14、Kubernetes 存儲 Secret

原創 天龙至尊 2020-03-13 13:13

Secret 存在意義

Secret 解決了密碼、token、密鑰等敏感數據的配置問題,而不需要把這些敏感數據暴露到鏡像或者 Pod Spec中。Secret 可以以 Volume 或者環境變量的方式使用

Secret 有三種類型:
  • Service Account:用來訪問 Kubernetes API,由 Kubernetes 自動創建,並且會自動掛載到 Pod 的/run/secrets/kubernetes.io/serviceaccount目錄中
  • Opaque:base64編碼格式的Secret,用來存儲密碼、密鑰等
  • kubernetes.io/dockerconfigjson:用來存儲私有 docker registry 的認證信息

Service Account

Service Account 用來訪問 Kubernetes API,由 Kubernetes 自動創建,並且會自動掛載到 Pod的/run/secrets/kubernetes.io/serviceaccount目錄中
apiVersion: apps/v1
kind: Deployment
metadata:
  name: nginx
spec:
  replicas: 1
  selector:
    matchLabels:
      app: nginx-deploy
  template:
    metadata:
      labels:
        app: nginx-deploy
    spec:
      containers:
      - name: nginx-deployment
        image: nginx
        env:
        - name: GET_HOSTS_FROM
          value: dns
        ports:
        - containerPort: 80

kubectl exec nginx-75cd57fb6-v9t84 -it /bin/sh

在這裏插入圖片描述

Opaque Secret

1、創建說明

Opaque 類型的數據是一個 map 類型,要求 value 是 base64 編碼格式:
echo -n "admin" | base64
YWRtaW4=
echo -n "wtl199201180271" | base64
d3RsMTk5MjAxMTgwMjcx

secrets.yml

apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  password: d3RsMTk5MjAxMTgwMjcx
  username: YWRtaW4=

2、使用方式

2.1、將 Secret 掛載到 Volume 中
apiVersion: v1
kind: Pod
metadata:
  labels:
    name: secret-test
  name: secret-test
spec:
  volumes:
  - name: secrets
    secret:
      secretName: mysecret
  containers:
  - image: wangyanglinux/myapp:v1
    name: db
    volumeMounts:
    - name: secrets
      mountPath: "/etc/secret"
      readOnly: true

在這裏插入圖片描述

2.2、將 Secret 導出到環境變量中
apiVersion: apps/v1
kind: ReplicaSet
metadata:
  name: nginx
spec:
  replicas: 3
  selector:
    matchLabels:
      tier: nginx-deploy
  template:
    metadata:
      labels:
        tier: nginx-deploy
    spec:
      containers:
      - name: nginx-deployment
        image: wangyanglinux/myapp:v1
        ports:
        - containerPort: 80
        env:
        - name: TEST_USER
          valueFrom:
            secretKeyRef:
              name: mysecret
              key: username
        - name: TEST_PASSWORD
          valueFrom:
            secretKeyRef:
              name: mysecret
              key: password

kubernetes.io/dockerconfigjson

使用 Kuberctl 創建 docker registry 認證的 secret
kubectl create secret docker-registry myregistrykey --docker-server=DOCKER_REGISTRY_SERVER --docker-username=DOCKER_USER --docker-password=DOCKER_PASSWORD --docker-email=DOCKER_EMAIL
在創建 Pod 的時候,通過imagePullSecrets來引用剛創建的 myregistrykey
apiVersion: v1
kind: Pod
metadata:
  name: pod-test
spec:
  containers:
  - name: container-test
    image: hub.ljxwtl.cn/library/nginx-deployment:v1.0
  imagePullSecrets:
  - name: myregistrykey
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

乾貨收藏!Calico的BGP RouteReflector策略實踐

本文分享自華爲雲社區《Calico BGP RouteReflector策略實踐》,作者:可以交個朋友。 一 背景 容器網絡組件Calico支持多種後端模式,有Overlay的IPIP、Vxlan模式,也有Underlay純路由的BGP模

原創 2024-05-29 22:58:38

想提高閱讀代碼的效率?試試這些工具吧!

前言 程序員間有句名言——“Talk is cheap, show me the code!”源碼的確相較於言語更接近程序真實的狀態,包含了更多的一手信息。因此,無論是剛開始學習代碼的小白還是久經沙場的代碼大神,不管是學習優秀的開源項目

京東雲開發者 2024-06-13 23:54:57

二進制文件查看工具和方法

查看二進制文件可以通過多種方法實現,取決於你想要的具體信息和你使用的操作系統。以下是一些常見的方法和工具: 使用十六進制編輯器 十六進制編輯器可以顯示文件的十六進制表示和對應的ASCII字符。這些工具非常適合查看和編輯二進制文件。 Win

原創 2024-05-30 02:27:38

scp遠程連接複製文件或目錄

文件拷貝 將本地文件拷貝到遠程服務器中 scp 本地文件 遠程服務用戶名@遠程服務器IP地址:指定拷貝到遠程服務器的文件夾路徑 或 scp 本地文件 遠程服務用戶名@遠程服務器名稱:指定拷貝到遠程服務器的文件夾路徑  將遠程服務器

原創 2024-05-30 00:06:48

centos7按照MYSQL8(安裝包)

查詢Linux的clibc版本 rpm -qa | grep glibc 現在mysql官網找到對應glibc版本的下載url 然後在linux內下載 wget https://dev.mysql.com/get/Downloads

Rsky08 2024-05-29 22:15:17

技術解讀華爲雲CCE Autopilot,k8s集羣託管免運維

本文分享自華爲雲社區《華爲雲CCE Autopilot:全面“自動駕駛”時代的引領者》,作者: 雲容器大未來。 華爲雲隆重推出雲容器Serverless產品CCE Autopilot,引領容器服務進入全面“自動駕駛

原創 2024-06-13 22:57:43

Fluid 1.0 版發佈,打通雲原生高效數據使用的“最後一公里”

作者:顧榮 前言 得益於雲原生技術在資源成本集約、部署運維便捷、算力彈性靈活方面的優勢,越來越多企業和開發者將數據密集型應用,特別是 AI 和大數據領域應用,運行於雲原生環境中。然而,雲原生計算與存儲分離架構雖然帶來了資源經濟性與擴容靈活性

原創 2024-06-13 21:13:48

基於 Nginx Ingress + 雲效 AppStack 實現灰度發佈

作者:子醜 場景簡介 灰度發佈是降低生產部署風險,提升線上服務穩定性的重要手段,這在當前快速迭代的軟件研發中尤爲重要。相對於 K8s 默認的滾動部署或者簡單的 Pod 分批,基於流量特徵的灰度發佈驗證更精準,風險更低。 在雲原生場景下,基於

原創 2024-06-13 21:13:47

使用 KubeKey v3.1.1 離線部署原生 Kubernetes v1.28.8 實戰

今天,我將爲大家實戰演示,如何基於操作系統 openEuler 22.03 LTS SP3,利用 KubeKey 製作 Kubernetes 離線安裝包,並實戰離線部署 Kubernetes v1.28.8 集羣。 實戰服務器配置 (架構

原創 2024-06-12 23:15:13

使用tofu替換terraform入門指導

1. 什麼是 ToFu tofu 是 terraform 的一個開源分支, 因爲在 2023 年 8 月 10 日 terraform 的許可從 Mozilla Public License (v2.0) (the “MPL”)變爲了 Bu

原創 2024-06-11 23:55:06

雲原生週刊:Kubernetes 十週年 | 2024.6.11

開源項目推薦 Kubernetes Goat Kubernetes Goat 是一個故意設計成有漏洞的 Kubernetes 集羣環境,旨在通過交互式實踐場地來學習並練習 Kubernetes 安全性。 kube-state-metrics

原創 2024-06-11 23:16:00

超越預期:Containerd 如何成爲 Kubernetes 的首選容器運行時

> 作者:尹珉,KubeSphere Ambassado,rKubeSphere Contributor,KubeSphere 社區用戶委員會杭州站站長。 踏上 Containerd 技術之旅 容器技術已經成爲現代軟件開發和部署的核心工

原創 2024-06-06 23:16:14

雲原生時代:從 Jenkins 到 Argo Workflows,構建高效 CI Pipeline

作者:蔡靖 Argo Workflows Argo Workflows [ 1] 是用於在 Kubernetes 上編排 Job 的開源的雲原生工作流引擎。可以輕鬆自動化和管理 Kubernetes 上的複雜工作流程。適用於各種場景,包括定

原創 2024-06-05 21:13:46

重磅推出:Milvus Lite 正式上線,幾秒內即可輕鬆搭建 GenAI 應用

和超薄筆記本一樣輕便、強大的 Milvus Lite 正式上線! Milvus Lite(https://milvus.io/docs/milvus_lite.md)是一個輕量級向量數據庫,支持本地運行,可用於搭建 Python 應用,由

原創 2024-06-02 02:22:45

Kubernetes 生命週期事件處理函數 postStart 和 preStop

在 Kubernetes 中,您可以通過爲容器的生命週期事件設置處理函數來執行命令。Kubernetes 支持兩種生命週期事件處理函數:postStart 和 preStop。 postStart 處理函數:在容器創建後立即執行。這個處

原創 2024-05-31 14:05:26