k8s:Secret

最新推荐文章于 2024-06-07 08:56:23 发布
最新推荐文章于 2024-06-07 08:56:23 发布
阅读量264 收藏
点赞数
分类专栏: k8s 文章标签: linux docker 运维 容器 k8s
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_50434960/article/details/114590822
版权

Secret

一般情况下ConfigMap 是用来存储一些非安全的配置信息,如果涉及到一些安全相关的数据的话用ConfigMap 就非常不妥了,因为 ConfigMap 是名为存储的,我们说这个时候我们就需要用到另外一个资源对象了:Secret ,Secret 用来保存敏感信息,例如密码、Auth 令牌和 ssh key等等,将这些信息放在Secret 中比放在Pod 的定义中或者docker 镜像中来说更加安全和灵活。

Secret 有三种类型:
  1. Opaque:base64 编码格式的 Secret,用来存储密码、密钥等;但数据也可以通过base64 –decode解码得到原始数据,所有加密性很弱。
  2. kubernetes.io/dockerconfigjson:用来存储私有docker registry的认证信息。
  3. kubernetes.io/service-account-token:用于被serviceaccount引用,serviceaccout 创建时Kubernetes会默认创建对应的secret。Pod如果使用了serviceaccount,对应的secret会自动挂载到Pod目录/run/secrets/kubernetes.io/serviceaccount 中。
Opaque Secret

Opaque 类型的数据是一个 map 类型,要求value是base64 编码格式,比如创建一个用户名为 admin,密码为 admin321 的 Secret 对象,首先把这用户名和密码做 base64 编码,

echo -n "admin" | base64
YWRtaW4=
echo -n "admin321" | base64
YWRtaW4zMjE=

用上面编码过后的数据来编写一个YAML文件:(secret-demo.yaml)

apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  username: YWRtaW4=
  password: YWRtaW4zMjE=
 
[root@master ~]# kubectl  get secrets 
 NAME                                TYPE                                  DATA   AGE
mysecret                             Opaque                                2      8d

[root@master ~]# kubectl  describe secrets mysecret 
Name:         mysecret
Namespace:    default
Labels:       <none>
Annotations:  
Type:         Opaque

Data
====
password:  8 bytes
username:  5 bytes

创建好 Secret 对象后,有两种方式来使用它:

  1. 以环境变量的形式
  2. 以Volume的形式挂载

环境变量

apiVersion: v1
kind: Pod
metadata:
  name: secret1-pod
spec:
  containers:
  - name: secret1
    image: busybox
    command: [ "/bin/sh", "-c", "env" ]
    env:
    - name: USERNAME
      valueFrom:
        secretKeyRef:
          name: mysecret
          key: username
    - name: PASSWORD
      valueFrom:
        secretKeyRef:
          name: mysecret
          key: password
[root@master ~]# kubectl  logs secret
USERNAME=admin
PASSWORD=admin321

环境变量中定义的secretKeyRef 关键字,和configMapKeyRef比较类似,一个是从Secret 对象中获取,一个是从ConfigMap 对象中获取,

Volume 挂载

apiVersion: v1
kind: Pod
metadata:
  name: secret2-pod
spec:
  containers:
  - name: secret2
    image: busybox
    command: ["/bin/sh", "-c", "ls -l /etc/secrets"]
    volumeMounts:
    - name: secrets
      mountPath: /etc/secrets
  volumes:
  - name: secrets
    secret:
      secretName: mysecret
[root@master ~]# kubectl  logs secret2-pod 
total 0
lrwxrwxrwx    1 root     root            15 Mar  9 10:42 password -> ..data/password
lrwxrwxrwx    1 root     root            15 Mar  9 10:42 username -> ..data/username

volumes:
  - name: secrets
    secret:
      secretName: mysecret
      items:
      - key: username
        path: config/username

可以看到secret 把两个key挂载成了两个对应的文件。当然如果想要挂载到指定的文件上面,和ConfigMap类似:在secretName 下面添加 items指定 key 和 path,

kubernetes.io/dockerconfigjson

除了上面的Opaque 这种类型外,还可以来创建用户docker registry认证的Secret ,直接使用kubectl create命令创建即可,如下:

kubectl create secret docker-registry myregistry --docker-server=DOCKER_SERVER --docker-username=DOCKER_USER --docker-password=DOCKER_PASSWORD --docker-email=DOCKER_EMAIL


[root@master ~]# kubectl  get secrets myregistry 
NAME         TYPE                             DATA   AGE
myregistry   kubernetes.io/dockerconfigjson   1      6d2h


[root@master ~]# kubectl  describe secrets myregistry 
Name:         myregistry
Namespace:    default
Labels:       <none>
Annotations:  <none>

Type:  kubernetes.io/dockerconfigjson

Data
====
.dockerconfigjson:  94 bytes

Data区域没有直接展示出来,如果想查看的话可以使用-o yaml来输出展示出来:

如果我们需要拉取私有仓库中的docker 镜像的话就需要使用到上面的myregistry 这个Secret :

apiVersion: v1
kind: Pod
metadata:
  name: foo
spec:
  containers:
  - name: foo
    image: 192.168.1.100:5000/test:v1
    imagePullSecrets:
    - name: myregistry

我们需要拉取私有仓库镜像192.168.1.100:5000/test:v1 ,我们就需要针对该私有仓库来创建一个如上的Secret ,然后在Pod 的 YAML 文件中指定imagePullSecrets 。

kubernetes.io/service-account-token

另外一种Secret 类型就是kubernetes.io/service-account-token,用于被serviceaccount引用。serviceaccout 创建时 Kubernetes 会默认创建对应的 secret。Pod 如果使用了 serviceaccount,对应的secret会自动挂载到Po的/run/secrets/kubernetes.io/serviceaccount 目录中。

Secret 与 ConfigMap 对比

相同点:

  1. key/value的形式
  2. 属于某个特定的namespace
  3. 可以导出到环境变量
  4. 可以通过目录/文件形式挂载 通过 volume
  5. 挂载的配置信息均可热更新

不同点:

  1. Secret 可以被 ServerAccount 关联
  2. Secret 可以存储 docker register 的鉴权信息,用在ImagePullSecret 参数中,用于拉取私有仓库的镜像 Secret
  3. 支持 Base64 加密
  4. Secret 分为 kubernetes.io/service-account-token、kubernetes.io/dockerconfigjson、Opaque 三种类型,而 Configmap不区分类型
K8S系列】深入解析 k8s:入门指南(二)
颜淡慕潇
03-17 2万+
在使用Kubernetes时,需要熟悉Kubernetes的核心概念和机制,并学习如何使用API和CLI工具进行操作。同时,还需要掌握Docker容器技术,以便将应用程序打包成容器镜像,并部署Kubernetes集群中。Kubernetes是一种强大的容器编排平台,它可以帮助开发者更轻松地管理容器化应用程序。学习之路也是任重而道远,大家一起加油吧!!
K8S系列】深入解析 k8s:入门指南(一)
热门推荐
颜淡慕潇
03-16 1万+
了解容器技术、k8s、各大厂商使用k8s的情况理解掌握k8s的核心对象、架构层面掌握k8s的安装方式k8s常见问题的解决方案有了前面内容的铺垫,现在我们来正式看下Kubernetes 是什么吧他简称k8s,是谷歌开源的容器集群管理系统,他的前身Borg是一直以来都被誉为 Google 公司内部最强大的“秘密武器”。这个说法,虽然有些夸张,但不算是吹牛可以看到,上图中,Borg处于架构最底层。
k8s(六)—configmapp配置管理、secret配置管理、volumes配置管理、pv卷、statefulset控制器
qq_43114229的博客
04-10 4007
1、ConfigMapp配置管理简介 ConfigMap是存储通用的配置变量的。ConfigMap有点儿像一个统一的配置文件,使用户可以将分布式系统中用于不同模块的环境变量统一到一个对象中管理;而它与配置文件的区别在于它是存在集群的“环境”中的,并且支持K8s集群中所有通用的操作调用方式。 而资源的使用者可以通过ConfigMap来存储这个资源的配置,这样需要访问这个资源的应用就可以同通过ConfigMap来引用这个资源。相当通过创建Configmap封装资源配置。 configmap以一个或者多个key:
Kubernetes(k8s)之Secret私密凭据
Tuki来了
08-01 1208
secret用来保管私密数据。
k8s更换secret
weixin_50824654的博客
12-19 886
## 4、修改ingress配置项。# 最后执行 apply 应用变更。### 1、创建存放证书的目录。### 2、上传TLS证书文件。### 3、创建secret。# 或者执行 sed。
k8s实践(7)- k8s Secrets
黄规速博客:学如逆水行舟,不进则退
06-16 1270
Secrets是Kubernetes中一种对象类型,用来保存密码、私钥、口令等敏感信息。与直接将敏感信息嵌入image、pod相比,Secrets更安全、更灵活,用户对敏感信息的控制力更强。同Docker对敏感信息的管理类似,首先用户创建Secrets将敏感信息加密后保存在集群中,创建pod时通过volume、环境变量引用Secrets。 1. Secret类型 Secret有三种类型: O...
k8s---存储之Secret配置管理
m0_51140575的博客
03-16 234
每个namespace下有一个名为default的默认的ServiceAccount对象 编写一个secret对象 [root@server2 ~]# mkdir secret [root@server2 ~]# cd secret/ [root@server2 secret]# vim mysecret.yaml apiVersion: v1 kind: Secret metadata: name: mysecret type: Opaque data: username: YWRt..
k8ssecret里导入证书_Kubernetes K8S之存储Secret详解
weixin_39604598的博客
12-22 1045
K8S之存储Secret概述与类型说明,并详解经常使用Secret示例html主机配置规划服务器名称(hostname)系统版本配置内网IP外网IP(模拟)k8s-masterCentOS7.72C/4G/20G172.16.1.11010.0.0.110k8s-node01CentOS7.72C/4G/20G172.16.1.11110.0.0.111k8s-node02CentOS7.72C/...
kubernetes(k8s):secret配置管理
weixin_43936969的博客
05-20 1329
文章目录1. secret配置管理的作用和类型2. 查看卷的挂载3. 每个namespace下有一个名为default的默认的serviceaccount对象4. opaque secret其value为base64编码后的值4.1 从文件中创建secret4.2 编写一个secret对象4.3 将secret挂载到volume中4.4 向指定路径映射secret密钥4.5 将secret设置为环境变量4.6 kubernetes.io/dockerconfigjson用于存储docker registry
k8s——secret配置资源管理
sea_bunch的博客
06-07 1851
Secret类似,区别在于ConfigMap保存的是不需要加密配置的信息。
K8S:配置资源管理 SecretconfigMap
Katie_ff的博客
10-07 1535
本文主要是对K8S的配置资源管理 SecretconfigMap两者的介绍,Secret 主要是用来保存密码、token、密钥等敏感数据的 k8s 资源,这类数据虽然也可以存放在 Pod 或者镜像中,但是放在 secret 中是为了更方便的控制如何使用数据,并减少暴露的风险ConfigMapSecret类似,区别在于configMap保存的是不需要加密配置的信息。并且对ConfigMapSecret两者如何创建及应用场景、案例使用列举
k8s学习-Secret(创建、使用、更新、删除等)
关注网络安全、云原生安全
08-20 1万+
注意:Base64只是一种编码,不含密钥的,并不安全。任何拥有 API 访问权限的人都可以检索或修改 Secret,任何有权访问 etcd 的人也可以。此外,任何有权限在命名空间中创建 Pod 的人都可以使用该访问权限读取该命名空间中的任何 Secret;使用该 ServiceAccount 创建的任何 Pod 和默认使用该 ServiceAccount 的 Pod 将会将其的 imagePullSecret 字段设置为服务帐户的 imagePullSecret 值。中的安全部分详细展开。
k8s学习-Secret(创建、使用、更新、删除等)_kubectl delete secret
2401_84281594的博客
05-02 1356
任何拥有 API 访问权限的人都可以检索或修改 Secret,任何有权访问 etcd 的人也可以。此外,任何有权限在命名空间中创建 Pod 的人都可以使用该访问权限读取该命名空间中的任何 Secret;对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!中的安全部分详细展开。
有了这个网络安全面试题,面试就像开了挂!(附PDF)
lvaolan的博客
02-26 1547
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!​​​​内容实在太多,不一一截图了。
K8S(六):Pod的配置管理——ConfigMap使用
人在江湖
08-21 5174
一文简要说一下configMap的基本使用方法。
【云原生 | Kubernetes 系列】K8s 实战 管理 Secret 详解
半身风雪
08-25 2168
Secret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 这样的信息可能会被放在 Pod 规约中或者镜像中。 用户可以创建 Secret,同时系统也创建了一些 Secret
k8s configMap中subPath字段和items字段详解
学亮编程手记
07-21 3485
,原来的workspace目录下的文件将会被挂载过来的目录下(可以将configmap看成一个目录,因为每个key都是一个文件)的文件所覆盖,因此workspace中只有configmap中的info和info2文件。如果不想被覆盖,则要以文件的方式进行挂载,如pod2.yaml中所示,注意mountPath和subPath的写法,subPath此时指的就是configMap中的key,也就是文件名。在Linux中,将目录A挂载到目录B,则目录B原有的文件都会被目录A下的文件覆盖。...
k8s (九) --- Kubernetes 存储 之 Configmap
qq_35887546的博客
04-28 770
Kubernetes 存储 之 Configmap一、Configmap简介二、创建Configmap使用字面值创建使用文件创建使用目录创建编写Configmap的yaml文件创建三、使用Configmap通过环境变量的方式直接传递给pod通过在pod的命令行下运行的方式作为volume的方式挂载到pod内四、Configmap热更新五、通过Configmap来部署nginx 一、Configma...
k8s ConfigMap 中 subPath 字段和 items 字段
椰汁菠萝
03-01 865
什么时候应该使用 Subpath - **场景一**: 一个共享卷, 挂载多个路径. - **场景二**: ConfigMapSecret挂载到特定目录的特定路径, 而该目录下已经有其他文件且不希望被覆盖掉
k8s ingress secret
最新发布
02-08
apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: example-ingress-tls spec: rules: - host: "example.com" http: paths: - pathType: Prefix path: "/" backend: service: name: web-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值