K8S第一讲 Kubernetes之Secret详解

已于 2023-05-02 12:24:43 修改
阅读量712 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: K8S 文章标签: kubernetes java 容器
于 2023-04-23 22:46:20 首次发布
鹿少年
本文链接:https://blog.youkuaiyun.com/huanglu0314/article/details/130332329
本文详细介绍了Kubernetes中的Secret资源,它用于安全地存储密码、token和秘钥等敏感数据,以降低暴露风险。Secret分为用户创建和系统自有的类型,并可通过特定方式供Pod引用和使用,如作为Volume挂载或环境变量。同时,讨论了如何通过设置访问策略保护secret的安全,特别是在协作场景下防止机密泄露。

Secret详解

secret用来保存小片敏感数据的k8s资源,例如密码,token,或者秘钥。这类数据当然也可以存放在Pod或者镜像中,但是放在Secret中是为了更方便的控制如何使用数据,并减少暴露的风险。

  • 用户可以创建自己的secret,系统也会有自己的secret。
  • Pod需要先引用才能使用某个secret

secret仅提供有限安全

  • 协作时防止机密数据泄露
  • 为secret资源设置单独安全访问策略

Pod有2种方式来使用secret:

    1. 作为volume的一个域被一个或多个容器挂载
    1. 在拉取镜像的时候被kubelet引用。
创建一个secret.yaml文件,内容用base64编码:明文显示容易被别人发现,这里先转码。
echo -n 'admin' | base64
YWRtaW4=
echo -n '1f2d1e2e67df' | base64
MWYyZDFlMmU2N2Rm



vim secret.yml
---
apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque  #模糊
data:
  username: YWRtaW4=
  password: MWYyZDFlMmU2N2Rm

或者

apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque  #模糊
stringData:
  username:  admin
  password:  1f2d1e2e67df

kubectl apply -f secret.yml  创建
kubectl get secrets
kubectl get secret mysecret -o yaml

pod使用

apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: testredis
    image: daocloud.io/library/redis
    volumeMounts:    #挂载一个卷
    - name: foo     #这个名字需要与定义的卷的名字一致
      mountPath: "/etc/foo"  #挂载到容器里哪个目录下,随便写
      readOnly: true
  volumes:     #数据卷的定义
  - name: foo   #卷的名字这个名字自定义
    secret:    #卷是直接使用的secret。
      secretName: mysecret   #调用刚才定义的secret

映射secret key到指定的路径

 volumes:
  - name: foo
    secret:
      secretName: mysecret
      items:   #定义一个items
       - key: username   #将那个key重新定义到那个目录下
         path: my-group/my-username  #相对路径,相对于/etc/foo的路径

以环境变量的形式使用Secret

---
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: testredis
    image: daocloud.io/library/redis
    env:  #定义环境变量
     - name: SECRET_USERNAME   #创建新的环境变量名称
       valueFrom:
        secretKeyRef:     #调用的key是什么
         name: mysecret       #变量的值来自于mysecret
         key: username       #username里面的值

spec:
  containers:
     - name: testredis
       image: daocloud.io/library/redis
       envFrom:  #定义环境变量
         - secretRef:     #调用的key是什么
             name: mysecret       #变量的值来自于mysecret
         - configMapRef: 
              name: configmap1

Deployment配置

apiVersion: v1
kind: Deployment
metadata:
  name: myDeployment
spec:
   selector:
       matchLabels:
             app: redisDeploy
   replicas: 1
   template:
   	   metadata:
   	        labels:
   	            app:  redisDeploy
       spec:
           containers:
                - name:  redisDeploy
                   image:  daocloud.io/library/redis
                   envFrom:
                        - configMapRef:
                              name: myconfigMap
                       - secretRef:
                             name: mysecret       

apiVersion: v1
kind: Service
metadata:
  name: myService
spec:
    ports:
       - name: http
         port: 8080
         targetPort: 8080
         nodePort: 31080
    selector:
        app: redisDeploy
    type: NodePort
Kubernetes Secret 详解
探索云原生与智能化驱动下的安全运维新范式。关注DevSecOps、可观测性、AIOps等前沿领域,与您共赴技术前沿。
07-23 417
Kubernetes Secret 是一种用于存储和管理敏感信息的对象,如密码、OAuth 令牌和 SSH 密钥等。使用 Secret 可以避免将机密数据直接放在 Pod 规约或容器镜像中,从而增加了应用程序的安全性。
K8s面试第一篇:初识Kubernetes——核心概念与组件详解
正在努力模索的博客
04-03 1284
在云原生技术席卷全球的今天,Kubernetes(简称k8s)已成为容器编排领域的事实标准。无论你是运维工程师、开发人员还是架构师,理解k8s的核心思想和组件都是迈向云原生的必经之路。本文将从基础概念入手,深入解析k8s的核心组件与设计哲学,助你构建清晰的认知框架。
k8sSecret详细理解及使用
热门推荐
skh2015java的博客
10-22 3万+
Secret介绍 k8s secrets用于存储和管理一些敏感数据,比如密码,token,密钥等敏感信息。它把 Pod 想要访问的加密数据存放到 Etcd 中。然后用户就可以通过在 Pod 的容器里挂载 Volume 的方式或者环境变量的方式访问到这些 Secret 里保存的信息了。 Secret有三种类型 Opaque:base64 编码格式的 Secret,用来存储密码、密钥等;但数据也可以通过base64 –decode解码得到原始数据,所有加密性很弱。 Service Account:.
K8S Secret 一文详解, 全面覆盖 Secret 使用场景 | 全家桶
aifeier的博客
01-10 4856
Secret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 这样的信息可能会被放在 Pod 规约中或者镜像中。 使用 Secret 意味着你不需要在应用程序代码中包含机密数据。由于创建 Secret 可以独立于使用它们的 Pod, 因此在创建、查看和编辑 Pod 的工作流程中暴露 Secret(及其数据)的风险较小。 Kubernetes 和在集群中运行的应用程序也可以对 Secret 采取额外的预防措施, 例如避免将敏感数据写入非易失性存储。
Secret详解
最新发布
2201_75552298的博客
10-10 681
Kubernetes中的Secret是管理敏感信息的资源对象,包含多种类型如Opaque、Docker认证等。可通过YAML文件或命令行创建,并支持以环境变量或文件形式挂载到Pod中。Secret采用base64编码存储,需配合RBAC控制访问权限。使用时需注意安全性、更新机制和大小限制(不超过1MiB),建议结合加密工具增强保护。
K8S Secret 快速开始
matrixlzp的博客
04-30 1362
KubernetesK8s)中的是一种用于存储和管理敏感信息(如密码、令牌、证书、API 密钥等)的资源对象。它避免了将敏感数据明文写入配置文件、镜像或代码中,提供了一种更安全的方式来处理机密信息。
k8s---Secret详解
qinxue722的博客
07-23 3550
k8s-Secret
k8s学习--Secret详细解释与应用
lwxvgdv的博客
05-31 1602
类似与ConfigMap 区别在于ConfigMap存储明文Secret存储密文ConfigMap可以用作配置文件管理,Secret用于密码、密钥、token等敏感数据配置管理##Secret特性1非敏感数据:专门用于存储非敏感的配置信息。2.多种数据源:数据可以从命令行、文件、目录等多种来源创建。3.动态更新:更新 ConfigMap 后,Pod 可以动态加载新的配置信息(需要应用支持热加载)
Kubernetes(十二)Kubernetes ConfigMap&Secret详解
liu_weiliang10405的博客
04-01 878
一、ConfigMap 官方文档 ConfigMap 概念 ConfigMap的功能在k8s1.2版本中引入的,许多应用程序会从配置文件,命令行参数或环境变量中读取配置信息。ConfigMap API会给我们提供了向容器中注入配置信息的机制,ConigMap可以被用来保存单个属性,也可以用来保存整个配置文件或者JSON二进制的对象 1. 为什么需要configmap 我们经常都需要为我们的应用程序配置一些特殊的数据,比如密钥、Token 、数据库连接地址或者其他私密的信息。你的应用可能会使用一些特
[Kubernetes]6. k8s Pod配置管理ConfigMap & Secret以及传递环境变量的使用,k8s的命名空间以及使用kubens管理命名空间
zhoupenghui168的博客
01-09 1424
k8s Pod配置管理ConfigMap & Secret以及传递环境变量的使用,k8s借助命令行配置管理ConfigMap & Secret,以及借助腾讯云面板配置管理ConfigMap & Secret,k8s的命名空间以及使用kubens管理命名空间
学习笔记三十:K8S配置管理中心Secret实现加密数据配置管理
weixin_43258559的博客
11-02 872
Configmap一般是用来存放明文数据的,如配置文件,对于一些敏感数据,如密码、私钥等数据时,要用secret类型。Secret解决了密码、token、秘钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。要使用 secret,pod 需要引用 secret
K8S初级入门系列之四-Namespace/ConfigMap/Secret
恰恰虎的博客
07-22 1458
本篇主要介绍了Namespace,ConfigMap以及secret的基本用法。Namespace可以在K8S集群中创建多个"虚拟集群",集群间实现隔离,本篇主要介绍了Namespace的创建,查看,删除以及如何创建指定Namespace的Pod。
Kubernetes Secret的应用
qq_45631844的博客
01-03 385
Secret的概述 Secret翻译过来的意思是秘密、保密等意思。Secret主要存储k8s集群中比较敏感的一些文件,通过一些特殊的加密方式将这一些文件进行加密操作,Pod通过volume以及环境变量的方式去引用,确保了数据的安全性。 ConfigMap 没有保密或者加密功能,存储加密数据常用Secret Secret的类型 Service Account 用于和API进行交互,会自动挂载到Pod的/run/secrets/kubernetes.io/serviceaccount目录下 Opaque 基
k8s通过secret管理敏感信息
weixin_30650039的博客
11-14 436
应用启动过程中可能需要一些敏感信息,比如访问数据库的用户名密码或者秘钥。将这些信息直接保存在容器镜像中显然不妥,Kubernetes 提供的解决方案是 SecretSecret 会以密文的方式存储数据,避免了直接在配置文件中保存敏感信息。Secret 会以 Volume 的形式被 mount 到 Pod,容器可通过文件的方式使用 Secret 中的敏感数据;此外,容器也可以环境变量的方...
K8s(11)——存储之secrets
m0_46652469的博客
04-12 435
k8ssecret是一种包含少量敏感信息例如密码、令牌或密钥的对象。这样的信息可能会被放在 Pod 规约中或者镜像中。使用 Secret 意味着你不需要在应用程序代码中包含机密数据。Secret 类似于 ConfigMap 但专门用于保存机密数据。k8s secrets用于存储和管理一些敏感数据,比如密码,token,密钥等敏感信息。它把 Pod 想要访问的加密数据存放到Etcd中。然后用户就可以通过在 Pod 的容器里挂载 Volume 的方式或者环境变量。
k8s资源secret和ConfigMap的相关详解
weixin_47019016的博客
12-20 705
secret一、secret相关简介二、secret资源的使用三、Secret实践k8s连接Harbor四、ConfigMap相关介绍五、ConfigMap资源的使用 一、secret相关简介 1.Secret资源的作用 用来保存一些敏感信息,比如MySQL服务的账号和密码,或者一些秘钥、证书等。 2.使用示例 用户名: root 密码:123.com 将上述信息保存为secret资源有以下几种方法可供使用。 (1)- -from-literal [root@master ~]# kubectl cre
Kubernetes Secret 解码工具使用指南
gitblog_00338的博客
08-31 764
Kubernetes Secret 解码工具使用指南 项目介绍 Kubernetes Secret Decode 是一个由 Ashley Schuett 开发的开源工具,旨在简化 Kubernetes Secret 中数据的解码过程。SecretKubernetes 中用于存储敏感信息如密码、API 密钥等的一种资源对象,通常以 Base64 编码形式存储数据。此工具帮助开发者或运维人员便...
Kubernetes(k8s)之Secret私密凭据
Tuki来了
08-01 1291
secret用来保管私密数据。
k8sSecret(密文)和configmap(明文)的使用
很多时候犯错都是在不知情的情况下发生的
08-13 5821
执行一下。
Kubernetes进阶实战》权威指南第2版完整详解
Kubernetes(简称K8s)是一个开源的容器编排平台,用于自动化部署、扩展和管理容器化应用程序。它是Google基于其多年的生产环境经验,并结合了社区贡献而创建的。 **核心组件包括:** 1. **Master节点:**负责整个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

程序员路同学

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值