Kubernetes-Secret使用说明

最新推荐文章于 2024-06-18 18:47:42 发布
原创 最新推荐文章于 2024-06-18 18:47:42 发布 · 3.6k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍Kubernetes中Secret资源的使用,包括如何创建和使用Secret来安全地存储敏感数据,如密码和密钥,以及如何在Pod中通过环境变量或Volume挂载的方式访问这些Secret。

Kubernetes提供Secret资源用于解决密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。

Secret类型

  • Opaque:base64编码格式的Secret,用来存储密码、密钥等;但数据也通过base64 –decode解码得到原始数据,所有加密性很弱。
  • kubernetes.io/dockerconfigjson:用来存储私有docker registry的认证信息。
  • kubernetes.io/service-account-token: 用于被serviceaccount引用。serviceaccout创建时Kubernetes会默认创建对应的secret。Pod如果使用了serviceaccount,对应的secret会自动挂载到Pod目录/run/secrets/ kubernetes.io/serviceaccount中。

常用的应用主要使用Opaque类型的Secret,本次我们主要介绍该类型

Secret的创建方式

1. 通过yaml文件创建

[root@k8s-node1 dinghh]# cat passwd-secret.yaml 
apiVersion: v1
kind: Secret
metadata:
  name: passwd-secret 
type: Opaque 
data: 
  username: dXNlcm5hbWUK
  password: cGFzc3dvcmQK

其中username和password是根据base64加密

[root@k8s-node1 dinghh]# echo username | base64
dXNlcm5hbWUK
[root@k8s-node1 dinghh]# echo password | base64
cGFzc3dvcmQK

创建secret

[root@k8s-node1 dinghh]# kubectl create -f passwd-secret.yaml 
secret/passwd-secret created

[root@k8s-node1 dinghh]# kubectl get secrets passwd-secret -oyaml
apiVersion: v1
data:
  password: cGFzc3dvcmQK
  username: dXNlcm5hbWUK
kind: Secret
metadata:
  creationTimestamp: "2019-07-02T06:20:40Z"
  name: passwd-secret
  namespace: default
  resourceVersion: "995896"
  selfLink: /api/v1/namespaces/default/secrets/passwd-secret
  uid: 83644454-9c91-11e9-ad16-fa163e17fab9
type: Opaque

可以看到通过describe secret是可以看到secret中的具体数据的,通过base64解码则可以看到原始数据

[root@k8s-node1 dinghh]# echo dXNlcm5hbWUK | base64 --decode
username
[root@k8s-node1 dinghh]# echo cGFzc3dvcmQK | base64 --decode
password

2. 通过kubectl指定配置文件等参数来创建

kubectl create secret generic

根据配置文件、目录或指定的literal-value创建secret。

secret可以保存为一个或多个key/value信息。

当基于配置文件创建secret时,key将默认为文件的基础名称,value默认为文件内容。如果基本名称的key无效,则可以指定另一个key。

当基于目录创建secret时,key还是文件的基础名称,目录中有效的key的每个文件都被打包到secret中,除了常规文件之外的任何目录条目都被忽略(例如subdirectories, symlinks, devices, pipes, etc)。

基于文件创建(更多创建方式参考:http://docs.kubernetes.org.cn/556.html

[root@k8s-node1 dinghh]# echo username > username 
[root@k8s-node1 dinghh]# echo password > password

[root@k8s-node1 dinghh]# kubectl create secret generic test-secret --from-file=./username --from-file=./password 
secret/test-secret created

[root@k8s-node1 dinghh]# kubectl get secrets test-secret -oyaml
apiVersion: v1
data:
  password: cGFzc3dvcmQK
  username: dXNlcm5hbWUK
kind: Secret
metadata:
  creationTimestamp: "2019-07-02T06:52:47Z"
  name: test-secret
  namespace: default
  resourceVersion: "1000413"
  selfLink: /api/v1/namespaces/default/secrets/test-secret
  uid: 00824b62-9c96-11e9-ad16-fa163e17fab9
type: Opaque

可以看到指定文件创建时会自动进行base64加密

Secret的使用

1. 在文件中使用

通过volumeMount方式将secret挂载到pod容器中

创建一个pod

[root@k8s-node1 dinghh]# cat nginx.yaml 
apiVersion: v1
kind: Pod
metadata:
  labels:
    k8s-app: nginx
    version: master
  name: nginx
spec:
  containers:
  - image: nginx:master
    imagePullPolicy: IfNotPresent
    name: nginx
    ports:
    - containerPort: 80
      name: dashboard
      protocol: TCP
    resources: {}
    volumeMounts:
    - mountPath: /etc/secrets
      name: passwd-secret
      readOnly: true
  restartPolicy: Always
  volumes:
  - name: passwd-secret
    secret:
      defaultMode: 420
      secretName: passwd-secret

[root@k8s-node1 dinghh]# kubectl create -f nginx.yaml 
pod/nginx created

通过yaml可以看到通过volumeMounts方式将secret挂载到容器的/etc/secret目录

进入容器查看

[root@k8s-node1 dinghh]# kubectl create -f nginx.yaml 
pod/nginx created
[root@k8s-node1 dinghh]# kubectl exec -it nginx bash
[root@nginx /]# cd /etc/secrets/
[root@nginx secrets]# ll
total 0
lrwxrwxrwx 1 root root 15 Jul  2 15:00 password -> ..data/password
lrwxrwxrwx 1 root root 15 Jul  2 15:00 username -> ..data/username
[root@nginx secrets]# cat username 
username
[root@nginx secrets]# cat password 
password

可以看到将secret中的key作为文件名称写在指定目录下,并且文件中的内容是base64解密之后的

2. 在环境变量中使用

创建pod

[root@k8s-node1 dinghh]# cat nginx-env.yaml 
apiVersion: v1
kind: Pod
metadata:
  labels:
    k8s-app: nginx
    version: master
  name: nginx-env
spec:
  containers:
  - env:
    - name: USERNAME_ENV
      valueFrom:
        secretKeyRef:
          name: passwd-secret
          key: username
    - name: PASSWORD_ENV
      valueFrom:
        secretKeyRef:
          name: passwd-secret
          key: password
    image: 192.168.133.20:30050/kube-system/aistack-dashboard:master
    imagePullPolicy: IfNotPresent
    name: nginx
    ports:
    - containerPort: 80
      name: dashboard
      protocol: TCP
    resources: {}
  restartPolicy: Always

[root@k8s-node1 dinghh]# kubectl create -f nginx-env.yaml 
pod/nginx-env created

可以看到在该Pod中定义了两个环境变量分别引用passwd-secret中的对应的key

进入容器查看

[root@k8s-node1 dinghh]# kubectl exec -it nginx-env bash
[root@nginx-env /]# echo $USERNAME_ENV
username
[root@nginx-env /]# echo $PASSWORD_ENV
password

 

K8S Secret 一文详解, 全面覆盖 Secret 使用场景 | 全家桶
aifeier的博客
01-10 4857
Secret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 这样的信息可能会被放在 Pod 规约中或者镜像中。 使用 Secret 意味着你不需要在应用程序代码中包含机密数据。由于创建 Secret 可以独立于使用它们的 Pod, 因此在创建、查看和编辑 Pod 的工作流程中暴露 Secret(及其数据)的风险较小。 Kubernetes 和在集群中运行的应用程序也可以对 Secret 采取额外的预防措施, 例如避免将敏感数据写入非易失性存储。
使用SSL访问kubernetes-dashboard
运维Carl的博客
04-02 1640
购买ssl,部署kubernetes-dashboard控制面板,提高访问安全性
Kubernetes secret使用详解
小楼一夜听春雨,深巷明朝卖杏花
11-18 1576
Secret 存在意义 K8s configmap可以注入pod之内成为环境变量或者是配置文件,这些都是以明文方式保存,如果碰到密码这种的以明文方式保存就不行了,Secret更加倾向于保存要加密的文件。 Secret 解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Spec中。Secret 可以以 Volume 或者环境变量的方式使用。密码这种可以先存储到secret里面,然后挂载到Pod里面即可。 Secret 有三种类型: Service Acc.
Kubernetes-Secret
「 虚幻私塾」
01-25 719
Python微信订餐小程序课程视频 https://edu.youkuaiyun.com/course/detail/36074 Python实战量化交易理财系统 https://edu.youkuaiyun.com/course/detail/35475 1. 简介 Secret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 这样的信息可能会被放在 Pod 规约中或者镜像中。 使用 Secret 意味着你不需要在应用程序代码中包含机密数据。 由于创建 Secret 可以独立于使用它们的 Pod, 因此在创建、查看和编辑 P
Kubernetes Secret
程序圆圆圆
05-07 745
base64 命令 KubernetesSecret使用 base64 进行编码的。以下是使用命令 base64 对字符串进行编码和解码的过程。 将字符串编码为 base64 格式。echo 的 -n 选项的用处是不在字符串后添加换行符 echo -n "hello" | base64 结果为 aGVsbG8= 将 base64 解码为字符串 echo -n "aGVsbG8...
kubernetesSecret
格子的博客
05-24 613
Secret 解决了密码、Token、秘钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Spec 中。Secret可以以 Volume 或者环境变量的方式使用使用 Secret 意味着你不需要在应用程序代码中包含机密数据。
Kubernetes-dashboard部署详解
一个苦苦挣扎的JAVA开发
10-18 2970
容器化部署服务已经变成微服务时代的主流,在众多容器化技术之中,kubernetes又是属于相对火爆,社区活跃的一个产品。 容器化部署给我们带来了便捷的同时,也给我们带来了运维方面的挑战。kubernetes官方给我们提供了一种图形化管理kubernetes的方式,即kubernetes-dashboard。 说明:本篇为本人开发之余,为了熟悉学习kubernetes环境,搭建自己本地的一个案例记录。 下面让我们进入正题 部署思路 通过nginx-ingress的方式来对外提供访问 优点:主流,安全,方.
Kubernetes-Dashboard 在 chrome(证书不可信任)解决办法
drifter
06-11 2987
当我们搭建完一个 k8s 集群并且使用官方 kubernetes-dashboard.yaml 文件创建好 k8s-dashboard 之后发现,只有火狐浏览器可以打开 dashbaord 界面,Chrome 和 IE 浏览器都无法访问。 这是因为生产的证书的很多信息都没有,并且证书的时间也都不正常,这就导致了大部分浏览器不认这个证书,但是我们自己生成的证书大部分浏览器都是可以访问的,那是因为我们自己签发的证书是符合校验字段的 k8s-dashboard 证书是存储在 k8s 中的:(这里我是已经有了数据的
[root@k8s-master dashboard]# wget https://raw.githubusercontent.com/kubernetes/dashboard/v2.3.1/aio/deploy/recommended.yaml -O dashboard.yaml --2025-12-04 21:57:27-- https://raw.githubusercontent.com/kubernetes/dashboard/v2.3.1/aio/deploy/recommended.yaml 正在解析主机 raw.githubusercontent.com (raw.githubusercontent.com)... 185.199.111.133, 185.199.109.133, 185.199.108.133, ... 正在连接 raw.githubusercontent.com (raw.githubusercontent.com)|185.199.111.133|:443... 已连接。 已发出 HTTP 请求,正在等待回应... 200 OK 长度:7552 (7.4K) [text/plain] 正在保存至: “dashboard.yaml” 100%[=========================================================================================================>] 7,552 --.-K/s 用时 0s 2025-12-04 21:57:28 (69.1 MB/s) - 已保存 “dashboard.yaml” [7552/7552]) [root@k8s-master dashboard]# ls dashboard.yaml [root@k8s-master dashboard]# vim dashboard.yaml [root@k8s-master dashboard]# kubectl apply -f dashboard.yaml namespace/kubernetes-dashboard unchanged serviceaccount/kubernetes-dashboard unchanged service/kubernetes-dashboard unchanged secret/kubernetes-dashboard-certs unchanged secret/kubernetes-dashboard-csrf unchanged secret/kubernetes-dashboard-key-holder unchanged configmap/kubernetes-dashboard-settings unchanged role.rbac.authorization.k8s.io/kubernetes-dashboard unchanged clusterrole.rbac.authorization.k8s.io/kubernetes-dashboard unchanged rolebinding.rbac.authorization.k8s.io/kubernetes-dashboard unchanged clusterrolebinding.rbac.authorization.k8s.io/kubernetes-dashboard unchanged deployment.apps/kubernetes-dashboard created service/dashboard-metrics-scraper created deployment.apps/dashboard-metrics-scraper created [root@k8s-master dashboard]# kubectl get pods -A NAMESPACE NAME READY STATUS RESTARTS AGE default nginx-5b947dcc4-47987 1/1 Running 2 4d kube-flannel kube-flannel-ds-9zjns 1/1 Running 2 4d2h kube-flannel kube-flannel-ds-hs79x 1/1 Running 2 4d2h kube-flannel kube-flannel-ds-vl9qs 1/1 Running 2 4d2h kube-system coredns-9d85f5447-4dcps 1/1 Running 2 4d3h kube-system coredns-9d85f5447-g6c49 1/1 Running 2 4d3h kube-system etcd-k8s-master 1/1 Running 2 4d3h kube-system kube-apiserver-k8s-master 1/1 Running 2 4d3h kube-system kube-controller-manager-k8s-master 1/1 Running 2 4d3h kube-system kube-proxy-6wfbb 1/1 Running 2 4d3h kube-system kube-proxy-7pkrq 1/1 Running 2 4d3h kube-system kube-proxy-jhc22 1/1 Running 2 4d3h kube-system kube-scheduler-k8s-master 1/1 Running 2 4d3h kubernetes-dashboard dashboard-metrics-scraper-755b949fd6-7bv8k 0/1 ContainerCreating 0 9s kubernetes-dashboard kubernetes-dashboard-7f4c8d4968-qc7lk 0/1 ContainerCreating 0 9s [root@k8s-master dashboard]# kubectl edit svc kubernetes-dashboard -n kubernetes-dashboard service/kubernetes-dashboard edited [root@k8s-master dashboard]# kubectl get pods,svc -n kubernetes-dashboard NAME READY STATUS RESTARTS AGE pod/dashboard-metrics-scraper-755b949fd6-7bv8k 1/1 Running 0 2m24s pod/kubernetes-dashboard-7f4c8d4968-qc7lk 1/1 Running 0 2m24s NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE service/dashboard-metrics-scraper ClusterIP 10.98.100.238 <none> 8000/TCP 2m24s service/kubernetes-dashboard NodePort 10.108.200.146 <none> 443:31486/TCP 7m46s [root@k8s-master dashboard]# kubectl get svc -A |grep kubernetes-dashboard kubernetes-dashboard dashboard-metrics-scraper ClusterIP 10.98.100.238 <none> 8000/TCP 3m22s kubernetes-dashboard kubernetes-dashboard NodePort 10.108.200.146 <none> 443:31486/TCP 8m44s [root@k8s-master dashboard]# kubectl get pods,svc -n kubernetes-dashboard NAME READY STATUS RESTARTS AGE pod/dashboard-metrics-scraper-755b949fd6-7bv8k 1/1 Running 0 6m4s pod/kubernetes-dashboard-7f4c8d4968-qc7lk 1/1 Running 0 6m4s NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE service/dashboard-metrics-scraper ClusterIP 10.98.100.238 <none> 8000/TCP 6m4s service/kubernetes-dashboard NodePort 10.108.200.146 <none> 443:31486/TCP 11m 最后的命令输出是否正确?
最新发布
12-05
首先,用户提供了一个...若需进一步验证,可通过 NodePort 访问 Dashboard(例如 `https://<节点IP>:31486`),并使用 Token 登录(Token 可通过 `kubectl -n kubernetes-dashboard create token admin-user` 获取)。
Kubernetes Dashboard
FLGB
06-18 1724
使用上述命令生成的自签名证书 k8s.test.crt 和私钥 k8s.test.key 是自签名的证书,其安全性在开发或测试环境中通常是可以接受的,但不会被主流浏览器(如Chrome、Firefox、Edge等)视为安全,因为它们未经公共颁发机构(CA)的认证和签名。在开发或测试环境中,可以使用这样的自签名证书来进行测试和开发工作。它生成的是一个 X509 格式的证书,有效期 365 天,私钥是 RSA2048 位,摘要算法是 SHA256,签发的网站是“k8s.test”。
Kubernetes学习之连接集群】利用 kubeconfig 或 secret Token 连接 k8s 集群
叮当猫的喵i
12-07 1831
serviceaccount的权限由集群中对应的rolebinding决定,官方文档:
Kubernetes Secrets 详解
奋斗菜鸟
09-08 540
Kubernetes Secrets 详解
kubernetes-加密 Secrets
qq_22648091的博客
03-29 721
默认 Secrets 对象的值是 base64 编码的内容,这个可以反编码得到原文的,不能起到加密重要密文的作用。解决方法是使用开源的 Sealed Secrets。
关于 KubernetesSecret 并不安全这件事
easylife206的专栏
12-14 1104
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !K8s 提供了 Secret 资源供我们来保存、设置一些敏感信息,比如 API endpoint 地址,各...
Kubernetes(k8s)之Secret私密凭据
Tuki来了
08-01 1295
secret用来保管私密数据。
KubernetesSecret使用详解
热门推荐
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
10-26 1万+
Secret解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用Secret类型 Secret有三种类型: Opaque:base64编码格式的Secret,用来存储密码、密钥等;但数据也通过base64 –decode解码得到原始数据,所有加密性很弱。 kubernetes.io/doc...
kubernetes系列】KubernetesSecret凭证
margu_168的博客
07-05 1464
如果–service-account-key-file=未传入任何值,那么将默认使用–tls-private-key-file的值,即API Server的私钥。它们都通过mount 的方式挂载到 pod 中,其中 token 保存的路径是 /var/run/secrets/kubernetes.io/serviceaccount/token ,是 kube-controller-manager 通过–service-account-private-key-file私钥签发的token;
Secret概述与操作
weixin_49888547的博客
06-06 1403
Configmap 一般是用来存放明文数据的,如配置文件,对于一些敏感数据,如密码、私钥等数据时,要用 secret 类型。Secret 解决了密码、token、秘钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Spec 中。Secret 可以以 Volume 或者环境变量的方式使用。要使用 secret,pod 需要引用 secret。Pod 可以用两种方式使用 secret:作为volume 中的文件被挂载到 pod 中的一个或者多个容器里,或者当 kubelet 为 pod 拉取
Kubernetes】第十五篇 - Secret 对象的简介与创建
BraveWangDev
03-02 999
上一篇,介绍了 docker 私有镜像仓库的安装和使用;本篇,介绍 Secret 对象的创建;SecretKubernetes 中的一种资源类型,可以用来储存机密信息,如:密码,token,密钥等;信息被存入 Secret 后,可以通过挂载卷的方式挂载到 Pod 内;也可以用于存放 docker 私有镜像库的登录名和密码,用于拉取私有镜像使用;Opaque 类型;
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值