Kubernetes secret使用详解
Secret 存在意义
K8s configmap可以注入pod之内成为环境变量或者是配置文件,这些都是以明文方式保存,如果碰到密码这种的以明文方式保存就不行了,Secret更加倾向于保存要加密的文件。
Secret 解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Spec中。Secret 可以以 Volume 或者环境变量的方式使用。密码这种可以先存储到secret里面,然后挂载到Pod里面即可。
Secret 有三种类型:
- Service Account:用来访问 Kubernetes API,由 Kubernetes 自动创建,并且会自动挂载到 Pod 的/run/secrets/kubernetes.io/serviceaccount目录中
- Opaque:base64编码格式的Secret,用来存储密码、密钥等
- kubernetes.io/dockerconfigjson:用来存储私有 docker registry 的认证信息
Service Account:对于有些pod来说需要和apiserver进行交互,比如flanned,coredns这些需要和api进行交互,kube api不是谁都可以过来访问的,因为它是一切访问的入口。所以pod的访问方式就是挂载Service Account
Opaque:这种方式就是加密的方式存储,加密程度并不高,很容易就进行解密
kubernetes.io/dockerconfigjson: 如果有私有仓库那么下载的时候需要认证,这些认证方案是由docker仓库去完成的,这个可以保存私有仓库认证的用户名密码信息
Service Account
Service Account 用来访问 Kubernetes API,由 Kubernetes 自动创建,并且会自动挂载到 Pod的/run/secrets/kubernetes.io/serviceaccount目录中
$ kubectl run nginx --image nginxdeployment "nginx" created$ kubectlget podsNAME READY STATUS RESTARTS AGEnginx-3137573019-md1u2 1/1 Running 0 13s$ kubectl exec nginx-3137573019-md1u2 ls /run/secrets/kubernetes.io/serviceaccount
ca.crt namespace token
Sa是不需要我们去创建管理的,是由k8s自动创建的
[root@k8s-master ~]# kubectl exec kube-flannel-ds-amd64-lb6vm -it -n kube-system -- /bin/sh
/ # cd /run/secrets/kubernetes.io/serviceaccount/
/run/secrets/kubernetes.io/serviceaccount # ls
ca.crt (证书信息,双向认证) namespace token(认证的密钥信息)
/run/secrets/kubernetes.io/serviceaccount # cat namespace
kube-system
上面这三个组成了sa,这三个使得flanneld可以访问api达成一致
Opaque Secret
1.创建说明
Opaque 类型的数据是一个 map 类型,要求 value 是 base64 编码格式,如果要进行用户名密码的保存,那么先要将其以base64位加密,再将加密的值保存在文件当中
[root@k8s-master ~]# echo -n "admin" | base64
YWRtaW4=
[root@k8s-master ~]# echo -n "1f2d1e2e67df" | base64
MWYyZDFlMmU2N2Rm只要字符串一样加密的结果就是一样的
[root@k8s-master ~]# echo -n "YWRtaW4=" | base64 -d
Admin
解密
创建一个secret
[root@k8s-master secret]# cat test.yml
apiVersion: v1
kind: Secret
metadata:name: mysecret
type: Opaque
data:password: MWYyZDFlMmU2N2Rmusername: YWRtaW4=
[root@k8s-master secret]# kubectl get secret
NAME TYPE DATA AGE
default-token-dfmvc kubernetes.io/service-account-token 3 42d
mysecret Opaque 2 48s[root@k8s-master ~]# kubectl describe secret mysecret
Name: mysecret
Namespace: default
Labels: <none>
Annotations: <none>Type: OpaqueData
====
username: 5 bytes
password: 12 bytes
这里有默认的default-token-dfmvc,其实在任何的名称空间下都有
[root@k8s-master secret]# kubectl get secret -n kube-system
NAME TYPE DATA AGE
default-token-hdkh5 kubernetes.io/service-account-token 3 42d
K8s会为每个名称空间下都创建sa用于pod挂载
2.使用方式
1.将 Secret 挂载到 Volume 中
[root@k8s-master secret]# cat mytest.yml
apiVersion: v1
kind: Pod
metadata:name: secret-test
spec:volumes:- name: secretssecret:secretName: mysecretcontainers: - name: busyboximage: busyboxcommand: ["/bin/sh","-c","sleep 3600s"]volumeMounts: - name: secrets mountPath: "/etc/secrets" readOnly: true
[root@k8s-master secret]# kubectl exec -it secret-test -- /bin/sh
/ # cd /etc/secrets/
/etc/secrets # ls
password username/etc/secrets # cat password
1f2d1e2e67df
/etc/secrets # cat username
Admin
可以看到在创建的时候是加密保存的,在使用的时候会自动完成解密
2、将 Secret 导出到环境变量中
[root@k8s-master secret]# kubectl apply -f mytest1.yml
pod/secret-test-env created
[root@k8s-master secret]# cat mytest1.yml
apiVersion: v1
kind: Pod
metadata:name: secret-test-env
spec:containers: - name: busyboximage: busyboxcommand: ["/bin/sh","-c","sleep 3600s"]env:- name: TEST_USERvalueFrom:secretKeyRef:name: mysecretkey: username- name: TEST_PASSWORDvalueFrom:secretKeyRef:name: mysecretkey: password
[root@k8s-master secret]# kubectl exec -it secret-test-env -- /bin/sh
/ # echo $TEST_USER
admin
/ # echo $TEST_PASSWORD
1f2d1e2e67df
Secret保存docker仓库认证信息 harbor
对于公司内部的项目, 我们不可能使用公有开放的镜像仓库, 一般情况可能会花钱买 docker
私仓服务, 或者说自己在服务器上搭建自己的私仓, 但不管怎样, 我们如何让k8s
能够拉取私有仓库的镜像
使用 Kuberctl 创建 docker registry 认证的 secret,格式如下
kubectl create secret docker-registry myregistrykey --docker-server=DOCKER_REGISTRY_SERVER --docker-username=DOCKER_USER --docker-password=DOCKER_PASSWORD --docker-email=DOCKER_EMAIL
[root@k8s-master ~]# kubectl create secret docker-registry myregistrykey --docker-server=hub.test.com --docker-username=admin --docker-password=Harbor12345 --docker-email=test@163.com
secret/myregistrykey created
[root@k8s-master ~]# kubectl describe secret myregistrykey
Name: myregistrykey
Namespace: default
Labels: <none>
Annotations: <none>Type: kubernetes.io/dockerconfigjsonData
====
.dockerconfigjson: 129 bytes
其中:
regsecret: 指定密钥的键名称, 可自行定义
--docker-server: 指定docker
仓库地址
--docker-username: 指定docker
仓库账号
--docker-password: 指定docker
仓库密码
--docker-email: 指定邮件地址(选填)
yml
文件加入密钥参数
在创建 Pod 的时候,通过imagePullSecrets来引用刚创建的 `myregistrykey`
apiVersion: v1
kind: Pod
metadata: name: foo
spec: containers: - name: foo image: reg.harbor.com/library:v1 imagePullSecrets: - name: myregistrykey
其中imagePullSecrets
是声明拉取镜像时需要指定密钥, myregistrykey
必须和上面生成密钥的键名一致, 另外检查一下pod
和密钥是否在同一个namespace
, 之后k8s
便可以拉取镜像
Kubernetes secret使用详解相关推荐
- 容器编排技术 -- Kubernetes kubectl create secret 命令详解
容器编排技术 -- Kubernetes kubectl create secret 命令详解 1 kubectl create secret 2 语法 3 参考: kubectl create se ...
- kubernetes,service详解下
kubernetes,service详解下 HeadLiness类型的Service 在某些场景中,开发人员可能不想使用Service提供的负载均衡功能,而希望自己来控制负载均衡策略,针对这种情况,k ...
- 自动化集成:Kubernetes容器引擎详解
同系列推荐: Jenkins管理工具详解 Pipeline流水语法详解 Docker容器入门简介 Pipeline整合Docker容器 微服务组件二次浅封装 前言:该系列文章,围绕持续集成:Jenki ...
- Kubernetes中Secret使用详解
全栈工程师开发手册 (作者:栾鹏) 架构系列文章 Secret解决了密码.token.密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中.Secret可以以Volume或 ...
- 使用acs-engine在Azure中国区部署kubernetes集群详解
1. acs-engine简介 ACS是微软在2015年12月推出的一项基于容器的云端PaaS服务.说简单点,acs-engine就是一个ARM模板生成器,用户只需要配置几个简单的参数来描述容器集群的 ...
- 9、Kubernetes控制器Controller详解
文章目录 一.Statefulset(有状态应用) 1.1 无状态应用 1.2 有状态应用 1.3 部署有状态应用 二.DaemonSet(守护进程) 三Job和CronJob(定时任务) 3.1 J ...
- cisco ios enable password与enable secret设置详解
enable,俗称特权密码.不同的级别,可以执行的命令大不相同.从低级别进入到高级别,需要输入相对应高级别的enable密码.本文重点分析enable password与enable secret的区 ...
- Kubernetes的Pod详解
文章目录 Pod生命周期 创建和终止 初始化容器 钩子函数 容器探测 示例 重启策略 Pod调度 定向调度 亲和性调度 污点和容忍 污点(Taints) 容忍(Toleration) Pod生命周期 ...
- Kubernetes DaemonSet使用详解
Kubernetes DaemonSet tags: DaemonSet 有时候如果你爱一个人,就要形同陌路. --<银翼杀手2049> 文章目录 Kubernetes DaemonSet ...
最新文章
- 工业传感器:工业互联网的第一道门
- 计算机教 学计划书,计算机教师工作计划个人范例
- 关于mysql的内部联结
- http协议与服务器通信,iPhone应用用HTTP协议和服务器通信
- 微信支付带动交易超720万元 核销首日武汉人开启“全城用券”模式
- 小贷公司的风险成因及应对策略——策略篇
- Spring注解@ConfigurationPropertie
- CVE-2020-11945 Squid未授权整数溢出分析
- html排版跟代码不一致_用壹伴助手,几分钟搞定公众号排版
- 【优化预测】基于matlab粒子群算法优化DBN预测【含Matlab源码 1420期】
- 黑客帝国屏幕保护源码
- 完全免费的在线遥感影像下载器-转载
- Adadelta理解
- C4D插件X-Particles粒子特效(七)
- php仿抖音短视频小程序开发,微信小程序中实现类似抖音短视频切换效果
- 小案例:利用图床自动化批量上传图片并获取图片链接
- 南通大学计算机学院本科考研,南通大学各学院2021考研分数线已公布
- 计算机加法的运算规则,计算机眼中的加法运算
- c语言开发dota,DOTA 6.70C AI简体中文修正版下载
- anaconda环境安装搜不到的环境
热门文章
- win10找不到输入法问题的解决办法
- VS2012安装DirectX SDK(DXSDK_Feb10)
- 03【若依框架解读】Tree树形结构的控制(菜单,部门)
- 小米A1(小米5X国际版)刷机完全指南
- html盒子连续点击连续移动,html盒子整体向下移动
- 《开源软件开发导论》作业1
- Beyond Homophily in Graph Neural Networks: Current Limitations and Effective Designs 论文理解
- 「硬核讲解」通达信跨周期引用均线指标公式
- python32位和64位有什么区别_python64位和32位区别
- Android studio 放大字体