Secret 基本使用方法

已于 2024-04-09 11:13:00 修改
阅读量974 收藏 8
点赞数 14
分类专栏: 容器 文章标签: kubernetes 容器 云原生
于 2024-04-09 11:12:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_39965541/article/details/137468002
版权

介绍

Secret 是 Kubernetes 中的一种资源对象,用于存储敏感的配置数据,例如密码、密钥、证书等。与 ConfigMap 类似,Secret 也提供了一种将敏感数据与应用程序解耦的方式,使得应用程序可以更安全地部署和管理。

注意:
默认情况下,Kubernetes Secret 未加密地存储在 API 服务器的底层数据存储(etcd)中。 任何拥有 API 访问权限的人都可以检索或修改 Secret,任何有权访问 etcd 的人也可以。 此外,任何有权限在命名空间中创建 Pod 的人都可以使用该访问权限读取该命名空间中的任何 Secret; 这包括间接访问,例如创建 Deployment 的能力。

创建 Secret

Secret 大小限制:
每个 Secret 的尺寸最多为 1MiB。施加这一限制是为了避免用户创建非常大的 Secret, 进而导致 API 服务器和 kubelet 内存耗尽。不过创建很多小的 Secret 也可能耗尽内存。 可以使用资源配额来约束每个名字空间中 Secret(或其他资源)的个数。

使用原始数据创建

创建:

kubectl create secret generic db-user-pass --from-literal=username=admin --from-literal=password='S!B\*d$zDsb='

查看:

kubectl get secrets

NAME           TYPE     DATA   AGE
db-user-pass   Opaque   2      6s

查看yaml文件

kubectl get secrets db-user-pass -oyaml

apiVersion: v1
data:   # 下面这两个是加密过的账号和密码
  password: UyFCXCpkJHpEc2I9
  username: YWRtaW4=
kind: Secret
metadata:
  name: db-user-pass
type: Opaque

Secrets 解密

在 Kubernetes 中,Secret 中的数据被存储为 Base64 编码的形式,通过Base64 加密的内容也可以通过Base64 解密 例如:

echo 'YWRtaW4='|base64 -d

使用源文件创建

将凭据保存到文件:

echo -n 'admin' > ./username.txt
echo -n 'S!B\*d$zDsb=' > ./password.txt

使用文件创建

kubectl create secret generic db-user-pass \
    --from-file=username=./username.txt \
    --from-file=password=./password.txt

创建完成以后查看方法和上面的一样

创建 Secret 时提供未编码的数据

使用 stringData 字段。 这个字段可以将一个非 base64 编码的字符串直接放入 Secret 中, 当创建或更新该 Secret 时,此字段将被编码。

apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
stringData:   # 下面的数据都是明文添加的,如果不使用这个字段是需要base64编码的
  config.yaml: |
    apiUrl: "https://my.api.com/api/v1"
    username: <user>
    password: <password>

同时指定 data 和 stringData

apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  username: YWRtaW4=      # 这个是 base64 编码过的
stringData:
  username: administrator # 这个是明文数据

修改 Secret

## 基本所有类型的资源都可以用这个方式去修改,除非设置禁止修改了
kubectl edit secrets db-user-pass

apiVersion: v1
data:
  password: UyFCXCpkJHpEc2I9
  username: YWRtaW4=
kind: Secret
metadata:
  creationTimestamp: "2024-04-07T08:42:14Z"
  name: db-user-pass
  namespace: default     # 不指定namespace 默认就是 default 
  resourceVersion: "7809921"
  uid: 1843c576-cea8-4bbe-a482-3cfd23f66d29
type: Opaque

Secret的类型

Secret 资源的 type 字段常用的类型:

内置类型用法
Opaque用户定义的任意数据
kubernetes.io/service-account-token服务账号令牌
kubernetes.io/dockercfg ~/.dockercfg文件的序列化形式
kubernetes.io/dockerconfigjson ~/.docker/config.json文件的序列化形式
kubernetes.io/basic-auth用于基本身份认证的凭据
kubernetes.io/ssh-auth用于 SSH 身份认证的凭据
kubernetes.io/tls用于 TLS 客户端或者服务器端的数据
bootstrap.kubernetes.io/token启动引导令牌数据

通过为 Secret 对象的 type 字段设置一个非空的字符串值,你也可以定义并使用自己 Secret 类型(如果 type 值为空字符串,则被视为 Opaque 类型)。

例如使用 ServiceAccount 令牌 Secret

apiVersion: v1
kind: Secret
metadata:
  name: secret-sa-sample
  annotations:
    kubernetes.io/service-account.name: "sa-name"
type: kubernetes.io/service-account-token           # 需要修改为相应类型的字段
data:
  extra: YmFyCg==

Secret 具体应用

可选的 Secret

这个参数基本和ConfigMap里的一样

apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: mypod
    image: redis
    volumeMounts:
    - name: foo
      mountPath: "/etc/foo"
      readOnly: true
  volumes:
  - name: foo
    secret:
      secretName: mysecret   # secret 文件的名字
      optional: true         # 如果 secret 不存在就忽略他

以挂载的方式使用 Secret

apiVersion: v1
kind: Pod
metadata:
  name: secret-test-pod
spec:
  containers:
    - name: test-container
      image: nginx
      volumeMounts:
        
        - name: secret-volume            # name 必须与下面的卷名匹配
          mountPath: /etc/secret-volume
          readOnly: true                 # 以只读方式挂在 Secret
  # Secret 数据通过一个卷暴露给该 Pod 中的容器
  volumes:
    - name: secret-volume                # 名字一致
      secret:
        secretName: test-secret

subPath 使用方法

使用 Secret 挂载配置文件时,默认情况下会覆盖容器中已存在的文件。如果在容器中已经存在相同路径下的文件,为避免这种情况,可以通过设置 subPath 字段来指定挂载的文件。这样可以确保只有指定的文件会被挂载,而不会影响相同路径下的其他的文件。

例如:挂载 nginx 配置文件,这个和ConfigMap用法基本一样

apiVersion: v1
data:
  nginx.conf.bak: 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
kind: Secret
metadata:
  name: nginx-config
type: Opaque
---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: nginx-deployment
  labels:
    app: nginx
spec:
  replicas: 1
  selector:
    matchLabels:
      app: nginx
  template:
    metadata:
      labels:
        app: nginx
    spec:
      containers:
      - name: nginx
        image: nginx:1.14.2
        command: ["bash","-c","sleep 3600"]
        ports:
        - containerPort: 80
        volumeMounts:
        - name: nginx-config-volume
          mountPath: /etc/nginx/nginx.conf
          subPath: nginx.conf.bak
      volumes:
      - name: nginx-config-volume
        secret:
          secretName: nginx-config

注意: 对于以 subPath 形式挂载 Secret 卷的容器而言, 它们无法收到自动的 Secret 更新。

以环境变量的方式使用 Secret

如果容器已经使用了在环境变量中的 Secret,除非容器重新启动,否则容器将无法感知到 Secret 的更新。 有第三方解决方案可以在 Secret 改变时触发容器重启。

定义环境变量为 Secret 中的键值偶对:

kubectl create secret generic backend-user --from-literal=backend-username='backend-admin'

在 Pod 规约中,将 Secret 中定义的值 backend-username 赋给 SECRET_USERNAME 环境变量。

apiVersion: v1
kind: Pod
metadata:
  name: env-single-secret
spec:
  containers:
  - name: envars-test-container
    image: nginx
    env:
    - name: SECRET_USERNAME
      valueFrom:
        secretKeyRef:
          name: backend-user
          key: backend-username

创建 Secret 访问私有镜像仓库

替换仓库进行身份验证的用户名、密码和客户端电子邮件地址,以及它的主机名即可。

kubectl create secret docker-registry secret-tiger-docker \
  --docker-email=tiger@acme.example \
  --docker-username=tiger \
  --docker-password=pass1234 \
  --docker-server=my-registry.example:5000

注意:Pod 只能引用位于自身所在名字空间中的 Secret,因此需要针对每个名字空间重复执行上述过程。

在Pod中使用上面创建的Secret

创建 Pod 时,可以在 Pod 定义中增加 imagePullSecrets 部分来引用该 Secret。imagePullSecrets 数组中的每一项只能引用同一名字空间中的 Secret。

apiVersion: v1
kind: Pod
metadata:
  name: my-pod
spec:
  containers:
    - name: my-container
      image: nginx                # 填写私有镜像仓库的地址
  imagePullSecrets:
    - name: secret-tiger-docker   # Secret 名字要对应上

配置 imagePullSecrets 为自动挂载

kubectl patch serviceaccount default -p '{"imagePullSecrets": [{"name": "secret-tiger-docker"}]}'

配置好以后查看yaml文件

apiVersion: v1
kind: ServiceAccount
metadata:
  name: default
  namespace: default     # 这个根据需要更改
imagePullSecrets:
  - name: secret-tiger-docker

检查 imagePullSecrets 是否可以自动挂载

创建新 Pod 并使用默认 ServiceAccount 时, 新 Pod 的 spec.imagePullSecrets 会被自动设置。

kubectl run nginx --image=nginx --restart=Never
kubectl get pod nginx -o=jsonpath='{.spec.imagePullSecrets[0].name}{"\n"}'

使用 Secret 数据定义容器变量

定义环境变量为 Secret 中的键值偶对:

kubectl create secret generic backend-user --from-literal=backend-username='backend-admin'

在 Pod 规约中,将 Secret 中定义的值 backend-username 赋给 SECRET_USERNAME 环境变量。

apiVersion: v1
kind: Pod
metadata:
  name: env-single-secret
spec:
  containers:
  - name: envars-test-container
    image: nginx
    env:
    - name: SECRET_USERNAME
      valueFrom:
        secretKeyRef:
          name: backend-user
          key: backend-username

也可以使用多个 Secret 的数据定义环境变量:

kubectl create secret generic backend-user --from-literal=backend-username='backend-admin'
kubectl create secret generic db-user --from-literal=db-username='db-admin'

在Pod 中使用

apiVersion: v1
kind: Pod
metadata:
  name: envvars-multiple-secrets
spec:
  containers:
  - name: envars-test-container
    image: nginx
    env:
    - name: BACKEND_USERNAME
      valueFrom:
        secretKeyRef:
          name: backend-user
          key: backend-username
    - name: DB_USERNAME
      valueFrom:
        secretKeyRef:
          name: db-user
          key: db-username

将 Secret 中的所有键值对定义为环境变量

创建包含多个键值偶对的 Secret:

kubectl create secret generic test-secret --from-literal=username='my-app' --from-literal=password='39528$vdg7Jb'

使用 envFrom 来将 Secret 中的所有数据定义为环境变量。

apiVersion: v1
kind: Pod
metadata:
  name: envfrom-secret
spec:
  containers:
  - name: envars-test-container
    image: nginx
    envFrom:
    - secretRef:
        name: test-secret

不可修改Secret

你可以通过将 Secret 的 immutable 字段设置为 true 创建不可更改的 Secret。 例如:

apiVersion: v1
kind: Secret
metadata:
  ...
data:
  ...
immutable: true

Secret 设置 POSIX 权限

Secret 被挂载在 /etc/foo 目录下;所有由 Secret 卷挂载创建的文件的访问许可都是 0400,如果不指定任何权限,默认情况下使用 0644。

apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: mypod
    image: redis
    volumeMounts:
    - name: foo
      mountPath: "/etc/foo"
  volumes:
  - name: foo
    secret:
      secretName: mysecret
      defaultMode: 0400
Secret配置管理
m0_59750991的博客
08-01 423
一.Secret概述 Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 ssh key。 敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。 Pod 可以用两种方式使用 secret: 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里。 当 kubelet 为 pod 拉取镜像时使用Secret的类型: Service Account:Kubernetes 自动创建包含访问 API 凭据的 secret,并自动修改 pod
Kubernetes---Secret配置管理
Jelly
04-21 1188
一、Secret配置管理介绍 Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 ssh key。 敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。 Pod 可以用两种方式使用 secret: • 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里; • 当 kubelet 为 pod 拉取镜像时使用Secret的类型: • Service Account:K...
K8S:配置资源管理 Secret和configMap
最新发布
Katie_ff的博客
10-07 1535
本文主要是对K8S的配置资源管理 Secret和configMap两者的介绍,Secret 主要是用来保存密码、token、密钥等敏感数据的 k8s 资源,这类数据虽然也可以存放在 Pod 或者镜像中,但是放在 secret 中是为了更方便的控制如何使用数据,并减少暴露的风险ConfigMap与Secret类似,区别在于configMap保存的是不需要加密配置的信息。并且对ConfigMap和Secret两者如何创建及应用场景、案例使用列举
如何跨命名空间共享 Secret 和 ConfigMap?Kubesphere 凭证如何同步?
技术宅,专注云原生、Go、Linux、Java等技术分享,原创文章、效率工具、实战解决方案!关注我,了解互联网动态,学 IT 不迷路
05-25 2265
1. 所有命名空间都有相同的私有注册表,避免为每个命名空间创建相同的 Secret 2. Kubeshere 中 Devops 项目中的 harbor 凭证、源代码仓库的凭证 如何自动化的在跨命名空间,甚至跨 Kubernetes 集群之间“同步”这些配置,有很多方法。并用凭证在 Kubesphere Devops 项目之间同步做示例。
secret配置管理中心
m0_46445748的博客
02-13 139
k8s secret
kubernetes使用 (十四) Secret 加密凭证
默子昂
01-25 2574
Secret 这个单词我百度了一下,意思是"秘密" (。・∀・)ノ) Secret主要是用来对数据进行加密,并将加密后的数据存放在etcd中, 可以在使用时让pod容器,以挂载的方式进行访问 他给我们提供了一定的安全性,所以会经常用来存放一些密码、密钥等重要的数据 Secret 常用的类型 1. Opaque #base64 编码格式的 Secret,用来存储密码、密钥等; #但数据也可以通过base64 –decode解码得到原始数据,所有加密性很弱。 ...
thycotic.secretserver:PowerShell模块,用于通过API与Thycotic Secret Server进行交互
02-07
欢迎使用Thycotic Secret Server PowerShell模块。 该模块利用REST API允许您管理Secret Server中的内容。 此模块由Thycotic专业服务管理和维护。 该模块的目标是能够具有与UI相似的工作流程,而且还使用户可以更...
phpmyadmin配置文件现在需要绝密的短密码(blowfish_secret)的2种解决方法
12-19
这将使PHPMyAdmin使用HTTP基本认证,而不是基于cookie的认证。修改后的代码如下: ```php $cfg['Servers'][$i]['auth_type'] = 'http'; ``` 4. 保存并关闭文件,然后重新加载或重启Web服务器(例如Apache的`httpd...
secret image transformation-开源
06-27
这种技术结合了DES加密算法与基于离散余弦变换(DCT)的嵌入方法,为数据的安全传输和存储提供了新的可能。 首先,我们来深入了解一下DES(Data Encryption Standard)加密算法。DES是一种古老的对称密钥加密标准,...
Android Secret Code(输入字符弹出手机信息)详解
09-01
以下是创建自定义 Secret Code 的基本步骤: 1. **创建 Broadcast Receiver**:首先,你需要创建一个新的BroadcastReceiver类,例如命名为`SecretReceiver`。 ```java public class SecretReceiver extends ...
高级加密解密标准AES加密secret.js代码
02-13
参考技术开发文章:【前端Js】高级加密解密标准AES加密(Javascript代码实现) ,地址http://blog.youkuaiyun.com/hj7jay/article/details/55044831
【Python标准库】用了Secrets,再也不用担心密码泄露
微小冷的学习笔记
12-08 4592
123456这种密码如果不被盗反而是奇迹,在Python标准库中,提供了secrets模块,可以生成密码安全的随机数,由此可以生成XKCD风格的密码。尽管带有CXK三个字,但XKCD其实和ikun没什么关系,仅仅是一种密码标准而已
K8s secret配置
杨仕虎的博客
02-09 1899
secret secret用于保存铭感信息,比如密码、ssh-key、令牌等等 存储格式:K/V键值对 使用方式:环境变量和挂载(volumes) 密文方式:base64 创建方式:命令行创建和配置清单 使用场景: opaque:通用自定义数据,base64编码 kubernetes.io/service-account-token:用于存储SA用户认证信息 kubernetes.io/dockerconfigjson:用户存储docker仓库认证信息 kubernetes.io/tls:用于tls通讯
秘密secret的几个应用场景
btacad的博客
02-03 1185
1.AI 算力共享 秘密人工智能服务本身需要海量的计算资源进行各种计算和训练工作,如果自己搭建 AI 计算网络,需要投入大量的软硬件资源。    中国区区块链顶级玩家为大家解析,VX:btacad 我们找出了一条新的道路——在 5G 网络 SIEN 之上构建 AI 算力共享服务。SIEN 网络的特点保证了网络自身的安全性和公平性,我们在此基础之上构建一套可以 计量的计算资源评估和交易体系,鼓励更多的人将自己的闲余计算能力共享出来,供 SIEN 网络使用。首先要解决的是计算资源的抽象,使之能够被计量。一个
Flink StateFunction:集成了Flink和FaaS的流处理优点
微信搜:import_bigdata,大数据领域硬核原创作者
10-13 949
点击上方蓝色字体,选择“设为星标”回复”资源“获取更多资源大数据技术与架构点击右侧关注,大数据开发领域最强公众号!大数据真好玩点击右侧关注,大数据真好玩!近日,有状态函数(Statefu...
more .mysql secret_Docker Secret的管理和使用
weixin_30999777的博客
01-27 454
一、什么是Docker Secret(一)情景展现我们知道有的service是需要设置密码的,比如mysql服务是需要设置密码的:version: '3'services:web:image: wordpressports:- 8080:80volumes:- ./www:/var/www/htmlenvironment:WORDPRESS_DB_NAME=wordpressWORDPRESS_D...
Docker Secret加密
恋恋风辰的技术博客
12-22 1999
Docker Secret 在我们启动docker或者service需要指定密码,这种密码我们有时不想被别人知道,所以可以采用docker secret方式管理。 创建secret可以有两种方式,一种通过文件创建,一种通过命令行创建 我们在本地创建一个文件passwd zack1024 接下我们可以通过如下命令创建secret docker secret create my-pw passwd 运行后可以看到屏幕输出如下 qq463dkw4da9s05rwinntmo09 这是一
kubernetes配置secret拉取私仓镜像
mark's technic world
05-15 2095
对于公司内部的项目, 我们不可能使用公有开放的镜像仓库, 一般情况可能会花钱买 docker私仓服务, 或者说自己在服务器上搭建自己的私仓, 但不管怎样, 我们如何让k8s能够拉取私有仓库的镜像1. 登录docker镜像仓库这里以阿里云docker镜像仓库为例docker login --username=yin32167@aliyun.com registry.cn-hangzhou.aliy...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值