k8s實踐(7)- k8s Secrets

原創 hguisu 2020-06-21 01:35

Secrets是Kubernetes中一種對象類型,用來保存密碼、私鑰、口令等敏感信息。與直接將敏感信息嵌入image、pod相比,Secrets更安全、更靈活,用戶對敏感信息的控制力更強。同Docker對敏感信息的管理類似,首先用戶創建Secrets將敏感信息加密後保存在集羣中,創建pod時通過volume、環境變量引用Secrets。

1. Secret類型

Secret有三種類型:

  • Opaque:使用base64編碼存儲信息,可以通過base64 --decode解碼獲得原始數據,因此安全性弱。
  • kubernetes.io/dockerconfigjson:用於存儲docker registry的認證信息。作用於Docker registry(nexus),用戶下載docker鏡像認證使用。
  • kubernetes.io/service-account-token:用於被 serviceaccount 引用。serviceaccout 創建時 Kubernetes 會默認創建對應的 secret。Pod 如果使用了 serviceaccount,對應的 secret 會自動掛載到 Pod 的 /run/secrets/kubernetes.io/serviceaccount 目錄中。

2. Opaque Secret

Opaque類型的Secret,其value爲base64編碼後的值。

2.1 從文件中創建Secret

分別創建兩個名爲username.txt和password.txt的文件:

$ echo -n "admin" > ./username.txt
$ echo -n "1f2d1e2e67df" > ./password.txt

使用kubectl create secret命令創建secret:

$ kubectl create secret generic db-user-pass --from-file=./username.txt --from-file=./password.txt
secret "db-user-pass" created

2.2 使用描述文件創建Secret

首先使用base64對數據進行編碼:

$ echo -n 'admin' | base64
YWRtaW4=
$ echo -n '1f2d1e2e67df' | base64
MWYyZDFlMmU2N2Rm

創建一個類型爲Secret的描述文件:

apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  username: YWRtaW4=
  password: MWYyZDFlMmU2N2Rm

$ kubectl create -f ./secret.yaml
secret "mysecret" created

查看此Secret:

$ kubectl get secret mysecret -o yaml
apiVersion: v1
data:
  username: YWRtaW4=
  password: MWYyZDFlMmU2N2Rm
kind: Secret
metadata:
  creationTimestamp: 2016-01-22T18:41:56Z
  name: mysecret
  namespace: default
  resourceVersion: "164619"
  selfLink: /api/v1/namespaces/default/secrets/mysecret
  uid: cfee02d6-c137-11e5-8d73-42010af00002
type: Opaque

2.3 Secret的使用

創建好Secret之後,可以通過兩種方式使用:

  • 以Volume方式
  • 以環境變量方式

2.3.1 將Secret掛載到Volume中

apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: mypod
    image: redis
    volumeMounts:
    - name: foo
      mountPath: "/etc/foo"
      readOnly: true
  volumes:
  - name: foo
    secret:
      secretName: mysecret

進入Pod查看掛載的Secret:

# ls /etc/secrets
password  username
# cat  /etc/secrets/username
admin
# cat  /etc/secrets/password
1f2d1e2e67df

也可以只掛載Secret中特定的key:

apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: mypod
    image: redis
    volumeMounts:
    - name: foo
      mountPath: "/etc/foo"
      readOnly: true
  volumes:
  - name: foo
    secret:
      secretName: mysecret
      items:
      - key: username
        path: my-group/my-username

在這種情況下:

  • username 存儲在/etc/foo/my-group/my-username中
  • password未被掛載

2.3.2 將Secret設置爲環境變量

apiVersion: v1
kind: Pod
metadata:
  name: secret-env-pod
spec:
  containers:
  - name: mycontainer
    image: redis
    env:
      - name: SECRET_USERNAME
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: username
      - name: SECRET_PASSWORD
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: password
  restartPolicy: Never

3. kubernetes.io/dockerconfigjson

kubernetes.io/dockerconfigjson用於存儲docker registry的認證信息,可以直接使用kubectl create secret命令創建:

$ kubectl create secret docker-registry myregistrykey --docker-server=DOCKER_REGISTRY_SERVER --docker-username=DOCKER_USER --docker-password=DOCKER_PASSWORD --docker-email=DOCKER_EMAIL
secret "myregistrykey" created.

查看secret的內容:

$ kubectl get secret myregistrykey  -o yaml
apiVersion: v1
data:
  .dockercfg: eyJjY3IuY2NzLnRlbmNlbnR5dW4uY29tL3RlbmNlbnR5dW4iOnsidXNlcm5hbWUiOiIzMzIxMzM3OTk0IiwicGFzc3dvcmQiOiIxMjM0NTYuY29tIiwiZW1haWwiOiIzMzIxMzM3OTk0QHFxLmNvbSIsImF1dGgiOiJNek15TVRNek56azVORG94TWpNME5UWXVZMjl0In19
kind: Secret
metadata:
  creationTimestamp: 2017-08-04T02:06:05Z
  name: myregistrykey
  namespace: default
  resourceVersion: "1374279324"
  selfLink: /api/v1/namespaces/default/secrets/myregistrykey
  uid: 78f6a423-78b9-11e7-a70a-525400bc11f0
type: kubernetes.io/dockercfg

通過 base64 對 secret 中的內容解碼:

$ echo "eyJjY3IuY2NzLnRlbmNlbnR5dW4uY29tL3RlbmNlbnR5dW4iOnsidXNlcm5hbWUiOiIzMzIxMzM3OTk0IiwicGFzc3dvcmQiOiIxMjM0NTYuY29tIiwiZW1haWwiOiIzMzIxMzM3OTk0QHFxLmNvbSIsImF1dGgiOiJNek15TVRNek56azVORG94TWpNME5UWXVZMjl0XXXX" | base64 --decode
{"ccr.ccs.tencentyun.com/XXXXXXX":{"username":"3321337XXX","password":"123456.com","email":"[email protected]","auth":"MzMyMTMzNzk5NDoxMjM0NTYuY29t"}}

也可以直接讀取 ~/.dockercfg 的內容來創建:

$ kubectl create secret docker-registry myregistrykey \
  --from-file="~/.dockercfg"

在創建 Pod 的時候,通過 imagePullSecrets 來引用剛創建的 myregistrykey:

apiVersion: v1
kind: Pod
metadata:
  name: foo
spec:
  containers:
    - name: foo
      image: janedoe/awesomeapp:v1
  imagePullSecrets:
    - name: myregistrykey

 

4. kubernetes.io/service-account-token

用於被 serviceaccount 引用。serviceaccout 創建時 Kubernetes 會默認創建對應的 secret。Pod 如果使用了 serviceaccount,對應的 secret 會自動掛載到 Pod 的 /run/secrets/kubernetes.io/serviceaccount 目錄中。

$ kubectl run nginx --image nginx
deployment "nginx" created
$ kubectl get pods
NAME                     READY     STATUS    RESTARTS   AGE
nginx-3137573019-md1u2   1/1       Running   0          13s
$ kubectl exec nginx-3137573019-md1u2 ls /run/secrets/kubernetes.io/serviceaccount
ca.crt
namespace
token

參考文章


 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

雲原生週刊:K8s 上的 gRPC 名稱解析和負載平衡

開源項目推薦 Kraken Kraken 是一個基於 P2P 的 Docker 註冊表,專注於可擴展性和可用性。它專爲混合雲環境中的 Docker 鏡像管理、複製和分發而設計。藉助可插拔的後端支持,Kraken 可以輕鬆集成到現有的 Doc

原創 2024-05-27 23:16:27

定時清理服務器上log文件,清理docker日誌文件

/var/spool/cron/root #00 18 * * * /usr/bin/curl https://www.xxxx.com/app/index.php?i=5\&c=entry\&do=printpreorder\&m=ca

原創 2024-05-25 10:45:40

Docker on Centos-docker-compose

1、查看網絡 docker network ls docker network inspect $container_name 2、docker-compose微服務庫擴容 前提:application.yml配置文件要做相應調整 dock

原創 2024-05-20 11:27:29

KubeKey v3.1 發佈:快速自定義離線安裝包

日前,KubeKey v3.1 正式發佈。該版本主要對離線場景部署、離線包製作以及向 Kubernetes v1.24+ 升級進行了優化。 KubeKey 簡介 KubeKey 是 KubeSphere 社區開源的一款高效集羣部署工具,運

原創 2024-05-17 23:16:50

win 環境下 docker 的使用整理

1、下載: https://www.docker.com/products/docker-desktop/   如果電腦分多個盤,建議下載到可用存儲較大的盤,安裝的時候默認安裝到 C 盤,安裝完成後雙擊啓動   如果出現【Docker

原創 2024-05-17 00:25:04

AI 一鍵生成高清短視頻,視頻 UP 主們捲起來...

現在短視頻越來越火,據統計,2023年全球短視頻用戶數量已達 10 億,預計到2027年將突破 24 億。對於產品展示和用戶營銷來說,短視頻已經成爲重要陣地,不管你喜不喜歡它,你都得面對它,學會使用它。 但是,優質短視頻的持續輸出對視頻創作

原創 2024-05-15 21:17:30

Docker 使用 CentOS 鏡像

使用 docker run 直接運行 CentOS 7 鏡像,並登錄 bash。   C:\Users\yhu>docker run -it centos:centos7 bash Unable to find image 'c

原創 2024-05-15 11:11:36

界面組件DevExpress Reporting v24.1預覽版 - 擁有原生Angular報表查看器

DevExpress Reporting是.NET Framework下功能完善的報表平臺,它附帶了易於使用的Visual Studio報表設計器和豐富的報表控件集,包括數據透視表、圖表,因此您可以構建無與倫比、信息清晰的報表。 下一個主要

原創 2024-05-14 12:21:34

docker學習筆記一:本地鏡像管理

一:封裝容器爲新的鏡像文件 查看本地現有鏡像 命令:docker images 以f1cb7c7d58b7爲鏡像創建一個容器testb,在後臺運行。 命令:docker run --name testb -it -d f1cb7c

osc_7cws6vmd 2024-05-14 01:06:48

樹莓派真是個讓人慾罷不能的“小妖精”

大晚上不睡覺、枸杞泡起來@我 一個月之前、自從入了樹莓派4b 8g板之後、就無法自拔,上班除了開發業務代碼和搭建內部UI組件庫之外,就是不亦樂乎的學習docker、mysql、mongodb、php、python、frp等,採購了阿里雲E

osc_51airx3z 2024-05-14 00:37:28

Flink1.12 文檔

API 移除掉 ExecutionConfig 中過期的方法 移除掉了 ExecutionConfig#isLatencyTrackingEnabled 方法, 你可以使用 ExecutionConfig#getLatencyTracki

osc_bv96h8zs 2024-05-13 21:17:28

Linux 服務器配置-安裝portainer-ce社區版

操作系統Debian12 1. portainer 簡介 Portainer 是一個開源的輕量級容器管理工具,主要用於 Docker 和 Swarm 環境的可視化管理和操作。通過 Portainer,用戶可以通過簡潔易用的 Web UI

原創 2024-05-13 13:22:00

Linux服務器配置-安裝docker-ce社區版

1.查看linux內核版本和系統版本 docker的安裝和運行對linux版本和系統是有要求的。 查看linux內核版本 uname -a root@server88:~# uname -a Linux server88 6.1.0-18-

原創 2024-05-13 13:21:57

Docker 的 Busybox 操作系統鏡像

BusyBox是一個遵循GPL協議、以自由軟件形式發行的應用程序。 Busybox在單一的可執行文件中提供了精簡的Unix工具集,可運行於多款POSIX環境的操作系統,例如Linux(包括Android)、Hurd、FreeBSD等等。 由

原創 2024-05-13 11:45:19

使用NPS自建內網穿透服務器教程,帶WEB管理

自帶WEB管理的輕量級內網穿透工具NPS的各種搭建方式和使用教程,支持X86、ARM、MIPS平臺。 NPS介紹 nps是一款輕量級、高性能、功能強大的內網穿透代理服務器。目前支持TCP、UDP流量轉發,可支持任何tcp、udp上層協議(訪

Darren_Leo 2024-05-13 02:05:53