Kubernetes-Secret使用说明

最新推荐文章于 2025-03-12 13:21:46 发布
最新推荐文章于 2025-03-12 13:21:46 发布
阅读量3.6k 收藏
点赞数
分类专栏: Docker Kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/iov_aaron/article/details/94442111
版权

Kubernetes提供Secret资源用于解决密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。

Secret类型

  • Opaque:base64编码格式的Secret,用来存储密码、密钥等;但数据也通过base64 –decode解码得到原始数据,所有加密性很弱。
  • kubernetes.io/dockerconfigjson:用来存储私有docker registry的认证信息。
  • kubernetes.io/service-account-token: 用于被serviceaccount引用。serviceaccout创建时Kubernetes会默认创建对应的secret。Pod如果使用了serviceaccount,对应的secret会自动挂载到Pod目录/run/secrets/ kubernetes.io/serviceaccount中。

常用的应用主要使用Opaque类型的Secret,本次我们主要介绍该类型

Secret的创建方式

1. 通过yaml文件创建

[root@k8s-node1 dinghh]# cat passwd-secret.yaml 
apiVersion: v1
kind: Secret
metadata:
  name: passwd-secret 
type: Opaque 
data: 
  username: dXNlcm5hbWUK
  password: cGFzc3dvcmQK

其中username和password是根据base64加密

[root@k8s-node1 dinghh]# echo username | base64
dXNlcm5hbWUK
[root@k8s-node1 dinghh]# echo password | base64
cGFzc3dvcmQK

创建secret

[root@k8s-node1 dinghh]# kubectl create -f passwd-secret.yaml 
secret/passwd-secret created

[root@k8s-node1 dinghh]# kubectl get secrets passwd-secret -oyaml
apiVersion: v1
data:
  password: cGFzc3dvcmQK
  username: dXNlcm5hbWUK
kind: Secret
metadata:
  creationTimestamp: "2019-07-02T06:20:40Z"
  name: passwd-secret
  namespace: default
  resourceVersion: "995896"
  selfLink: /api/v1/namespaces/default/secrets/passwd-secret
  uid: 83644454-9c91-11e9-ad16-fa163e17fab9
type: Opaque

可以看到通过describe secret是可以看到secret中的具体数据的,通过base64解码则可以看到原始数据

[root@k8s-node1 dinghh]# echo dXNlcm5hbWUK | base64 --decode
username
[root@k8s-node1 dinghh]# echo cGFzc3dvcmQK | base64 --decode
password

2. 通过kubectl指定配置文件等参数来创建

kubectl create secret generic

根据配置文件、目录或指定的literal-value创建secret。

secret可以保存为一个或多个key/value信息。

当基于配置文件创建secret时,key将默认为文件的基础名称,value默认为文件内容。如果基本名称的key无效,则可以指定另一个key。

当基于目录创建secret时,key还是文件的基础名称,目录中有效的key的每个文件都被打包到secret中,除了常规文件之外的任何目录条目都被忽略(例如subdirectories, symlinks, devices, pipes, etc)。

基于文件创建(更多创建方式参考:http://docs.kubernetes.org.cn/556.html

[root@k8s-node1 dinghh]# echo username > username 
[root@k8s-node1 dinghh]# echo password > password

[root@k8s-node1 dinghh]# kubectl create secret generic test-secret --from-file=./username --from-file=./password 
secret/test-secret created

[root@k8s-node1 dinghh]# kubectl get secrets test-secret -oyaml
apiVersion: v1
data:
  password: cGFzc3dvcmQK
  username: dXNlcm5hbWUK
kind: Secret
metadata:
  creationTimestamp: "2019-07-02T06:52:47Z"
  name: test-secret
  namespace: default
  resourceVersion: "1000413"
  selfLink: /api/v1/namespaces/default/secrets/test-secret
  uid: 00824b62-9c96-11e9-ad16-fa163e17fab9
type: Opaque

可以看到指定文件创建时会自动进行base64加密

Secret的使用

1. 在文件中使用

通过volumeMount方式将secret挂载到pod容器中

创建一个pod

[root@k8s-node1 dinghh]# cat nginx.yaml 
apiVersion: v1
kind: Pod
metadata:
  labels:
    k8s-app: nginx
    version: master
  name: nginx
spec:
  containers:
  - image: nginx:master
    imagePullPolicy: IfNotPresent
    name: nginx
    ports:
    - containerPort: 80
      name: dashboard
      protocol: TCP
    resources: {}
    volumeMounts:
    - mountPath: /etc/secrets
      name: passwd-secret
      readOnly: true
  restartPolicy: Always
  volumes:
  - name: passwd-secret
    secret:
      defaultMode: 420
      secretName: passwd-secret

[root@k8s-node1 dinghh]# kubectl create -f nginx.yaml 
pod/nginx created

通过yaml可以看到通过volumeMounts方式将secret挂载到容器的/etc/secret目录

进入容器查看

[root@k8s-node1 dinghh]# kubectl create -f nginx.yaml 
pod/nginx created
[root@k8s-node1 dinghh]# kubectl exec -it nginx bash
[root@nginx /]# cd /etc/secrets/
[root@nginx secrets]# ll
total 0
lrwxrwxrwx 1 root root 15 Jul  2 15:00 password -> ..data/password
lrwxrwxrwx 1 root root 15 Jul  2 15:00 username -> ..data/username
[root@nginx secrets]# cat username 
username
[root@nginx secrets]# cat password 
password

可以看到将secret中的key作为文件名称写在指定目录下,并且文件中的内容是base64解密之后的

2. 在环境变量中使用

创建pod

[root@k8s-node1 dinghh]# cat nginx-env.yaml 
apiVersion: v1
kind: Pod
metadata:
  labels:
    k8s-app: nginx
    version: master
  name: nginx-env
spec:
  containers:
  - env:
    - name: USERNAME_ENV
      valueFrom:
        secretKeyRef:
          name: passwd-secret
          key: username
    - name: PASSWORD_ENV
      valueFrom:
        secretKeyRef:
          name: passwd-secret
          key: password
    image: 192.168.133.20:30050/kube-system/aistack-dashboard:master
    imagePullPolicy: IfNotPresent
    name: nginx
    ports:
    - containerPort: 80
      name: dashboard
      protocol: TCP
    resources: {}
  restartPolicy: Always

[root@k8s-node1 dinghh]# kubectl create -f nginx-env.yaml 
pod/nginx-env created

可以看到在该Pod中定义了两个环境变量分别引用passwd-secret中的对应的key

进入容器查看

[root@k8s-node1 dinghh]# kubectl exec -it nginx-env bash
[root@nginx-env /]# echo $USERNAME_ENV
username
[root@nginx-env /]# echo $PASSWORD_ENV
password

 

K8S Secret 一文详解, 全面覆盖 Secret 使用场景 | 全家桶
aifeier的博客
01-10 4589
Secret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 这样的信息可能会被放在 Pod 规约中或者镜像中。 使用 Secret 意味着你不需要在应用程序代码中包含机密数据。由于创建 Secret 可以独立于使用它们的 Pod, 因此在创建、查看和编辑 Pod 的工作流程中暴露 Secret(及其数据)的风险较小。 Kubernetes 和在集群中运行的应用程序也可以对 Secret 采取额外的预防措施, 例如避免将敏感数据写入非易失性存储。
Kubernetes-Secret
「 虚幻私塾」
01-25 656
Python微信订餐小程序课程视频 https://edu.youkuaiyun.com/course/detail/36074 Python实战量化交易理财系统 https://edu.youkuaiyun.com/course/detail/35475 1. 简介 Secret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 这样的信息可能会被放在 Pod 规约中或者镜像中。 使用 Secret 意味着你不需要在应用程序代码中包含机密数据。 由于创建 Secret 可以独立于使用它们的 Pod, 因此在创建、查看和编辑 P
Kubernetes secret使用详解
小楼一夜听春雨,深巷明朝卖杏花
11-18 1476
Secret 存在意义 K8s configmap可以注入pod之内成为环境变量或者是配置文件,这些都是以明文方式保存,如果碰到密码这种的以明文方式保存就不行了,Secret更加倾向于保存要加密的文件。 Secret 解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Spec中。Secret 可以以 Volume 或者环境变量的方式使用。密码这种可以先存储到secret里面,然后挂载到Pod里面即可。 Secret 有三种类型: Service Acc.
Kubernetes 中的 Secrets 配置管理
2301_78537542的博客
03-12 1070
通过本实验,您学习了如何在 Kubernetes 中创建、使用和更新 Secrets。Secrets 是 Kubernetes 中管理敏感信息的重要机制,通过合理使用 Secrets,您可以提高集群的安全性,避免敏感信息泄露。
Kubernetes Secret
程序圆圆圆
05-07 661
base64 命令 KubernetesSecret使用 base64 进行编码的。以下是使用命令 base64 对字符串进行编码和解码的过程。 将字符串编码为 base64 格式。echo 的 -n 选项的用处是不在字符串后添加换行符 echo -n "hello" | base64 结果为 aGVsbG8= 将 base64 解码为字符串 echo -n "aGVsbG8...
kubernetesSecret
格子的博客
05-24 563
Secret 解决了密码、Token、秘钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Spec 中。Secret可以以 Volume 或者环境变量的方式使用使用 Secret 意味着你不需要在应用程序代码中包含机密数据。
Kubernetes-dashboard部署详解
一个苦苦挣扎的JAVA开发
10-18 2895
容器化部署服务已经变成微服务时代的主流,在众多容器化技术之中,kubernetes又是属于相对火爆,社区活跃的一个产品。 容器化部署给我们带来了便捷的同时,也给我们带来了运维方面的挑战。kubernetes官方给我们提供了一种图形化管理kubernetes的方式,即kubernetes-dashboard。 说明:本篇为本人开发之余,为了熟悉学习kubernetes环境,搭建自己本地的一个案例记录。 下面让我们进入正题 部署思路 通过nginx-ingress的方式来对外提供访问 优点:主流,安全,方.
Kubernetes-Dashboard 在 chrome(证书不可信任)解决办法
drifter
06-11 2909
当我们搭建完一个 k8s 集群并且使用官方 kubernetes-dashboard.yaml 文件创建好 k8s-dashboard 之后发现,只有火狐浏览器可以打开 dashbaord 界面,Chrome 和 IE 浏览器都无法访问。 这是因为生产的证书的很多信息都没有,并且证书的时间也都不正常,这就导致了大部分浏览器不认这个证书,但是我们自己生成的证书大部分浏览器都是可以访问的,那是因为我们自己签发的证书是符合校验字段的 k8s-dashboard 证书是存储在 k8s 中的:(这里我是已经有了数据的
Kubernetes Dashboard
FLGB
06-18 1565
使用上述命令生成的自签名证书 k8s.test.crt 和私钥 k8s.test.key 是自签名的证书,其安全性在开发或测试环境中通常是可以接受的,但不会被主流浏览器(如Chrome、Firefox、Edge等)视为安全,因为它们未经公共颁发机构(CA)的认证和签名。在开发或测试环境中,可以使用这样的自签名证书来进行测试和开发工作。它生成的是一个 X509 格式的证书,有效期 365 天,私钥是 RSA2048 位,摘要算法是 SHA256,签发的网站是“k8s.test”。
kubernetes-helm详细介绍及使用
qq_27234433的博客
03-03 2431
致读者 完整入门示例请参考:Helm完整入门实战 Helm 本指南介绍了使用 Helm 来管理 Kubernetes 集群上的软件包的基础知识。在这之前,假定您已经 安装了 Helm 客户端。 如果您仅对运行一些快速命令感兴趣,则不妨从 快速入门指南开始。本章包含了 Helm 命令的详细说明,并解释如何使用 Helm。 三大概念 Chart 代表着 Helm 包。它包含在 Kubernetes 集群内部运行应用程序,工具或服务所需的所有资源定义。你可以把它看作是 Homebre
Kubernetes监控:Dashbaord 2.0.0部署之证书创建和设定
知行合一 止于至善
02-02 2515
在前面一篇文章中介绍了Dashboard 2.0.0-rc3的使用,但是证书的创建和设定使用缺省方式,在这篇文章中将进一步进行说明如何从外部创建和指定证书。
Kubernetes学习之连接集群】利用 kubeconfig 或 secret Token 连接 k8s 集群
叮当猫的喵i
12-07 1497
serviceaccount的权限由集群中对应的rolebinding决定,官方文档:
Kubernetes Secrets 详解
奋斗菜鸟
09-08 497
Kubernetes Secrets 详解
kubernetes-加密 Secrets
qq_22648091的博客
03-29 589
默认 Secrets 对象的值是 base64 编码的内容,这个可以反编码得到原文的,不能起到加密重要密文的作用。解决方法是使用开源的 Sealed Secrets。
关于 KubernetesSecret 并不安全这件事
easylife206的专栏
12-14 1032
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !K8s 提供了 Secret 资源供我们来保存、设置一些敏感信息,比如 API endpoint 地址,各...
Kubernetes(k8s)之Secret私密凭据
Tuki来了
08-01 1200
secret用来保管私密数据。
KubernetesSecret使用详解
热门推荐
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
10-26 1万+
Secret解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用Secret类型 Secret有三种类型: Opaque:base64编码格式的Secret,用来存储密码、密钥等;但数据也通过base64 –decode解码得到原始数据,所有加密性很弱。 kubernetes.io/doc...
kubernetes存储 -- Secret配置管理
thermal_life的博客
07-01 1018
简介 ConfigMap是用来存储一些非安全的配置信息,如果涉及到一些安全相关的数据的话用ConfigMap就非常不妥了, 因为ConfigMap明文存储的,这个时候j就应该使用Secret Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 ssh key。 敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。 Pod 可以用两种方式使用 secret: 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里。 当 kubel
Kubernetes】第十五篇 - Secret 对象的简介与创建
BraveWangDev
03-02 934
上一篇,介绍了 docker 私有镜像仓库的安装和使用;本篇,介绍 Secret 对象的创建;SecretKubernetes 中的一种资源类型,可以用来储存机密信息,如:密码,token,密钥等;信息被存入 Secret 后,可以通过挂载卷的方式挂载到 Pod 内;也可以用于存放 docker 私有镜像库的登录名和密码,用于拉取私有镜像使用;Opaque 类型;
helm 安装 kubernetes-dashboard
最新发布
03-24
### 如何使用 Helm 安装 Kubernetes Dashboard Helm 是 Kubernetes 的包管理工具,用于简化应用程序的部署和管理过程[^2]。通过 Helm Chart 可以轻松安装和配置复杂的 Kubernetes 应用程序,例如 Kubernetes Dashboard。 以下是关于如何使用 Helm 安装 Kubernetes Dashboard 的详细说明: #### 添加 Helm Repository 首先需要确保 Helm 已经正确安装并初始化完成。如果尚未安装 Helm,请参考官方文档进行安装[^3]。接着可以添加 Kubernetes Dashboard 的官方 Helm 仓库: ```bash helm repo add kubernetes-dashboard https://kubernetes.github.io/dashboard/ ``` #### 更新本地 Helm 缓存 为了获取最新的 Chart 版本信息,执行以下命令更新缓存: ```bash helm repo update ``` #### 部署 Kubernetes Dashboard 可以通过 `helm install` 命令来部署 Kubernetes Dashboard。下面是一个基本的例子: ```bash helm install my-release kubernetes-dashboard/kubernetes-dashboard --namespace kube-system ``` 其中 `-namespace kube-system` 表示将 Kubernetes Dashboard 部署到默认的 `kube-system` 名字空间下。可以根据实际需求更改名字空间或者自定义其他参数。 #### 访问 Kubernetes Dashboard 一旦成功安装了 Kubernetes Dashboard,可以通过创建服务账户和服务角色绑定的方式访问它。具体操作如下所示: 1. 创建 ServiceAccount 和 ClusterRoleBinding 文件 (dashboard-admin.yaml): ```yaml apiVersion: v1 kind: ServiceAccount metadata: name: admin-user namespace: kube-system --- apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: admin-user roleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: cluster-admin subjects: - kind: ServiceAccount name: admin-user namespace: kube-system ``` 2. 使用该文件应用权限设置: ```bash kubectl apply -f dashboard-admin.yaml ``` 3. 获取 Token 并登录至 Web UI: ```bash kubectl -n kube-system describe secret $(kubectl -n kube-system get secret | grep admin-user | awk '{print $1}') ``` 最后,在浏览器中输入对应的 NodePort 或者 Ingress 地址即可打开 Kubernetes Dashboard 页面,并利用上述 token 登录验证身份。 --- ### 注意事项 - 如果集群启用了 RBAC,则必须先授予适当的角色权限给用户才能正常查看资源状态。 - 默认情况下可能不会暴露外部 IP 地址供远程连接;此时需考虑设置 LoadBalancer 类型的服务或者其他代理机制实现外网可及性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值