Secret 存在意义

K8s configmap可以注入pod之内成为环境变量或者是配置文件,这些都是以明文方式保存,如果碰到密码这种的以明文方式保存就不行了,Secret更加倾向于保存要加密的文件。

Secret 解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Spec中。Secret 可以以 Volume 或者环境变量的方式使用。密码这种可以先存储到secret里面,然后挂载到Pod里面即可。

Secret 有三种类型:

  • Service Account:用来访问 Kubernetes API,由 Kubernetes 自动创建,并且会自动挂载到 Pod 的/run/secrets/kubernetes.io/serviceaccount目录中
  • Opaque:base64编码格式的Secret,用来存储密码、密钥等
  • kubernetes.io/dockerconfigjson:用来存储私有 docker registry 的认证信息

Service Account:对于有些pod来说需要和apiserver进行交互,比如flanned,coredns这些需要和api进行交互,kube api不是谁都可以过来访问的,因为它是一切访问的入口。所以pod的访问方式就是挂载Service Account

Opaque:这种方式就是加密的方式存储,加密程度并不高,很容易就进行解密

kubernetes.io/dockerconfigjson: 如果有私有仓库那么下载的时候需要认证,这些认证方案是由docker仓库去完成的,这个可以保存私有仓库认证的用户名密码信息

Service Account

Service Account 用来访问 Kubernetes API,由 Kubernetes 自动创建,并且会自动挂载到 Pod的/run/secrets/kubernetes.io/serviceaccount目录中

$ kubectl run nginx --image nginxdeployment "nginx" created$ kubectlget podsNAME                     READY     STATUS    RESTARTS   AGEnginx-3137573019-md1u2   1/1       Running   0          13s$ kubectl exec nginx-3137573019-md1u2 ls /run/secrets/kubernetes.io/serviceaccount
ca.crt namespace token

Sa是不需要我们去创建管理的,是由k8s自动创建的

[root@k8s-master ~]# kubectl exec kube-flannel-ds-amd64-lb6vm -it  -n kube-system -- /bin/sh
/ # cd /run/secrets/kubernetes.io/serviceaccount/
/run/secrets/kubernetes.io/serviceaccount # ls
ca.crt (证书信息,双向认证)    namespace  token(认证的密钥信息)
/run/secrets/kubernetes.io/serviceaccount # cat namespace
kube-system

上面这三个组成了sa,这三个使得flanneld可以访问api达成一致

Opaque Secret

1.创建说明

Opaque 类型的数据是一个 map 类型,要求 value 是 base64 编码格式,如果要进行用户名密码的保存,那么先要将其以base64位加密,再将加密的值保存在文件当中

[root@k8s-master ~]# echo -n "admin" | base64
YWRtaW4=
[root@k8s-master ~]# echo -n "1f2d1e2e67df" | base64
MWYyZDFlMmU2N2Rm只要字符串一样加密的结果就是一样的
[root@k8s-master ~]# echo -n "YWRtaW4=" | base64 -d
Admin
解密

创建一个secret

[root@k8s-master secret]# cat test.yml
apiVersion: v1
kind: Secret
metadata:name: mysecret
type: Opaque
data:password: MWYyZDFlMmU2N2Rmusername: YWRtaW4=
[root@k8s-master secret]# kubectl get secret
NAME                  TYPE                                  DATA   AGE
default-token-dfmvc   kubernetes.io/service-account-token   3      42d
mysecret              Opaque                                2      48s[root@k8s-master ~]# kubectl describe secret mysecret
Name:         mysecret
Namespace:    default
Labels:       <none>
Annotations:  <none>Type:  OpaqueData
====
username:  5 bytes
password:  12 bytes

这里有默认的default-token-dfmvc,其实在任何的名称空间下都有

[root@k8s-master secret]# kubectl get secret -n kube-system
NAME                          TYPE                                  DATA   AGE
default-token-hdkh5           kubernetes.io/service-account-token   3      42d

K8s会为每个名称空间下都创建sa用于pod挂载

 2.使用方式

1.将 Secret 挂载到 Volume 中

[root@k8s-master secret]# cat mytest.yml
apiVersion: v1
kind: Pod
metadata:name: secret-test
spec:volumes:- name: secretssecret:secretName: mysecretcontainers: - name: busyboximage: busyboxcommand: ["/bin/sh","-c","sleep 3600s"]volumeMounts:    - name: secrets      mountPath: "/etc/secrets"      readOnly: true
[root@k8s-master secret]# kubectl exec -it secret-test -- /bin/sh
/ # cd /etc/secrets/
/etc/secrets # ls
password  username/etc/secrets # cat password
1f2d1e2e67df
/etc/secrets # cat username
Admin

可以看到在创建的时候是加密保存的,在使用的时候会自动完成解密

2、将 Secret 导出到环境变量中

[root@k8s-master secret]# kubectl apply -f mytest1.yml
pod/secret-test-env created
[root@k8s-master secret]# cat mytest1.yml
apiVersion: v1
kind: Pod
metadata:name: secret-test-env
spec:containers: - name: busyboximage: busyboxcommand: ["/bin/sh","-c","sleep 3600s"]env:- name: TEST_USERvalueFrom:secretKeyRef:name: mysecretkey: username- name: TEST_PASSWORDvalueFrom:secretKeyRef:name: mysecretkey: password
[root@k8s-master secret]# kubectl exec -it secret-test-env -- /bin/sh
/ # echo $TEST_USER
admin
/ # echo $TEST_PASSWORD
1f2d1e2e67df

Secret保存docker仓库认证信息  harbor

对于公司内部的项目, 我们不可能使用公有开放的镜像仓库, 一般情况可能会花钱买 docker私仓服务, 或者说自己在服务器上搭建自己的私仓, 但不管怎样, 我们如何让k8s能够拉取私有仓库的镜像

使用 Kuberctl 创建 docker registry 认证的 secret,格式如下

kubectl create secret docker-registry myregistrykey --docker-server=DOCKER_REGISTRY_SERVER --docker-username=DOCKER_USER --docker-password=DOCKER_PASSWORD --docker-email=DOCKER_EMAIL
[root@k8s-master ~]# kubectl create secret docker-registry myregistrykey --docker-server=hub.test.com --docker-username=admin --docker-password=Harbor12345 --docker-email=test@163.com
secret/myregistrykey created
[root@k8s-master ~]# kubectl describe secret myregistrykey
Name:         myregistrykey
Namespace:    default
Labels:       <none>
Annotations:  <none>Type:  kubernetes.io/dockerconfigjsonData
====
.dockerconfigjson:  129 bytes

其中:
regsecret: 指定密钥的键名称, 可自行定义
--docker-server: 指定docker仓库地址
--docker-username: 指定docker仓库账号
--docker-password: 指定docker仓库密码
--docker-email: 指定邮件地址(选填)

 yml文件加入密钥参数

在创建 Pod 的时候,通过imagePullSecrets来引用刚创建的 `myregistrykey`

apiVersion: v1
kind: Pod
metadata:  name: foo
spec:  containers:    - name: foo      image: reg.harbor.com/library:v1  imagePullSecrets:    - name: myregistrykey

其中imagePullSecrets是声明拉取镜像时需要指定密钥, myregistrykey 必须和上面生成密钥的键名一致, 另外检查一下pod和密钥是否在同一个namespace, 之后k8s便可以拉取镜像

Kubernetes secret使用详解相关推荐

  1. 容器编排技术 -- Kubernetes kubectl create secret 命令详解

    容器编排技术 -- Kubernetes kubectl create secret 命令详解 1 kubectl create secret 2 语法 3 参考: kubectl create se ...

  2. kubernetes,service详解下

    kubernetes,service详解下 HeadLiness类型的Service 在某些场景中,开发人员可能不想使用Service提供的负载均衡功能,而希望自己来控制负载均衡策略,针对这种情况,k ...

  3. 自动化集成:Kubernetes容器引擎详解

    同系列推荐: Jenkins管理工具详解 Pipeline流水语法详解 Docker容器入门简介 Pipeline整合Docker容器 微服务组件二次浅封装 前言:该系列文章,围绕持续集成:Jenki ...

  4. Kubernetes中Secret使用详解

    全栈工程师开发手册 (作者:栾鹏) 架构系列文章 Secret解决了密码.token.密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中.Secret可以以Volume或 ...

  5. 使用acs-engine在Azure中国区部署kubernetes集群详解

    1. acs-engine简介 ACS是微软在2015年12月推出的一项基于容器的云端PaaS服务.说简单点,acs-engine就是一个ARM模板生成器,用户只需要配置几个简单的参数来描述容器集群的 ...

  6. 9、Kubernetes控制器Controller详解

    文章目录 一.Statefulset(有状态应用) 1.1 无状态应用 1.2 有状态应用 1.3 部署有状态应用 二.DaemonSet(守护进程) 三Job和CronJob(定时任务) 3.1 J ...

  7. cisco ios enable password与enable secret设置详解

    enable,俗称特权密码.不同的级别,可以执行的命令大不相同.从低级别进入到高级别,需要输入相对应高级别的enable密码.本文重点分析enable password与enable secret的区 ...

  8. Kubernetes的Pod详解

    文章目录 Pod生命周期 创建和终止 初始化容器 钩子函数 容器探测 示例 重启策略 Pod调度 定向调度 亲和性调度 污点和容忍 污点(Taints) 容忍(Toleration) Pod生命周期 ...

  9. Kubernetes DaemonSet使用详解

    Kubernetes DaemonSet tags: DaemonSet 有时候如果你爱一个人,就要形同陌路. --<银翼杀手2049> 文章目录 Kubernetes DaemonSet ...

最新文章

  1. 工业传感器:工业互联网的第一道门
  2. 计算机教 学计划书,计算机教师工作计划个人范例
  3. 关于mysql的内部联结
  4. http协议与服务器通信,iPhone应用用HTTP协议和服务器通信
  5. 微信支付带动交易超720万元 核销首日武汉人开启“全城用券”模式
  6. 小贷公司的风险成因及应对策略——策略篇
  7. Spring注解@ConfigurationPropertie
  8. CVE-2020-11945 Squid未授权整数溢出分析
  9. html排版跟代码不一致_用壹伴助手,几分钟搞定公众号排版
  10. 【优化预测】基于matlab粒子群算法优化DBN预测【含Matlab源码 1420期】
  11. 黑客帝国屏幕保护源码
  12. 完全免费的在线遥感影像下载器-转载
  13. Adadelta理解
  14. C4D插件X-Particles粒子特效(七)
  15. php仿抖音短视频小程序开发,微信小程序中实现类似抖音短视频切换效果
  16. 小案例:利用图床自动化批量上传图片并获取图片链接
  17. 南通大学计算机学院本科考研,南通大学各学院2021考研分数线已公布
  18. 计算机加法的运算规则,计算机眼中的加法运算
  19. c语言开发dota,DOTA 6.70C AI简体中文修正版下载
  20. anaconda环境安装搜不到的环境

热门文章

  1. win10找不到输入法问题的解决办法
  2. VS2012安装DirectX SDK(DXSDK_Feb10)
  3. 03【若依框架解读】Tree树形结构的控制(菜单,部门)
  4. 小米A1(小米5X国际版)刷机完全指南
  5. html盒子连续点击连续移动,html盒子整体向下移动
  6. 《开源软件开发导论》作业1
  7. Beyond Homophily in Graph Neural Networks: Current Limitations and Effective Designs 论文理解
  8. 「硬核讲解」通达信跨周期引用均线指标公式
  9. python32位和64位有什么区别_python64位和32位区别
  10. Android studio 放大字体