【K8s】专题五(2):Kubernetes 配置之 Secret

原创 已于 2024-08-29 12:39:01 修改 · 840 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #云原生 #容器 #secret

于 2024-06-14 12:14:16 首次发布

本文内容均来自个人笔记并重新梳理,如有错误欢迎指正!

如果对您有帮助,烦请点赞、关注、转发、订阅专栏!

专栏订阅入口

Linux 专栏 | Docker 专栏 | Kubernetes 专栏

往期精彩文章

【Docker】(全网首发)Kylin V10 下 MySQL 容器内存占用异常的解决方法

【Docker】(全网首发)Kylin V10 下 MySQL 容器内存占用异常的解决方法(续)

【Docker】MySQL 源码构建 Docker 镜像(基于 ARM 64 架构)

目录

一、基本介绍

二、主要特性

三、资源清单(示例)

四、常用操作

1、创建 Secret

2、更新 Secret

3、查看 Secret

4、删除 Secret

一、基本介绍

在 Kubernetes 中,Secret 是一种用于存储敏感信息的资源对象,提供了向 Pod 注入配置信息的能力。

Secret 同 ConfigMap 一样,使用一系列键值对(key-value pairs)为应用程序提供经过 base64 编码的配置信息,使得应用程序的配置更加灵活,并增强了可移植和安全性。

Secret 详细介绍:Secrets | Kubernetes

二、主要特性
  • 敏感信息:Secret 用于存储密码、密钥等敏感信息,而不是将它们以明文形式存储在 Docker 镜像或配置文件中
  • 区分类型:同 ConfigMap 不同,Secret 区分类型,如 Opaque、kubernetes.io/dockerconfigjson 
  • 加密存储:在 Kubernetes 1.7 及以后的版本中,Secret 数据在 etcd 中默认以加密形式存储
  • 命名空间:Secret 是命名空间级别的资源,其作用域被限制在特定的命名空间内
  • API 管理:可以通过 Kubernetes API 来创建、更新和删除 Secret

三、资源清单(示例)
# secret.yaml
apiVersion: v1
kind: Secret
metadata:
  name: demo-secret
type: Opaque
data:
  password: MTIzNDU2Cg==           # 键值为 123456 的 base64 编码

🔔 Secret 对象类型
Opaque:任意用户定义的数据
kubernetes.io/service-account-token:服务帐户令牌
kubernetes.io/dockercfg:序列化~/.dockercfg文件
kubernetes.io/dockerconfigjson:用于存储 docker registry 认证信息
kubernetes.io/basic-auth:基本身份验证凭证
kubernetes.io/ssh-auth:SSH身份验证的凭据
kubernetes.io/tls:TLS客户端或服务器的数据
bootstrap.kubernetes.io/token:引导令牌数据

上述 secret.yaml 文件定义了一个名为 demo-secret 的 Secret 对象,Secret 类型为 Opaque,data 下定义了一组键值对作为环境变量,其中键值为 123456 的 base64 编码。

说明:可以通过以下命令查看 Secret 资源清单支持定义的内容

kubectl explain secret --recursive

四、常用操作
1、创建 Secret
# 方式一:使用目录或文件
kubectl create secret generic demo-secret --from-file=<目录名称或文件名称>
 
🔔 说明:本方式创建的 Secret 对象中,每一组键值对的 key 是文件名,value 是文件内容,并对 value 进行 base64 编码
 
# 方式二:使用 env 文件
kubectl create secret generic demo-secret --from-env-file=<env文件名称>
 
🔔 说明:本方式创建的 Secret 对象中,直接将 env 文件中 key=value 形式转换为 key:value 形式,并对 value 进行 base64 编码
 
# 方式三:使用字符串
kubectl create secret generic demo-secret --from-literal=key1=value1 --from-literal=key2=value2
 
# 方式四:使用资源清单
kubectl create -f secret.yaml
或
kubectl apply -f secret.yaml

# 方式五:创建 docker-registry 类型对象
kubectl create secret docker-registry demo-secret \
--docker-server=DOCKER_SERVER \
--docker-username=DOCKER_USER \
--docker-password=DOCKER_PASSWORD

2、更新 Secret
# 方式一:修改文件后重新创建
kubectl create secret generic demo-secret --from-file=<目录名称或文件名称> --dry-run -oyaml | kubectl apply -f -
 
🔔 说明:Secret 对象已经存在的情况下,直接 create 会报错,可以先通过 --dry-run 选项生成资源清单,再通过 apply 进行更新
 
# 方式二:修改资源清单后更新
kubectl apply -f secret.yaml

3、查看 Secret
# 查看实例列表
kubetcl get secret
 
# 查看资源清单
kubetcl get secret demo-secret -o yaml
 
# 查看详细信息
kubectl describe secret demo-secret

4、删除 Secret
# 方式一:命令行
kubectl delete secret demo-secret
 
# 方式二:资源清单
kubectl delete -f secret.yaml

VLLM专题(二十七)—使用 Kubernetes
03-17 500
Kubernetes上部署vLLM是一种可扩展且高效的方式来服务机器学习模型。本指南将引导您使用原生Kubernetes部署vLLM。
云原生:详解|K8s核心对象技术解析
weixin_39552004的博客
10-29 2056
云世 公众号 续前篇:详解|K8s核心技术栈解析 K8s与虚拟机部署的区别、高可用部署的命令、对象如何定义、对象分组原则、Pod、service、deployment等核心对象工作流程、架构、原理解析 K8s应用的好处 假设你是一个开发人员,写了一个web服务器,想把它发布出去。在虚拟机世界里面,这是很困难的: 首先要去建这些虚拟机,要有一个provision的过程:需要去设定什么样的操作系统,要多少CPU,多少memory,然后要想办法把你的应用程序,包括它所依赖的中间件,(比如你的应用是Ja
k8s配置资源管理|secret|configmap
m0_75015568的博客
05-26 1952
k8s配置资源管理|secret|configmap
k8s-secret 配置使用secret
weixin_44204737的博客
04-27 2108
kubernetes.io/basic-auth:用于使用基本认证(账号密码)的Secret,可以使用Opaque取代;secret的使用方式和configmap很像,secret使用加密的方式更加安全,configmap更适合传递配置文件。◆ kubernetes.io/tls:用于存储HTTPS域名证书文件的Secret,可以被Ingress使用;◆ kubernetes.io/dockerconfigjson:下载私有仓库镜像使用的Secret,◆Opaque:通用型Secret,默认类型;
K8s secret配置
杨仕虎的博客
02-09 1955
secret secret用于保存铭感信息,比如密码、ssh-key、令牌等等 存储格式:K/V键值对 使用方式:环境变量和挂载(volumes) 密文方式:base64 创建方式:命令行创建配置清单 使用场景: opaque:通用自定义数据,base64编码 kubernetes.io/service-account-token:用于存储SA用户认证信息 kubernetes.io/dockerconfigjson:用户存储docker仓库认证信息 kubernetes.io/tls:用于tls通讯
k8s怎么配置secret呢?
琳琳的博客
07-15 1253
具体来说,`user`和`password`两个键将分别对应`/etc/secrets/db/user`和`/etc/secrets/db/password`两个文件,文件中存储的是解码后的值。* 首先,编辑一个YAML文件,定义Secret的属性,包括`apiVersion`、`kind`、`metadata`(包括`name`)和`data`(包含base64编码的键值对)。* **作为容器的环境变量**:可以在Pod的定义文件中指定Secret中的某个Key作为环境变量的值。
kubernetessecret介绍
zhangshenglu1的博客
11-25 1333
Kubernetes 中的是一种用于存储敏感信息(如密码、令牌、密钥等)的资源对象。与直接将敏感信息写入 Pod 的配置文件中相比,Secret 提供了一种更加安全和灵活的方式来管理这些信息。用于存储应用程序需要的敏感信息,例如数据库密码、API 密钥、TLS 证书等。避免将敏感信息硬编码在 Pod 的定义中。可以限制 Secret 的访问权限(结合 RBAC 使用)。如果 Secret 被更新,挂载到 Pod 的数据也可以动态更新(适用于挂载为文件的情况)。
精选资源
k8skubernetes)常见运维面试题-专题150题
06-22
根据给定文件的信息,我们可以提炼出一系列与 Kubernetes (k8s) 相关的重要知识点,这些知识点涵盖了容器运维技术的基础及面试中常见的问题。以下是基于提供的文件内容详细展开的知识点: ### 1. Kubernetes 中常见...
系统学习云原生Kubernetes与Service Mesh深度解析
此外,还将涵盖高可用集群搭建、故障排查技巧、性能调优策略以及CI/CD流水线集成方案,确保学习者能够真正掌握企业级K8s集群的建设与运维能力。 而Service Mesh(服务网格)作为云原生微服务架构中的高级形态,也被...
K8S安装监控和日志告警
ufsoko的博客
05-27 1200
Prometheus安装 K8S集群版本:v1.19 华为云CCE平台 飞书机器人通知 1 参考kube-prometheus 文档:https://github.com/prometheus-operator/kube-prometheus/tree/release-0.7 1.1 下载kube-prometheus git clone https://github.com/prometheus-operator/kube-prometheus.git git checkout release-0
K8S 创建 Secret
一直被模仿,从未被超越
12-09 9331
secret用于存储和管理一些敏感数据,比如密码,token,密钥等敏感信息。它把 Pod 想要访问的加密数据存放到 Etcd 中。然后用户就可以通过在 Pod 的容器里挂载 Volume 的方式或者 环境变量 的方式访问到这些 Secret 里保存的信息 Secret 有三种类型 Opaque:base64 编码格式的 Secret,用来存储密码、密钥等;但数据也可以通过base64 –decode解码得到原始数据,所有加密性很弱。 Service Account:用来访问Kubernetes ..
kubernetesSecret
格子的博客
05-24 613
Secret 解决了密码、Token、秘钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Spec 中。Secret可以以 Volume 或者环境变量的方式使用。 使用 Secret 意味着你不需要在应用程序代码中包含机密数据。
KubernetesSecret
xiayping的博客
07-24 360
KubernetesSecret介绍与使用
kubernetessecret
weixin_30698297的博客
07-29 201
secret 作用: 保管私密数据 secret使用场景 1. 创建pod时候, 为pod指定serviceaccount来自动使用secret 2. 通过挂载该secret到pod来使用它 3. 下载docker镜像, 通过指定pod的spec.ImagePullSecrets来引用 4. 生成变量 通过挂载该secret到pod来使用它, pod容器里生成文件 创建secret ...
k8s--Kubernetes存储--Secret配置管理
Gong_yz的博客
03-13 1223
- Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 ssh key。 - 敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。 - Pod 可以用两种方式使用 secret: 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里。 当 kubelet 为 pod 拉取镜像时使用。
k8s 八之secret配置管理
L*YUE的博客
09-15 516
secret介绍 secret作用 secret类型 pod使用secret secret配置使用 默认secret 创建secret 第一种:从文件中创建 第二种:编写一个secret文件 使用secretSecret挂载到Volume 将Secret设置为环境变量 拉取harbor私有仓库镜像
理论+实操:k8S配置参数管理——secret与configmap
Lfwthotpt的博客
05-17 1064
文章目录一:secret概述1.1 创建secret的方法1.2 使用secret的方法二:创建Secret2.1 基于文件创建2.2 基于参数手动创建2.2.1 编辑yaml文件2.3 总结三:使用secret3.1 作为环境变量暴露出来3.2 以volume的形式挂载到pod的某个目录下四:configmap4.1 创建方式4.2 使用kubectl创建4.3 创建yaml文件4.4 使用变量参数形式 secret 安全配置参数 configmap 配置文件参数 一:secret概述 加密数据并存放在e
Kubernetes学习之Secret
Micky_Yang的博客
08-30 1589
一、认识Secret   Secret资源的功能类似于ConfigMap,但是它专用于存放敏感数据,例如密码、数字证书、私钥、令牌和SSH key等。   Secret对象存储数据的方式及使用方法类似于ConfigMap对象,以键值对方式存储数据,在Pod资源中通过环境变量或存储卷进行数据访问。不同的是,Secret对象仅会被分发至调用了此对象的Pod资源所在的工作节点,且只能由节点将其存储于内存中。另外,Secret对象的数据的存储及打印格式为Base64编码的字符串,因此用户在创建Secret对象时也要
K8S - ConfigMap 与 Secret - 应用配置与敏感信息管理
最新发布
weixin_46619605的博客
05-06 1379
K8S - ConfigMap 与 Secret - 应用配置与敏感信息管理
k8s-config:Kubernetes配置存储库
k8s-config:配置存储库这一主题涉及的是在 Kubernetes(简称 k8s)环境中对系统配置进行集中化、版本化和可管理的实践。该配置存储库本质上是一个用于存放 Kubernetes 集群中所有配置文件的代码仓库,通常基于 Git ...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

行者Sun1989

您的鼓励是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值