kubernetes资源对象--secret和Service Account

最新推荐文章于 2025-04-23 18:08:15 发布
最新推荐文章于 2025-04-23 18:08:15 发布
阅读量230 收藏 1
点赞数
文章标签: 运维 json
本文详细介绍了Kubernetes中Secret资源对象的概念、类型及其创建方法。Secret用于存储敏感信息,如密码和SSH密钥等,并提供了如何在Pod中引用Secret的具体示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本文基于kubernetes 1.5.2版本编写

secret

概念

secret资源对象主要目的是保存和处理敏感信息/私密数据,比如密码,OAuth tokens,ssh keys等信息。将这些信息放在secret对象中比直接放在pod或docker image中更安全,也更方便使用。

类型

Opaque任意字符串,默认类型

kubernetes.io/service-account-token:作用于Service Account

kubernetes.io/dockercfg:作用于Docker registry,用户下载docker镜像认证使用

Opaque

创建

文件方式

首先把需要加密的内容实现base64编码

echo -n lykops | base64
bHlrb3Bz

echo -n 1qaz2wsx | base64
MXFhejJ3c3g=

然后写入lykops-secret.yaml

apiVersion: v1
kind: Secret
metadata:
  name: lykops-secret
  namespace: default
type: Opaque
data:
  password: MXFhejJ3c3g=
  username: bHlrb3Bz

导入kubectl create -f lykops-secret.yaml

命令行方式
kubectl create secret generic lykops --secret --from-literal=username=lykops --from-literal=password=1qaz2wsx

pod引用

cat << EOF > lykops-secret.yaml
apiVersion: v1
kind: Pod
metadata:
 name: lykops-secret-pod
 labels:
   software: apache
   project: lykops
   app: lykops-secret-pod
   version: v1
spec:
 containers:
    -name: lykops-secret-pod
     image: web:apache
     command: ['sh' , '/etc/run.sh']
     env:
       - name: SECRET_USERNAME
         valueFrom:
           secretKeyRef:
             name: lykops-secret
             key: username
       - name: SECRET_PASSWORD
         valueFrom:
           secretKeyRef:
             name: lykops-secret
             key: password

EOF
kubectl create -f lykops-secret-pod.yaml

测试

进入pod kubectl exec -it lykops-secret-pod /bin/bash env | grep -i '^SECRET' SECRETUSERNAME=lykops SECRET_PASSWORD=1qaz2wsx

imagePullSecrets

当在需要安全验证的环境中拉取镜像时,需要通过用户名和密码。

apiVersion: v1
kind: Secret
metadata:
 name: myregistrykey
 namespace: awesomeapps
data:
 .dockerconfigjson:UmVhbGx5IHJlYWxseSByZWVlZWVlZWVlZWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWxsbGxsbGxsbGxsbGxsbGxsbGxsbGxsbGxsbGxsbGx5eXl5eXl5eXl5eXl5eXl5eXl5eSBsbGxsbGxsbGxsbGxsbG9vb29vb29vb29vb29vb29vb29vb29vb29vb25ubm5ubm5ubm5ubm5ubm5ubm5ubm5ubmdnZ2dnZ2dnZ2dnZ2dnZ2dnZ2cgYXV0aCBrZXlzCg==
type: kubernetes.io/dockerconfigjson

或者直接通过命令创建

kubectl create secret docker-registry myregistrykey --docker-server=DOCKER_REGISTRY_SERVER --docker-username=DOCKER_USER --docker-password=DOCKER_PASSWORD --docker-email=DOCKER_EMAIL

接下来拉取镜像的时候,就可以使用了

apiVersion: v1
kind: Pod
metadata:
 name: foo
 namespace: awesomeapps
spec:
 containers:
    -name: foo
     image: janedoe/awesomeapp:v1
 imagePullSecrets:
    -name: myregistrykey

其实本质上还是kubelet把这个认证放到了docker的目录下面,如下: cat ~/.docker/config.json { "auths": { "10.39.0.118": { "auth": "Y2hlbm1vOmNtMTM4MTE2NjY3ODY=" }, "10.39.0.12:5000": { "auth": "dXNlcjAxOjEyMzQ1YQ==" }, "http://10.39.0.12:5000": { "auth": "dXNlcjAxOjEyMzQ1YQ==" } } }

Service Account

Service Account(以下简称SA)的使用场景:运行在pod里的进程需要调用K8S API以及非K8S API的其它服务。SA并不是给K8S集群的用户使用的,而是给pod里面的进程使用的,它为pod提供必要的身份认证。

如果K8S开启了SA(位于/etc/kubernetes/controller-manager的KUBEADMISSIONCONTROL="--admission-control=NamespaceLifecycle,NamespaceExists,LimitRanger,SecurityContextDeny,ServiceAccount,ResourceQuota"),那么会在每个namespace下面都会创建一个默认的default的SA。


lykops
关注
kubernetes资源--secretServiceAccount
码农崛起
06-15 1241
secret概念secret对象类型主要目的是保存处理敏感信息/私密数据,比如密码,OAuth tokens,ssh keys等信息。将这些信息放在secret对象中比 直接放在pod或docker image中更安全,也更方便使用。一个已经创建好的secrets对象有两种方式被pod对象使用,其一,在container中的volume对象里以file的形式被使用,其二,在pull images...
[置顶] kubernetes资源类型--secretService Account
ddk4044的博客
08-02 486
secret 概念 secret对象类型主要目的是保存处理敏感信息/私密数据,比如密码,OAuth tokens,ssh keys等信息。将这些信息放在secret对象中比 直接放在pod或docker image中更安全,也更方便使用。 一个已经创建好的secrets对象有两种方式被pod对象使用,其一,在container中的volume对象里以file的形式被使用,其二,在p...
k8s之源之secretserviceaccount
mark's technic world
01-01 453
发布一个k8s部署视频:https://edu.youkuaiyun.com/course/detail/26967 课程内容:各种k8s部署方式。包括minikube部署,kubeadm部署,kubeasz部署,rancher部署,k3s部署。包括开发测试环境部署k8s,生产环境部署k8s。 第二个视频发布https://edu.youkuaiyun.com/course/detail/27109 介绍主要...
ImagePullSecretDownWard API
m0_74206365的博客
06-01 808
/本文件创建的存储卷名称为volumedownward,这个名称会被容器设置的存储卷引用。//上述命令执行完毕后可以使用下面命令输出该secret的yaml内容,在改内容中data字段下包含了一串字符串,这串内容就是编码之后的值,可以对该字符串进行解码,使其采用明文的形式展示出来,可以使用下面的命令。此类型主要用来存储私有Dcoker Registry的认证信息,在设置Pod模板时,如果需要从私有仓库中拉取镜像,可以设置imagePullSecret属性为此类型的Secret,以作为仓库的登陆密钥。
k8s实战篇-(在 ServiceAccount 中设置 imagePullSecrets,为Pod 注入 imagePullSecrets 信息)
liuchenbei的博客
09-09 1999
ServiceAccount 中设置 imagePullSecrets,为Pod 注入 imagePullSecrets 信息。
Kubernetes---Secret配置管理
Jelly
04-21 1223
一、Secret配置管理介绍 Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌 ssh key。 敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全灵活。 Pod 可以用两种方式使用 secret: • 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里; • 当 kubelet 为 pod 拉取镜像时使用。 Secret的类型: • Service Account:K...
kubernetes-dashboard.yaml
08-11
serviceAccountName: kubernetes-dashboard # Comment the following tolerations if Dashboard must not be deployed on master tolerations: - key: node-role.kubernetes.io/master effect: NoSchedule ---...
KubernetesService Account
专注于数据库技术分享,包含但不限于Oracle,MySQL,PostgreSQL,ElasticSearch及国产数据库等
05-14 707
Kubernetes 中,Service Account(服务账户)是一种特殊的 Kubernetes 账户,主要用于在 Pod 内运行的应用程序,以便这些应用程序能够与 Kubernetes API 进行交互,比如读取或修改 Kubernetes 对象。每个命名空间下默认都会有一个名为default的服务账户,也可以创建额外的服务账户来满足不同权限需求。
部署kubernetes集群--GUI资源管理插件dashboard
勿念旧梦
08-15 295
dashboard安装部署 准备镜像 [root@node7-200 ~]# cd /data/k8s-yaml/ [root@node7-200 k8s-yaml]# docker pull k8scn/kubernetes-dashboard-amd64:v1.8.3 [root@node7-200 k8s-yaml]# docker image ls | grep dashboard [root@node7-200 k8s-yaml]# docker tag fcac9aa03fd6 harbor.o
【云原生】Kubernetes----Kubernetes集群部署Prometheus Grafana
hy199707的博客
06-16 1427
在云原生时代,Kubernetes(简称K8s)已经成为了容器编排的事实标准。然而,如何监控这个庞大的集群,确保其稳定运行,是每个运维人员都需要面对的问题。PrometheusGrafana作为开源的监控可视化工具,被广泛应用于Kubernetes集群的监控中。本文将详细介绍如何在Kubernetes集群中部署PrometheusGrafana,以实现对集群的全面监控。
k8s 配置imagePullSecrets仓库认证
菜鸡的博客
03-19 1251
之后,需要在 Pod、Deployment、StatefulSet、DaemonSet 等工作负载的。,例如 Docker Hub、Harbor、阿里云镜像仓库、腾讯云 TCR 或自建的。如果 Pod 不是由 Deployment 控制,而是。类型的 Secret 存储镜像仓库的认证信息。命名空间中创建的所有 Pod 默认都会使用。在 Kubernetes (K8s) 中,保存后,K8s 会自动重新创建 Pod。Kubernetes 通过。
k8s使用harbor私有仓库镜像 —— 筑梦之路
筑梦之路
04-17 1711
官方文档:ImagePullSecrets的设置是kubernetes机制的另一亮点,习惯于直接使用Docker Pull来拉取公共镜像,但非所有容器镜像都是公开的。此外,并不是所有的镜像仓库都允许匿名拉取,也就是说需要身份认证;kubernetes有一个secret记录类型,可用于配置镜像登陆凭证,secret的一个特定的类型:kubernetes.io/dockercfg 或者 kubernetes.io/dockerconfigjson
Kubernetes ImagePullSecrets 复制工具常见问题解决方案
gitblog_00845的博客
12-05 945
Kubernetes ImagePullSecrets 复制工具常见问题解决方案 1. 项目基础介绍 本项目是 alexellis/registry-creds,一个用于在 Kubernetes 集群中自动复制 ImagePullSecrets 到所有命名空间的开源工具。它主要使用 Go 语言开发。通过这个工具,可以避免手动为每个命名空间配置镜像拉取密钥的繁琐过程,提高多租户环境下的运维效率。 2...
k8s之ServiceAccount
weixin_37337210的博客
01-17 1万+
导读 上一篇说了k8s的RBAC授权模式,今天就来简单看一下其中涉及到的ServiceAccount。 简介 k8s创建两套独立的账号系统,原因如下: (1)User账号给用户用,Service Account是给Pod里的进程使用的,面向的对象不同 (2)User账号是全局性的,Service Account则属于某个具体的Namespace (3)User账号是与后端的用户数据库同步的,创建一个新用户通常要走一套复杂的业务流程才能实现,Service Account的创建则需要极轻量级的实现
KubernetesServiceAccount+Secret(超详细汇总)
热门推荐
BigData_Mining的博客
03-13 1万+
第一章、前言 每一个用户对API资源进行操作都需要通经过以下三个步骤: 第一步:对客户端访问进行认证操作,确认是否具有访问k8s权限 token(共享秘钥) SSL(双向SSL认证) ....通过任何一个认证即表示认证通过,进入下一步 第二步:授权检查,确认是否对资源具有相关的权限 ABAC(基于属性的访问控制) RBAC(基于角色的访问控制) NODE(基...
k8s imagePullSecrets拉取镜像的一种配置
wenwst的专栏
06-03 2828
在k8s中,拉取本地镜像或远程镜像时,需要授权。 创建secret kubectl create secret docker-registry secret-key --docker-server=http://172.16.0.107 --docker-username=admin --docker-password=password -n <NAMESPACE> K8s自动拉取镜像权限 以下是imagePullSecrets的配置方式。 name: secret-key 这个就是我们需要使
k8s之service account
fengcai_ke的博客
07-11 3788
k8s service account分析
k8s之ServiceAccount详解
最新发布
woshihlf的博客
04-23 1380
为工作负载提供身份标识通过 RBAC 实现精细的访问控制支持安全的服务间通信管理外部资源访问凭证实现最小权限原则隔离不同工作负载提供可审计的服务身份增强集群整体安全性理解 ServiceAccount 与 Pod、Secret、RBAC 等组件的关系,对于设计安全的 Kubernetes 架构至关重要。随着 Kubernetes 的发展,ServiceAccount 机制也在不断改进,如 TokenRequest API 的引入,使得身份管理更加安全灵活。
【k8s】podserviceaccount关系
m0_45406092的博客
08-15 1522
Pod ServiceAccount 的联系体现在权限管理安全控制上。通过 ServiceAccount,你可以控制 Pod 如何与 Kubernetes API 服务器交互,授予它们执行任务所需的最小权限,从而增强集群的安全性管理性。
kubernetes-dashboard-2.8.1安装部署
01-23
### 安装部署 Kubernetes Dashboard 2.8.1 #### 准备工作 为了成功安装配置Kubernetes Dashboard,确保集群已经正确设置并运行。Node节点应已启动`kubelet`, `kube-proxy`, 其他必要的组件如DockerFlannel网络插件[^1]。 #### 下载Dashboard资源清单文件 获取适用于版本2.8.1的官方YAML文件用于创建Dashboard实例。通常可以从GitHub仓库下载特定标签下的发布版: ```bash wget https://raw.githubusercontent.com/kubernetes/dashboard/v2.8.1/aio/deploy/recommended.yaml ``` #### 修改资源配置 编辑上述命令拉取下来的`recommended.yaml`文件来适应具体的环境需求。特别是注意ServiceAccount, ClusterRoleBinding以及Deployment部分的内容以匹配实际使用的认证机制服务暴露方式。 对于通过Token验证的方式,在完成部署之后可以按照如下方法查询Admin用户的Token: ```bash kubectl get secret -n kubernetes-dashboard | grep admin-user # 替换成你所定义的服务账户名称 kubectl describe secret $(kubectl get secrets -o name | grep admin-user) -n kubernetes-dashboard ``` 此过程会返回一个Base64编码后的token字符串,该字符串可用于登录界面的身份验证[^4]。 #### 应用配置至集群 当所有的准备工作完成后,就可以应用这些变更到Kubernetes环境中去了: ```bash kubectl apply -f recommended.yaml ``` 这一步骤将会在默认命名空间(`kubernetes-dashboard`)下建立所有必需的对象,包括但不限于Pods、Services等。 #### 访问仪表板UI 一旦确认所有Pod都处于Running状态,则可以通过浏览器访问外部IP地址加上指定端口的方式来打开Web UI页面。如果启用了HTTPS协议的话还需要提供相应的证书信息。 例如,假设服务被映射到了主机上的30002端口,那么完整的URL可能是这样的形式:`https://<master-node-ip>:30002/`。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值