Kubernetes 项目实战:使用 Kustomize 高效管理 Secret

于 2025-06-10 09:03:14 发布
阅读量210 收藏 5
点赞数 3
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gitblog_00288/article/details/148549376

Kubernetes 项目实战:使用 Kustomize 高效管理 Secret

website Kubernetes website and documentation repo: website 项目地址: https://gitcode.com/gh_mirrors/webs/website

前言

在 Kubernetes 项目中,Secret 是存储敏感信息(如密码、OAuth 令牌和 SSH 密钥)的重要资源对象。传统管理方式往往需要手动进行 base64 编码,操作繁琐且容易出错。本文将详细介绍如何利用 Kustomize 这一强大的配置管理工具来简化 Secret 的创建和管理流程。

Kustomize 简介

Kustomize 是 Kubernetes 原生支持的配置管理工具,它允许用户通过声明式的方式自定义 Kubernetes 资源。与 Helm 等模板工具不同,Kustomize 采用无模板方式,通过覆盖(overlay)机制实现配置的复用和定制。

准备工作

在开始之前,请确保:

  1. 已安装 kubectl 命令行工具
  2. 已配置好 Kubernetes 集群访问权限
  3. 了解基本的 YAML 语法

创建 Secret 的三种方式

1. 使用文字值(Literals)

这是最简单直接的方式,适合快速测试场景:

# kustomization.yaml
secretGenerator:
- name: app-credentials
  literals:
  - db_username=prod_admin
  - db_password=S3cr3tP@ssw0rd

特点

  • 明文写入配置文件
  • 适合非生产环境或临时使用
  • 无需额外文件

2. 使用文件(Files)

更安全的做法是将敏感信息存储在单独的文件中:

# 创建凭证文件
echo -n 'prod_admin' > db-username.txt
echo -n 'S3cr3tP@ssw0rd' > db-password.txt

对应的 kustomization.yaml:

secretGenerator:
- name: app-credentials
  files:
  - db-username.txt
  - db-password.txt

最佳实践

  • 将凭证文件加入 .gitignore
  • 设置适当的文件权限(如 600)
  • 考虑使用加密工具保护这些文件

3. 使用环境变量文件(.env)

对于已有环境变量文件的情况:

# .env.credentials
DB_USER=prod_admin
DB_PASS=S3cr3tP@ssw0rd

kustomization.yaml 配置:

secretGenerator:
- name: app-credentials
  envs:
  - .env.credentials

适用场景

  • 从现有部署脚本迁移
  • 需要与 CI/CD 流程集成
  • 多环境配置管理

高级应用技巧

自动名称哈希

Kustomize 会自动在 Secret 名称后附加哈希值,例如: app-credentials-5hdh7hhgfk

优势

  • 内容变更时自动生成新 Secret
  • 避免配置漂移
  • 支持蓝绿部署

多环境管理

通过 Kustomize 的 overlay 功能管理不同环境的 Secret:

base/
  kustomization.yaml
  resources/
overlays/
  dev/
    kustomization.yaml
    patches/
  prod/
    kustomization.yaml
    patches/

与 ConfigMap 配合使用

可以同时定义 secretGenerator 和 configMapGenerator:

secretGenerator:
- name: db-secret
  files:
  - credentials.txt

configMapGenerator:
- name: app-config
  files:
  - application.properties

注意事项

  1. 安全警告:即使使用文件方式,敏感信息仍会以明文存在于磁盘上
  2. 版本控制:切勿将包含真实凭证的 kustomization 文件提交到版本控制系统
  3. RBAC 配置:确保只有授权人员能访问包含 Secret 的目录
  4. 审计日志:记录 Secret 的创建和修改操作

实际应用示例

假设我们需要为微服务架构创建多个 Secret:

# kustomization.yaml
secretGenerator:
- name: db-credentials
  literals:
  - username=service_user
  - password=DB@Pass123

- name: redis-config
  files:
  - redis-password.txt

- name: api-keys
  envs:
  - .api-keys.env

应用配置:

kubectl apply -k .

维护与更新

当需要更新 Secret 时:

  1. 修改源文件(.txt/.env)或 kustomization.yaml
  2. 重新应用配置:kubectl apply -k .
  3. 滚动更新相关 Pod 以使用新 Secret

清理资源

删除所有生成的 Secret:

kubectl delete secret --selector generated-by=kustomize

总结

通过 Kustomize 管理 Kubernetes Secret 提供了以下优势:

  1. 简化流程:自动处理 base64 编码
  2. 版本安全:内容变更自动生成新资源
  3. 灵活集成:支持多种数据源格式
  4. 声明式管理:与 GitOps 工作流完美契合

对于复杂的生产环境,建议将 Kustomize 与专业的密钥管理服务(如 Vault)结合使用,实现最高级别的安全保护。

website Kubernetes website and documentation repo: website 项目地址: https://gitcode.com/gh_mirrors/webs/website

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

Golang 领域 gRPC 与 Kubernetes 的集成实践
Golang编程笔记的博客
04-25 572
随着云原生技术的普及,基于 Golang 的微服务架构广泛采用 gRPC 作为远程通信方案,而 Kubernetes 则成为容器化部署的事实标准。如何利用 Kubernetes 原生服务发现机制实现 gRPC 客户端的动态寻址如何在容器环境中优化 gRPC 的负载均衡与连接管理如何保障跨服务通信的安全性和可靠性如何设计适应 Kubernetes 弹性伸缩的 gRPC 服务架构。
云原生战争:C#应用的容器化长征与Kubernetes帝国争霸
墨夶的博客
06-04 461
文章摘要 本文介绍了C#应用在云原生环境中的容器化与部署实践。首先通过Docker多阶段构建优化镜像大小和安全性,使用非root用户运行。其次,利用Docker Compose编排本地开发环境,集成数据库并持久化数据。在Kubernetes集群中,通过Deployment定义应用副本和资源限制,配置健康检查确保高可用;Service提供内部通信,并可扩展Ingress支持外部访问。结合Istio实现流量管理和灰度发布,增强安全性和可观测性。此外,通过GitHub Actions实现自动化CI/CD流水线,确
使用 kustomize 管理 kubernetes 对象
qq_22648091的博客
04-08 809
Kustomize 是一个独立的工具,用来通过 kustomization 文件 定制 Kubernetes 对象。不需要学习使用 模版语言大部分可以直接使用 Kubernetes 资源的原生 yaml 文件实现对资源的定制,更新。可以说比较直观。易上手、没有复杂的逻辑、学习成本低,特别比较适合运维人员。对多个资源进行整合,比如,将 Deployment 和 Service 资源文件合并到一个 YAML 文件中。给一个目录中多个资源设置名称、名字空间,增加相同的labels和等。
Kubernetes 企业项目实战】11、掌握 Kubernetes Kustomize 技术从入门到企业实战(下)
GG Bond 的博客
04-06 1272
kustomize 从入门到进阶
Kubernetes 企业项目实战】10、掌握 Kubernetes Kustomize 技术从入门到企业实战(上)
GG Bond 的博客
04-06 1360
kustomize 从入门到进阶
Kubernetes 实战使用 kubectl 管理 Secret 对象
gitblog_01198的博客
06-10 402
Kubernetes 实战使用 kubectl 管理 Secret 对象 website Kubernetes website and documentation repo: 项目地址: https://gitcode.com...
【云原生 | Kubernetes 系列】K8s 实战 管理 Secret 详解
半身风雪
08-25 2188
Secret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 这样的信息可能会被放在 Pod 规约中或者镜像中。 用户可以创建 Secret,同时系统也创建了一些 Secret
【云原生 Kubernetes 系列】K8s 实战 使用 KustomizeKubernetes 对象进行声明式管理_configmapgenerator(2)
2401_84182507的博客
05-03 736
补丁文件中的名称必须与已经加载的资源的名称匹配。为了给 JSON 补丁找到正确的资源,需要在 kustomization.yaml 文件中指定资源的组(group)、 版本(version)、类别(kind)和名称(name)。除此以外,为生成的 ConfigMap 和 Secret 指定贯穿性选项也是可以的。你可以将 resources 列表中的路径设置为资源配置文件的路径。要在 Deployment 中使用生成的 ConfigMap,使用 configMapGenerator 的名称对其进行引用。
云原生之Kubernetes:14、Secret资源深度剖析
LQ的博客
08-30 466
Secret资源深度剖析!
【云原生 | Kubernetes 系列】K8s 实战 使用 KustomizeKubernetes 对象进行声明式管理
半身风雪
08-16 1421
Kustomize 是一个用来定制 Kubernetes 配置的工具。它提供以下功能特性来管理应用配置文件: - 从其他来源生成资源 - 为资源设置贯穿性(Cross-Cutting)字段 - 组织和定制资源集合
测试工程师的“隔离实验室”:Kubernetes命名空间如何帮你高效管理测试环境
weixin_44872675的博客
05-05 698
所有资源(Pod、Service、Secret等)都挤在一个“大房间”里。就像多个实验组共用一个实验室,资源争抢、权限混乱、事故频发!测试团队A的测试脚本疯狂占用CPU,导致其他团队无法运行测试!测试团队B的某个Pod内存泄漏,导致整个房间崩溃!在Kubernetes中,如果没有。测试团队C误删了生产环境的Pod!
【云原生 Kubernetes 系列】K8s 实战 使用 KustomizeKubernetes 对象进行声明式管理_configmapgenerator(1)
2401_84181253的博客
05-11 917
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上大数据知识点,真正体系化!由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新需要这份系统化资料的朋友,可以戳这里获取cat
Kubernetes Operator开发 (小白入门 包懂 包会)
欢迎来到云逸的博客频道
09-04 3287
本文介绍了Operator是什么 有什么作用 应用场景有哪些,也介绍了利用Kubebuild开源项目实现Operator完整的开发过程。希望对大家开发Operator有帮助
Java OA办公系统开源代码-siweiJin-jeecg
06-18
资源下载链接为: https://pan.quark.cn/s/3d8e22c21839 随着 Web UI 框架(如 EasyUI、JqueryUI、Ext、DWZ 等)的不断发展与成熟,系统界面的统一化设计逐渐成为可能,同时代码生成器也能够生成符合统一规范的界面。在这种背景下,“代码生成 + 手工合并”的半智能开发模式正逐渐成为新的开发趋势。通过代码生成器,单表数据模型以及一对多数据模型的增删改查功能可以被直接生成并投入使用,这能够有效节省大约 80% 的开发工作量,从而显著提升开发效率。 JEECG(J2EE Code Generation)是一款基于代码生成器的智能开发平台。它引领了一种全新的开发模式,即从在线编码(Online Coding)到代码生成器生成代码,再到手工合并(Merge)的智能开发流程。该平台能够帮助开发者解决 Java 项目中大约 90% 的重复性工作,让开发者可以将更多的精力集中在业务逻辑的实现上。它不仅能够快速提高开发效率,帮助公司节省大量的人力成本,同时也保持了开发的灵活性。 JEECG 的核心宗旨是:对于简单的功能,可以通过在线编码配置来实现;对于复杂的功能,则利用代码生成器生成代码后,再进行手工合并;对于复杂的流程业务,采用表单自定义的方式进行处理,而业务流程则通过工作流来实现,并且可以扩展出任务接口,供开发者编写具体的业务逻辑。通过这种方式,JEECG 实现了流程任务节点和任务接口的灵活配置,既保证了开发的高效性,又兼顾了项目的灵活性和可扩展性。
在linux系统中安装此rpm包后可以识别ntfs文件格式
06-18
在linux系统中安装此rpm包后可以识别ntfs文件格式
意优机器人关节模组资料
06-18
意优机器人关节模组资料
企业管理软件的“渐进式实施方法”.docx
06-18
企业管理软件的“渐进式实施方法”.docx
享受健康的网络交往课件.ppt
06-18
享受健康的网络交往课件.ppt
校园网络集成方案.doc
最新发布
06-18
校园网络集成方案.doc
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

虞亚竹Luna

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值