【Kubernetes】配置管理中心Secret
2024-01-03 01:42:00
配置管理中心Secret
一、简介
1.1、什么是Secret
上面我们学习的Configmap一般是用来存放明文数据的,如配置文件,对于一些敏感数据,如密码、私钥等数据时,要用secret类型。
1.2、Secret能解决什么问题
Secret解决了密码、token、秘钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。
Secret可以以Volume或者环境变量的方式使用。
要使用 secret,pod 需要引用 secret。Pod 可以用两种方式使用 secret:
- 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里
- 当 kubelet 为 pod 拉取镜像时使用。
1.3、Secret可选参数
generic
: 通用类型,通常用于存储密码数据。tls
:此类型仅用于存储私钥和证书。docker-registry
: 若要保存docker仓库的认证信息的话,就必须使用此种类型来创建。
1.4、Secret类型
-
Service Account
用于被 serviceaccount 引用。serviceaccout 创建时 Kubernetes 会默认创建对应的 secret。Pod 如果使用了 serviceaccount,对应的 secret 会自动挂载到 Pod 的 /run/secrets/kubernetes.io/serviceaccount 目录中。 -
Opaque
base64编码格式的Secret,用来存储密码、秘钥等。可以通过base64 --decode解码获得原始数据,因此安全性弱 -
kubernetes.io/dockerconfigjson
用来存储私有docker registry的认证信息。
二、使用Secret
2.1、通过环境变量引入Secret
【1】创建secret
# 把mysql的root用户的password创建成secret
[root@master 15]# cd kubectl create secret generic mysql-password --from-literal=password=xianchaopod**lucky66^C
[root@master 15]# ll
total 0
[root@master 15]# kubectl create secret generic mysql-password --from-literal=password=123456
secret/mysql-password created
[root@master 15]# kubectl get secret
NAME TYPE DATA AGE
mysql-password Opaque 1 7s
[root@master 15]# kubectl describe secret mysql-password
Name: mysql-password
Namespace: default
Labels: <none>
Annotations: <none>
Type: Opaque
Data
====
password: 6 bytes
# password的值是加密的,
# 但secret的加密是一种伪加密,它仅仅是将数据做了base64的编码.
【2】创建pod,引用secret
# 创建pod,引用secret
[root@master 15]# cat pod-secret.yaml
apiVersion: v1
kind: Pod
metadata:
name: pod-secret
labels:
app: myapp
spec:
containers:
- name: myapp
image: ikubernetes/myapp:v1
ports:
- name: http
containerPort: 80
env:
- name: MYSQL_ROOT_PASSWORD # 它是Pod启动成功后,Pod中容器的环境变量名.
valueFrom:
secretKeyRef:
name: mysql-password # 这是secret的对象名
key: password # 它是secret中的key名
[root@master 15]# kubectl apply -f pod-secret.yaml
pod/pod-secret created
[root@master 15]# kubectl exec -it pod-secret -- /bin/sh
/ # printenv
......
MYSQL_ROOT_PASSWORD=123456
2.2、通过volume挂载Secret
【1】创建secret
手动加密,基于base64加密。
[root@master 15]# echo -n 'admin' | base64
YWRtaW4=
[root@master 15]# echo -n 'hj666' | base64
aGo2NjY=
解码:
[root@master 15]# echo aGo2NjY=| base64 -d
hj666
【2】创建yaml文件
[root@master 15]# cat secret.yaml
apiVersion: v1
kind: Secret
metadata:
name: mysecret
type: Opaque
data:
username: YWRtaW4=
password: aGo2NjY=
[root@master 15]# kubectl apply -f secret.yaml
secret/mysecret created
[root@master 15]# kubectl describe secret mysecret
Name: mysecret
Namespace: default
Labels: <none>
Annotations: <none>
Type: Opaque
Data
====
password: 5 bytes
username: 5 bytes
【3】将Secret挂载到Volume中
[root@master 15]# cat pod_secret_volume.yaml
apiVersion: v1
kind: Pod
metadata:
name: pod-secret-volume
spec:
containers:
- name: myapp
image: registry.cn-beijing.aliyuncs.com/google_registry/myapp:v1
volumeMounts:
- name: secret-volume
mountPath: /etc/secret
readOnly: true
volumes:
- name: secret-volume
secret:
secretName: mysecret
[root@master 15]# kubectl apply -f pod_secret_volume.yaml
pod/pod-secret-volume created
[root@master 15]# kubectl exec -it pod-secret-volume -- /bin/sh
/ # ls /etc/secret
password username
/ # cat /etc/secret/username
admin/ # cat /etc/secret/password
hj666/ #
由上可见,在pod中的secret信息实际已经被解密
文章来源:https://blog.csdn.net/qq_40887651/article/details/135347442
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。 如若内容造成侵权/违法违规/事实不符,请联系我的编程经验分享网邮箱:veading@qq.com进行投诉反馈,一经查实,立即删除!
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。 如若内容造成侵权/违法违规/事实不符,请联系我的编程经验分享网邮箱:veading@qq.com进行投诉反馈,一经查实,立即删除!