Secret

最新推荐文章于 2024-11-05 13:58:52 发布
最新推荐文章于 2024-11-05 13:58:52 发布
阅读量64 收藏
点赞数
文章标签: docker kubernetes 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yunqi1215/article/details/130060906
版权

前言

使用场景:凭证
作用:解决了密码、token、秘钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或pod spec 中。可以以volume或环境变量的方式使用。

pod可以用三种方式来使用secret:
    • 作为挂载到一个或多个容器上的卷中的文件
    • 作为容器的环境变量
    • 由kubelet在为pod拉取镜像时使用

secret有三种类型:
    opaque:base64编码格式,数据也通过base64解码得到原始数据,加密性很弱
    dockerconfigjson:用来存储私有的docker registry 的认证信息。
    service-account-token:用于被serviceaccount引用。

配置实践

1、创建secret加密数据

[root@k8s-master ~]# cat secret.yaml
apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  username: YWRtaW4=
  password: MWYyZDFlMmU2N2Rm

[root@k8s-master ~]# kubectl apply -f secret.yaml 
secret/mysecret created

[root@k8s-master ~]# kubectl get secrets 
NAME       TYPE     DATA   AGE
mysecret   Opaque   2      10s


2、创建secret以环境变量形式存在pod中

[root@k8s-master ~]# cat secret-val.yaml 
apiVersion: v1
kind: Pod
metadata:
  name: secret-env-pod
spec:
  containers:
  - name: mycontainer
    image: nginx:1.15
    env:
      - name: SECRET_USERNAME
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: username
            optional: false # 此值为默认值;意味着 "mysecret"
                            # 必须存在且包含名为 "username" 的主键
      - name: SECRET_PASSWORD
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: password
            optional: false # 此值为默认值;意味着 "mysecret"
                            # 必须存在且包含名为 "password" 的主键
  restartPolicy: Never      
                                                                    
[root@k8s-master ~]# kubectl apply -f secret-val.yaml 
pod/secret-env-pod created

[root@k8s-master ~]# kubectl get pods
NAME             READY   STATUS    RESTARTS   AGE
secret-env-pod   1/1     Running   0          17s

[root@k8s-master ~]# kubectl exec -it secret-env-pod bash
root@secret-env-pod:/# echo $SECRET_PASSWORD
1f2d1e2e67df
root@secret-env-pod:/# echo $SECRET_USERNAME
admin
root@secret-env-pod:/# exit
Exit


3、以volume形式挂载在pod中

[root@k8s-master ~]# cat secret-vol.yaml 
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: mypod
    image: nginx:1.15
    volumeMounts:
    - name: foo
      mountPath: "/etc/foo"
      readOnly: true
  volumes:
  - name: foo
    secret:
      secretName: mysecret
      optional: false # 默认设置,意味着 "mysecret" 必须已经存在      
                                                                                      
[root@k8s-master ~]# kubectl apply -f secret-vol.yaml 
pod/mypod created

[root@k8s-master ~]# kubectl get pods
NAME             READY   STATUS    RESTARTS   AGE
mypod            1/1     Running   0          5s
secret-env-pod   1/1     Running   0          5m24s

[root@k8s-master ~]# kubectl exec -it mypod bash
root@mypod:/# cd /etc/foo/
root@mypod:/etc/foo# ls
password  username
root@mypod:/etc/foo# cat password 
1f2d1e2e67dfroot@mypod:/etc/foo# 
root@mypod:/etc/foo# cat username 
adminroot@mypod:/etc/foo# 
root@mypod:/etc/foo# exit
exit


 

yunqi1215
关注
【云原生】kubernetessecret原理详解与应用实战
景天科技苑
06-04 2万+
对于一些敏感数据,如密码、私钥等数据时,要用secret类型。 Secret解决了密码、token、秘钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。 Secret可以以Volume或者环境变量的方式使用。 要使用 secret,pod 需要引用 secret。Pod 可以用两种方式使用 secret: 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里, 或者当 kubelet 为 pod 拉取镜像时使用。
详解Python的Flask框架中生成SECRET_KEY密钥的方法
09-21
### 详解Python的Flask框架中生成SECRET_KEY密钥的方法 #### 引言 在进行Web应用开发时,安全性始终是不可忽视的关键因素之一。Flask作为一款轻量级但功能强大的Python Web框架,提供了丰富的工具和库来帮助开发者...
Kubernetes Secret
yymagicer的博客
10-17 817
Base64 编码是为了防止数据在 YAML 或 JSON 格式中直接暴露,避免影响其解析,Base64 编码并非加密。为了确保数据安全,应该依赖 Kubernetes 的etcd加密功能和网络层的安全措施,如 RBAC 和 TLS。Kubernetes 中的 Secret 提供了一种安全管理敏感数据的机制,避免了将密码、密钥等明文信息硬编码在应用程序中或暴露在配置文件中。通过与 RBAC 控制、etcd加密等机制结合使用,Secret 可以有效提升集群的安全性。
secret详解
wq1205750492的博客
06-17 2842
注意:secret主要为三大类型:创建 Secret 三种方式 基于指定文件创建 基于指定目录创建 基于环境变量键值对文件 1.2 创建 secret-tiger-docker 类型 1.3 创建tls类型 2. 基于yaml文件创建 三. Secret使用 1.容器环境变量中使用 将 Secret 中的所有键值对配置为容器环境变量 2.存储卷(volume)中使用 2.1 使用存储在 ConfigMap 中的数据填充卷 2.2 将 ConfigMap
K8S Secret
王小工小工历程
08-23 958
K8S(Kubernetes)中的Secret是一种用于保存敏感信息的资源对象,如密码、OAuth令牌、SSH密钥等。这些信息通常不应该直接暴露在Pod的规范(Spec)或镜像中,因为这样做会增加数据泄露的风险。Secret提供了一种更安全的方式来管理这些敏感信息,并允许Pod以受控的方式访问它们。
Secret 基本使用方法
小五
04-09 772
在 Pod 规约中,将 Secret 中定义的值 backend-username 赋给 SECRET_USERNAME 环境变量。kind: Podmetadata:spec:env:valueFrom:在Pod 中使用kind: Podmetadata:spec:env:valueFrom:valueFrom:使用 envFrom 来将 Secret 中的所有数据定义为环境变量。
Kubernetes Secret简介
驰兔的博客
03-10 830
Secret用来保存敏感信息,例如密码、OAuth 令牌和 ssh key等等,将这些信息放在Secret中比放在Pod的定义中或者docker镜像中来说更加安全和灵活。
OpenShift 4 - 了解Secret
多恩斯基的博客
09-30 1369
文章目录关于Secret对象三种途径创建Secret对象Secret对象的结构创建Secret对象一般结构Secret通过命令创建Secret通过YAML创建Secret属于dockerconfigjson或dockercfg类型的pull-secretbasic-auth类型secretssh-auth类型secret引用或使用Secret中内容在Pod中通过挂载存储使用Secret在Pod中通过环境变量使用Secret在Pod中使用pull_secret在ServiceAccount中使用secret和
kubernetes secret 管理
爱死亡机器人
09-15 4874
Secret 概览 Secret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 这样的信息可能会被放在 Pod 规约中或者镜像中。 用户可以创建 Secret,同时系统也创建了一些 Secret。 要使用 Secret,Pod 需要引用 Secret。 Pod 可以用三种方式之一来使用 Secret: 作为挂载到一个或多个容器上的 卷 中的文件。 作为容器的环境变量 由 kubelet 在为 Pod 拉取镜像时使用 使用 kubectl 创建 Secret # 创建本例中要使用的文件 echo -
secret的认识
weixin_46837396的博客
03-14 2757
文章目录一、secret的认识1、serviceaccount2.Opaque Secret1)创建secret2)将secret挂载到volume中3)将secret挂载到环境变量中4)Secre存储私有docker registry的认证使用kubectl创建docker regiestry认证的secret4、kubernetes.io/dockerconfigjson5、kubernetes.io/service-account-token6、kubernetes.io/service-accoun
每日一博 - App key和App Secret
小工匠
12-18 5141
App Key和App Secret是API接口调用中常用的身份验证机制,确保只有合法的应用程序可以访问API。
Qt-Secret:支持RSA和AES算法的简单加密库
02-02
**Qt-Secret库详解** Qt-Secret是一款专为Qt开发者设计的轻量级加密库,它提供了对RSA和AES两种主流加密算法的支持。Qt库本身虽然功能强大,但在加密领域并未提供内置的全面解决方案,因此Qt-Secret的出现填补了这...
Qt-Secret-master_QT_secret_cryptography_
10-04
**Qt-Secret-master** 是一个基于QT框架的加密库项目,专为QT应用程序设计,用于实现安全的数据加密和解密功能。在QT平台上开发时,这个库可以提供强大的加密算法支持,确保敏感信息的安全存储和传输。 **QT Secret...
phpmyadmin配置文件现在需要绝密的短密码(blowfish_secret)的2种解决方法
10-25
`blowfish_secret` 是一个用于加密cookie认证的密钥,它确保了用户的身份验证过程更加安全。当你首次尝试访问安装在CentOS或类似系统上的PHPMyAdmin时,可能会遇到一个提示,要求你提供一个“绝密的短密码”(blow...
docker 常用命令
xiaogg3678的专栏
11-01 350
docker 常用命令
Docker配置宿主机目录和网络映射
BigBookX's Blog
11-03 871
host网络模式在某些场景下非常有用,特别是当你需要高性能的网络连接或简化端口管理时。然而,它也有其局限性,特别是在处理端口冲突和网络隔离方面。根据你的具体需求选择合适的网络模式。
Docker 镜像体积优化实践:从基础镜像重建到层压缩的全流程指南
不吃肥肉的傲寒
11-01 646
由于最近在发布的时候发现docker镜像体积变得越来越大,导致整个打包发布流程变得非常耗时了。优化最终镜像体积。顺便也记录一下docker镜像体积优化的一些步骤。
docker+mysql配置
最新发布
RiverGod
11-05 220
docker+mysql配置
Docker打包自己项目推到Docker hub仓库(windows10)
m0_71816999的博客
10-31 774
使用以下命令构建镜像,假设你要将其命名为 xdd: docker build -t xdd .关于Dockerfile 里的 CMD ["python", "DetectAPI.py"]。指的是:容器启动时自动执行的命令。既,你把镜像创建成功后,你只要启动容器容器就会自动执行 python DetectAPI.py (py文件改成自己要执行的)(如这里,我的项目名称是yolov5-7.0-docker, 我就进如到这个项目里并创建Dockerfile)
docker secret
06-07
Docker secret是一种Docker提供的用于管理敏感数据的机制,它可以用于存储和传输敏感数据,比如密码、证书等,而不需要将这些数据暴露在Docker镜像或容器的文件系统中。Docker secret是加密存储的,只有Docker守护...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值