type: Opaque 
	data:
	  password: MWYyZDFlMmU2N2Rm
	  username: YWRtaW4=

或者(从文件创建 secret)
kubectl create secret generic NAME [--type=string] [--from-file=[key=]source] [--from-literal=key1=value1] [--dry-run]
[options]

创建好secret之后,有两种方式来使用它:
	• 以Volume方式 
	• 以环境变量方式
将Secret挂载到Volume中
	apiVersion: v1 
	kind: Pod 
	metadata:
	  labels:
	    name: db
	  name: db 
	spec:
	  volumes:
	  - name: secrets 
	    secret:
	      secretName: mysecret 
       containers:
       - image: gcr.io/my_project_id/pg:v1 
         name: db 
         volumeMounts:
         - name: secrets 
           mountPath: "/etc/secrets" 
           readOnly: true 
         ports:
         - name: cp 
           containerPort: 5432 
           hostPort: 5432

将Secret导出到环境变量中
	…
	spec:
	  containers:
	  - name: "wordpress" 
	    image: "wordpress" 
	    ports:
	      - containerPort: 80 
         env:
           - name: WORDPRESS_DB_USER 
             valueFrom: 
               secretKeyRef: 
                 name: mysecret 
                 key: username
	      - name: WORDPRESS_DB_PASSWORD 
	        valueFrom:
		     secretKeyRef:
		       name: mysecret 
		       key: password

2.dockerconfigjson

除了上面的Opaque这种类型外,我们还可以来创建用户docker registry认证的Secret,在pod中我们可以使用创建的此类Secret做为凭证连接docker 私有仓库,实现对镜像的下载。而无需在每台Node节点上使用docker login登录私有仓库。
直接使用kubectl create命令创建即可,如下:
$ kubectl create secret docker-registry myregistry --docker-server=DOCKER_SERVER --docker-username=DOCKER_USER --docker-password=DOCKER_PASSWORD --docker-email=DOCKER_EMAIL
secret “myregistry” created

也可以直接读取~/.docker/config.json 的内容来创建:

cat ~/.docker/config.json | base64

cat > myregistrykey.yaml <<EOF 
apiVersion: v1 
kind: Secret 
metadata:
  name: myregistrykey 
  data:
	 .dockerconfigjson:UmVhbGx5IHJlYWxseSByZWVlZWVlZWVlZWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWxsbGxsbGxsbGxsbGxsbGxsbGxsbGxsbGxsbGxsbGx5eXl5eXl5eXl5eXl5eXl5eXl5eSBsbGxsbGxsbGxsbGxsbG9vb29vb29vb29vb29vb29vb29vb29vb29vb25ubm5ubm5ubm5ubm5ubm5ubm5ubm5ubmdnZ2dnZ2dnZ 2dnZ2dnZ2dnZ2cgYXV0aCBrZXlzCg== type:kubernetes.io/dockerconfigjson 
EOF

kubectl create -f myregistrykey.yaml

在创建Pod的时候,通过 imagePullSecrets来引用刚创建的

myregistrykey
	apiVersion: v1 
	kind: Pod 
	metadata:
	  name: foo 
     spec:
       containers:
       - name: foo 
         image: janedoe/awesomeapp:v1 
       imagePullSecrets:
       - name: myregistrykey

然后查看Secret列表:

$ kubectl get secret
NAME                  TYPE                                  DATA      AGE
default-token-n9w2d   kubernetes.io/service-account-token   3         33d
myregistry            kubernetes.io/dockerconfigjson        1         15s
mysecret              Opaque                                2         34m

注意看上面的TYPE类型,myregistry对应的kubernetes.io/dockerconfigjson,同样的可以使用describe命令来查看详细信息:

$ kubectl describe secret myregistry
Name:         myregistry
Namespace:    default
Labels:       <none>
Annotations:  <none>
	Type:  kubernetes.io/dockerconfigjson
	Data
====
.dockerconfigjson:  152 bytes

同样的可以看到Data区域没有直接展示出来,如果想查看的话可以使用-o yaml来输出展示出来:

$ kubectl get secret myregistry -o yaml
apiVersion: v1
data:
  .dockerconfigjson: eyJhdXRocyI6eyJET0NLRVJfU0VSVkVSIjp7InVzZXJuYW1lIjoiRE9DS0VSX1VTRVIiLCJwYXNzd29yZCI6IkRPQ0tFUl9QQVNTV09SRCIsImVtYWlsIjoiRE9DS0VSX0VNQUlMIiwiYXV0aCI6IlJFOURTMFZTWDFWVFJWSTZSRTlEUzBWU1gxQkJVMU5YVDFKRSJ9fX0=
kind: Secret
metadata:
  creationTimestamp: 2018-06-19T16:01:05Z
  name: myregistry
  namespace: default
  resourceVersion: "3696966"
  selfLink: /api/v1/namespaces/default/secrets/myregistry
  uid: f91db707-73d9-11e8-a101-525400db4df7
type: kubernetes.io/dockerconfigjson

可以把上面的data.dockerconfigjson下面的数据做一个base64解码,看看里面的数据是怎样的呢?
$ echo eyJhdXRocyI6eyJET0NLRVJfU0VSVkVSIjp7InVzZXJuYW1lIjoiRE9DS0VSX1VTRVIiLCJwYXNzd29yZCI6IkRPQ0tFUl9QQVNTV09SRCIsImVtYWlsIjoiRE9DS0VSX0VNQUlMIiwiYXV0aCI6IlJFOURTMFZTWDFWVFJWSTZSRTlEUzBWU1gxQkJVMU5YVDFKRSJ9fX0= | base64 -d

{"auths":{"DOCKER_SERVER":{"username":"DOCKER_USER","password":"DOCKER_PASSWORD","email":"DOCKER_EMAIL","auth":"RE9DS0VSX1VTRVI6RE9DS0VSX1BBU1NXT1JE"}}}

如果我们需要拉取私有仓库中的docker镜像的话就需要使用到上面的

myregistry这个Secret:
apiVersion: v1
kind: Pod
metadata:
  name: foo
spec:
  containers:
  - name: foo
    image: 192.168.1.100:5000/test:v1
  imagePullSecrets:
  - name: myregistrykey

当拉取私有仓库镜像192.168.1.100:5000/test:v1,就可以针对该私有仓库来创建一个如上的Secret,然后在Pod的 YAML 文件中指定imagePullSecrets,实现镜像的拉取了。

为 service account 添加 ImagePullSecret

1、创建一个 imagePullSecret
kubectl create secret docker-registry myregistry --docker-server=DOCKER_REGISTRY_SERVER --docker-username=DOCKER_USER --docker-password=DOCKER_PASSWORD --docker-email=DOCKER_EMAIL secret/myregistrykey created
2、确认创建的myregistry
kubectl get secrets myregistry
3、修改 namespace 中的默认 service account 使用该 secret 作为 imagePullSecret。
kubectl patch serviceaccount default -p '{"imagePullSecrets": [{"name": "myregistry "}]}'
或者编辑yaml来进行配置

kubectl get serviceaccounts default -o yaml > ./sa.yaml
$ vi sa.yaml 
	· [editor session not shown] 
	· [delete line with key "resourceVersion"] 
	· [add lines with "imagePullSecret:"]
$ cat sa.yaml 
apiVersion: v1 
kind: ServiceAccount 
metadata:
  creationTimestamp: 2015-08-07T22:02:39Z 
  name: default 
  namespace: default 
  selfLink: /api/v1/namespaces/default/serviceaccounts/default 
  uid: 052fb0f4-3d50-11e5-b066-42010af0d7b6 
secrets:
- name: default-token-uudge 
imagePullSecrets:
- name: myregistry

$ kubectl replace serviceaccount default -f ./sa.yaml
serviceaccounts/default
现在,所有当前 namespace 中新创建的 pod 的 spec 中都会增加如下内容:
spec:
imagePullSecrets:
- name: myregistrykey

3.Service Account

  另外一种Secret类型就是kubernetes.io/service-account-token,用于被serviceaccount引用。serviceaccout 创建时 Kubernetes 会默认创建对应的 secret。Pod 如果使用了 serviceaccount,对应的sa会自动挂载到Pod的/vat/run/secrets/kubernetes.io/serviceaccount目录中。

$ kubectl run secret-pod --image nginx
	deployment.apps "secret-pod" created

$ kubectl get pods
	NAME                           READY     STATUS    RESTARTS   AGE
	...
	secret-pod-78c8c76db8   1/1       Running   0          13s
	...

$ kubectl exec secret-pod-78c8c76db8 ls /run/secrets/kubernetes.io/serviceaccount
	ca.crt
	namespace
	token

总结

Secret 与 ConfigMap 对比
最后我们来对比下Secret和ConfigMap这两种资源对象的异同点:
相同点:

  • key/value的形式
  • 属于某个特定的namespace
  • 可以导出到环境变量
  • 可以通过目录/文件形式挂载
  • 通过 volume 挂载的配置信息均可热更新

不同点:

  • Secret 可以被 ServerAccount 关联
  • Secret 可以存储 docker register 的鉴权信息,用在 ImagePullSecret 参数中,用于拉取私有仓库的镜像
  • Secret 支持 Base64 加密
  • Secret 分为 kubernetes.io/service-account-token、kubernetes.io/dockerconfigjson、Opaque 三种类型,而 Configmap 不区分类型
xiayping
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【云原生】kubernetessecret原理详解与应用实战
景天科技苑
06-04 2万+
对于一些敏感数据,如密码、私钥等数据时,要用secret类型。 Secret解决了密码、token、秘钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。 Secret可以以Volume或者环境变量的方式使用。 要使用 secret,pod 需要引用 secret。Pod 可以用两种方式使用 secret: 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里, 或者当 kubelet 为 pod 拉取镜像时使用。
Kubernetes Secret 详解
TechEnthusiast的博客
07-23 150
Kubernetes Secret 是一种用于存储和管理敏感信息的对象,如密码、OAuth 令牌和 SSH 密钥等。使用 Secret 可以避免将机密数据直接放在 Pod 规约或容器镜像中,从而增加了应用程序的安全性。
Kubernetes学习之Secret
Micky_Yang的博客
08-30 1382
一、认识Secret   Secret资源的功能类似于ConfigMap,但是它专用于存放敏感数据,例如密码、数字证书、私钥、令牌和SSH key等。   Secret对象存储数据的方式及使用方法类似于ConfigMap对象,以键值对方式存储数据,在Pod资源中通过环境变量或存储卷进行数据访问。不同的是,Secret对象仅会被分发至调用了此对象的Pod资源所在的工作节点,且只能由节点将其存储于内存中。另外,Secret对象的数据的存储及打印格式为Base64编码的字符串,因此用户在创建Secret对象时也要
kubernetesSecret
格子的博客
05-24 488
Secret 解决了密码、Token、秘钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Spec 中。Secret可以以 Volume 或者环境变量的方式使用。 使用 Secret 意味着你不需要在应用程序代码中包含机密数据。
kubernetes-Secert配置管理详解
m0_71163619的博客
07-19 328
secrets用于存储和管理一些敏感数据,比如密码,token,密钥等敏感信息。它把 Pod 想要访问的加密数据存放到Etcd中。然后用户就可以通过在 Pod 的容器里挂载 Volume 的方式或者环境变量的方式访问到这些 Secret 里保存的信息了。Secret 类似于 ConfigMap 但专门用于保存机密数据。
kubernetessecret
weixin_30698297的博客
07-29 133
secret 作用: 保管私密数据 secret使用场景 1. 创建pod时候, 为pod指定serviceaccount来自动使用secret 2. 通过挂载该secret到pod来使用它 3. 下载docker镜像, 通过指定pod的spec.ImagePullSecrets来引用 4. 生成变量 通过挂载该secret到pod来使用它, pod容器里生成文件 创建secret ...
KubernetesSecret 详解
升仔聊编程的博客
12-27 567
在微服务和容器化环境中,敏感数据的管理是一个重要且挑战性的问题。KubernetesSecret 对象提供了一种在集群中安全地存储和管理敏感数据(如密码、密钥、证书等)的机制。Kubernetes 中的 Secret 是管理敏感数据的有效工具。通过正确地使用和保护 Secret,可以确保敏感数据在 Kubernetes 环境中的安全性。理解和熟练使用 Secret 对于维护一个安全且高效的 Kubernetes 集群至关重要。
Kubernetes(k8s)之Secret私密凭据
Tuki来了
08-01 1066
secret用来保管私密数据。
synator:Synator Kubernetes Secret和ConfigMap同步器
04-23
Synator Kubernetes Secret和ConfigMap同步器 有时,我们想在不同的名称空间中使用机密,不幸的是,我们不能没有任何辅助运算符或手动复制,因为在kubernetes中,机密和configmaps是名称空间。 当我们有几个命名空间...
云原生Kubernetes系列 | Kubernetes Secret及ConfigMap
背锅神童的博客
12-26 1612
使用某些镜如MySQL是需要变量来传递密码的,但是在编写YAML文件的时候,需要在参数里面指定明文密码。这样就会导致一定的安全隐患。所以Kubernetes引入Secret和ConfigMap
Kubernetes Secret的三种使用方式
最新发布
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
09-04 153
Kubernetes中,Secret是管理敏感信息的利器。创建Secret后,我们可以通过以下三种简洁的方式在集群中使用它们:
KubernetesSecret使用详解
热门推荐
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
10-26 1万+
Secret解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。 Secret类型 Secret有三种类型: Opaque:base64编码格式的Secret,用来存储密码、密钥等;但数据也通过base64 –decode解码得到原始数据,所有加密性很弱。 kubernetes.io/doc...
kubernetes secret 管理
爱死亡机器人
09-15 4752
Secret 概览 Secret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 这样的信息可能会被放在 Pod 规约中或者镜像中。 用户可以创建 Secret,同时系统也创建了一些 Secret。 要使用 Secret,Pod 需要引用 Secret。 Pod 可以用三种方式之一来使用 Secret: 作为挂载到一个或多个容器上的 卷 中的文件。 作为容器的环境变量 由 kubelet 在为 Pod 拉取镜像时使用 使用 kubectl 创建 Secret # 创建本例中要使用的文件 echo -
Kubernetessecrets使用
Harry的博客
10-11 3888
Secret解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。 ​
【K8s】专题五(2):Kubernetes 配置之 Secret
06-14 587
Kubernetes 专题 - 配置之 Secret
Kubernetes】Pod 的配置管理(二):Secret
书山有路,学海无涯。记录成长,追逐梦想
07-31 679
Secret 也是 Kubernetes 配置管理的一种方式,它采用 Base 64 编码机制保存配置信息。与 ConfigMap 不同的是,Secret 中包含敏感的信息,例如用户的登录密码、Token 等。这些敏感信息使用 Secret 来保存,可以更好地控制它们的用途,并降低意外暴露的风险。在成功创建 Secret 后,可以通过环境变量或数据卷的方式在 Pod 中使用它。
kubernetesSecret 的作用, 以及为什么说它是安全的
kunyus的博客
07-01 3994
为什么要有 Secret ? 使用过 Kubernetes 的人应该都知道, Kubernetes 对动态配置管理提供了两种管理方式, 一种是 ConfigMap 一种就是现在要讲的 Secret. 这是因为我们在 kubernetes 上部署应用的时候,经常会需要传一些动态配置给应用使用,比如数据库地址,用户名, 密码之类的信息。如果没有上面提供的方法, 我们只能使用下面几种方法. 直接打包到...
k8s拉取私有镜像配置kubernetes.io/dockerconfigjson
码农的专栏
05-27 1039
第一步:登录一下私有镜像仓库。
Kubernetes Secret 的几种类型
02-21
Kubernetes Secret 有四种类型:Opaque、Service Account、docker-registry 和 tls。Opaque 是最常用的类型,用于存储任意类型的数据;Service Account 用于存储服务帐户信息;docker-registry 用于存储对私有的 Docker 注册表的认证凭据;tls 可用于存储 TLS 密钥和证书。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值