Kubernetes之Secret详解并配置连接Harbor仓库

于 2024-12-29 06:00:00 发布
阅读量566 收藏 1
点赞数 7
文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/soso678/article/details/144795129
版权

Secret详解

官方文档:https://kubernetes.io/zh-cn/docs/concepts/configuration/secret/

secret用来保存小片敏感数据的k8s资源,例如密码,token,或者秘钥。这类数据当然也可以存放在Pod或者镜像中,但是放在Secret中是为了更方便的控制如何使用数据,并减少暴露的风险。而不需要把这些敏感数据暴露到镜像或者Pod Spec中。

用户可以创建自己的secret,系统也会有自己的secret。Pod需要先引用才能使用某个secret

Secret类型type:

1.kubernetes.io/service-account-token:用于被 serviceaccount 引用。serviceaccout 创建时 Kubernetes 会默认创建对应的 secret。Pod 如果使用了 serviceaccount,对应的 secret 会自动挂载到 Pod 的的/run/secrets/kubernetes.io/serviceaccount 目录中。 

2.Opaque:base64编码格式的Secret,用来存储密码、秘钥等。

3.kubernetes.io/dockerconfigjson:用来存储私有docker registry的认证信息

4.kubernetes.io/tls:此类型仅用于存储私钥和证书

Pod使用secret方式:

作为volume的一个域被一个或多个容器挂载

內建的Secrets:

由ServiceAccount创建的API证书附加的秘钥k8s自动生成的用来访问apiserver的Secret,所有Pod会默认使用这个Secret与apiserver通信

创建自己的Secret:

方式1:使用kubectl create secret命令
方式2:yaml文件创建Secret
yaml方式创建Secret

假如某个Pod要访问数据库,需要用户名密码,现在我们分别设置这个用户名和密码

Secret 对象要求这些数据必须是经过 Base64 转码的,以免出现明文密码显示的安全隐患。

创建一个secret.yaml文件,内容用base64编码:明文显示容易被别人发现,这里先转码。

[root@kub-k8s-master ~]# echo -n 'admin' | base64
YWRtaW4=
[root@kub-k8s-master ~]# echo -n '1f2d1e2e67df' | base64
MWYyZDFlMmU2N2Rm
-w 0  表示不换行

创建一个secret.yaml文件,内容用base64编码

[root@kub-k8s-master prome]# vim secret.yml
---
apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque  #模糊
data:
  username: YWRtaW4=
  password: MWYyZDFlMmU2N2Rm

创建:

[root@kub-k8s-master prome]# kubectl apply -f secret.yml 
secret/mysecret created

解析Secret中内容,还是经过编码的—需要解码

查看secret
[root@kub-k8s-master ~]# kubectl get secrets
NAME                  TYPE                                  DATA   AGE
default-token-7vc82   kubernetes.io/service-account-token   3      30h
mysecret              Opaque                                2      6s

查看secret详细信息
[root@kub-k8s-master prome]# kubectl get secret mysecret -o yaml
apiVersion: v1
data:
  password: MWYyZDFlMmU2N2Rm
  username: YWRtaW4=
kind: Secret
metadata:
  creationTimestamp: "2019-10-21T03:07:56Z"
  name: mysecret
  namespace: default
  resourceVersion: "162855"
  selfLink: /api/v1/namespaces/default/secrets/mysecret
  uid: 36bcd07d-92eb-4755-ac0a-a5843ed986dd
type: Opaque

手动base64解码方式:

[root@kub-k8s-master ~]# echo 'MWYyZDFlMmU2N2Rm' | base64 --decode
使用Secret
secret可以作为数据卷挂载或者作为环境变量暴露给Pod中的容器使用,也可以被系统中的其他资源使用。

一个Pod中引用Secret的列子:

创建一个Secret,多个Pod可以引用同一个Secret

修改Pod的定义,在spec.volumes[]加一个volume,给这个volume起个名字,spec.volumes[].secret.secretName记录的是要引用的Secret名字

[root@kub-k8s-master prome]# vim pod_use_secret.yaml
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: testredis
    image: daocloud.io/library/redis
    volumeMounts:    #挂载一个卷
    - name: foo     #这个名字需要与定义的卷的名字一致
      mountPath: "/etc/foo"  #挂载到容器里哪个目录下,随便写
      readOnly: true
  volumes:     #数据卷的定义
  - name: foo   #卷的名字这个名字自定义
    secret:    #卷是直接使用的secret。
      secretName: mysecret   #调用刚才定义的secret
      
创建:
[root@kub-k8s-master prome]# kubectl apply -f pod_use_secret.yaml 
pod/mypod created
[root@kub-k8s-master prome]# kubectl exec -it mypod /bin/bash
root@mypod:/data# cd /etc/foo/
root@mypod:/etc/foo# ls
password  username
root@mypod:/etc/foo# cat password 
1f2d1e2e67df

结果中看到,保存在 Etcd 里的用户名和密码信息,已经以文件的形式出现在了容器的 Volume 目录里。
而这个文件的名字,就是 kubectl create secret 指定的 Key,或者说是 Secret 对象的 data 字段指定的 Key。 

每一个被引用的Secret都要在spec.volumes中定义
 如果Pod中的多个容器都要引用这个Secret那么每一个容器定义中都要指定自己的volumeMounts,但是Pod定义中声明一次spec.volumes就好了。

以环境变量的形式使用Secret

[root@kub-k8s-master prome]# vim pod_use_secret.yaml
---
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: testredis
    image: daocloud.io/library/redis
    env:  #定义环境变量
     - name: SECRET_USERNAME   #创建新的环境变量名称
       valueFrom:
        secretKeyRef:     #调用的key是什么
         name: mysecret       #变量的值来自于mysecret
         key: username       #username里面的值

2.创建使用secret的pod容器
[root@kub-k8s-master prome]# kubectl apply -f pod_use_secret.yaml 
pod/mypod created
3.连接
[root@kub-k8s-master prome]# kubectl exec -it mypod /bin/bash 
root@mypod:/data# echo $SECRET_USERNAME   #打印一下定义的变量
xiaoming

secret使用案例-mysql:

1.创建数据库用户的密码secret
[root@master test]# echo -n 'QianFeng@123!' | base64
UWlhbkZlbmdAMTIzIQ==
[root@master test]# cat secret.yml 
apiVersion: v1
kind: Secret
metadata:
 name: mysql-secret
type: Opaque
data:
 password: UWlhbkZlbmdAMTIzIQ==
 
[root@master test]# kubectl apply -f secret.yml

2.创建数据库并使用secret
[root@master test]# cat myslq.yaml 
apiVersion: v1
kind: Pod
metadata:
 name: my-mysql
spec:
 containers:
 - name: mysql
   image: daocloud.io/library/mysql:5.7
   ports:
    - containerPort: 3306
   env:
    - name: MYSQL_ROOT_PASSWORD
      valueFrom:
       secretKeyRef:
        name: mysql-secret
        key: password
[root@master test]# kubectl apply -f myslq.yaml
[root@master test]# kubectl get pod -o wide 
NAME       READY   STATUS    RESTARTS   AGE     IP            NODE    NOMINATED NODE   READINESS GATES
my-mysql   1/1     Running   0          2m47s   10.244.2.13   node2   <none>           <none>

测试:
[root@master test]# mysql -uroot -p'QianFeng@123!' -h 10.244.2.13 -P3306
k8s配置harbor仓库
192.168.116.141  harbor  --安装harbor仓库

1.首先在集群中的每个节点上配置登陆harbor仓库的地址

[root@master ~]# cat /etc/docker/daemon.json 
{
"insecure-registries": ["192.168.116.141"]
}

[root@node1 ~]# cat /etc/docker/daemon.json 
{
"insecure-registries": ["192.168.116.141"]
}

[root@node2 ~]# cat /etc/docker/daemon.json 
{
"insecure-registries": ["192.168.116.141"]
}

# systemctl restart docker

测试上传镜像

配置k8s集群连接harbor的认证secret

核心思路:拉取私有仓库镜像需要配置私有仓库的登陆信息,用Secret存储,并且定义Deployment或者Pod时,指定imagePullSecret为保存了私有仓库登陆信息的Secret名。

如果使用docker login登陆过私有仓库,那么可以直接使用.docker/config.json文件生成Secret

查看master上面认证的密钥文件
[root@master yaml]# cat /root/.docker/config.json 
{
	"auths": {
		"192.168.116.141": {
			"auth": "YWRtaW46SGFyYm9yMTIzNDU="
		}
	}
}

将密钥文件进行base64的加密
[root@master yaml]# cat /root/.docker/config.json | base64 -w 0
ewoJImF1dGhzIjogewoJCSIxOTIuMTY4LjExNi4xNDEiOiB7CgkJCSJhdXRoIjogIllXUnRhVzQ2U0dGeVltOXlNVEl6TkRVPSIKCQl9Cgl9Cn0=

创建k8s连接harbor的secret
#注意:
Secret的data项目key是.dockerconfigjson;
.docker/config.json文件BASE64编码,然后粘贴到data[".dockerconfigjson"]。不要有换行
Secret type必须是kubernetes.io/dockerconfigjson;

[root@master yaml]# cat harbor-secret.yaml 
apiVersion: v1
kind: Secret
metadata:
 name: harbor-login
type: kubernetes.io/dockerconfigjson
data:
 .dockerconfigjson: ewoJImF1dGhzIjogewoJCSIxOTIuMTY4LjExNi4xNDEiOiB7CgkJCSJhdXRoIjogIllXUnRhVzQ2U0dGeVltOXlNVEl6TkRVPSIKCQl9Cgl9Cn0=
  
[root@master yaml]# kubectl apply -f harbor-secret.yaml 
secret/harbor-login created

查看
[root@master yaml]# kubectl get secret
NAME                  TYPE                                  DATA   AGE
default-token-zdkzq   kubernetes.io/service-account-token   3      10h
harbor-login          kubernetes.io/dockerconfigjson        1      18s

测试–创建一个nginx的应用

[root@master yaml]# vim nginx-pod.yaml
apiVersion: v1
kind: Pod
metadata:
 name: nginx-web
spec:
 containers:
  - name: nginx-1
    image: 192.168.116.141/nginx/nginx:v1.1 #指定镜像仓库地址
 imagePullSecrets:  #指定使用的harbor仓库的secret
  - name: harbor-login

[root@master yaml]# kubectl apply -f nginx-pod.yaml 
pod/nginx-web created

查看
[root@master yaml]# kubectl get pod
NAME        READY   STATUS    RESTARTS   AGE
nginx-web   1/1     Running   0          2m47s
终端行者
关注
云原生Kubernetes----k8s免密使用harbor私有仓库
hy199707的博客
07-29 1419
Kubernetes(k8s)环境中,使用私有镜像仓库Harbor来存储和管理容器镜像是一种常见做法。Harbor是由VMware公司开源的企业级Docker Registry管理项目,支持丰富的权限控制和完善的架构设计,尤其适合大规模Docker集群部署。然而,每次Pod拉取私有镜像时都需要进行身份验证,这可能会增加系统的复杂性和运维成本。本文将介绍如何在Kubernetes配置免密使用Harbor私有仓库的方法。
Kubernetes K8S之存储Secret详解
踏歌行的专栏
09-28 7591
K8S之存储Secret概述与类型说明,详解常用Secret示例
K8s命令创建harbor-Secret
blues的博客
06-15 3530
1、创建前先查看secrets 1 2 3 4 5 [root@k8s-master ~]# kubectl get secrets -n test-project NAME TYPE DATA AGE default-token-56q6l kubernetes.io/service-account-token3...
k8s创建共享harbor-secret
w2909526的博客
02-27 612
kubectl describe sa -n test查看serviceaccount信息。在每个namespace下都有一个默认的service account。Image pull secrets 是ns下拉取镜像的秘钥。使用 kubectl get sa -n test 查看。至此在test下拉取镜像无需配置镜像拉取秘钥了。2.配置进service account。1.创建secret
K8S对象-secret及应用(k8s 使用harbor镜像仓库,http,https 自签CA证书)
架构+开发+运维
06-07 1756
1. 概述 1.1 作用 1.2 三种类型 2. docker registry 2.1 http库的使用 2.2 https仓库的使用 2.2.1 获取config.json的编码 2.2.2 创建secret 2.2.3 使用 3. generic 4. tls
k8s如何配置secret保存harbor仓库账号密码、pod中怎么使用harbor仓库镜像
MssGuo的博客
10-14 5202
k8s如何配置secret保存harbor仓库账号密码、pod中怎么使用harbor仓库镜像
一文掌握Containerd配置Harbor私有仓库
StevenZeng学堂
09-09 3227
本文详细介绍了如何配置Containerd以使用Harbor作为私有仓库。首先解释了Containerd、Harbor及工具`ctr`和`crictl`的基本概念。接着,文章逐步指导如何上传Harbor证书至Kubernetes节点、更新Containerd配置。最后,验证配置是否成功,展示了如何创建HarborSecret、将其添加到服务账号,通过部署测试验证配置的有效性。此教程适合希望在Kubernetes环境中高效利用Harbor私有仓库的系统管理员。
k8s往secret里导入证书_Kubernetes K8S之存储Secret详解
weixin_39604598的博客
12-22 1038
K8S之存储Secret概述与类型说明,详解经常使用Secret示例html主机配置规划服务器名称(hostname)系统版本配置内网IP外网IP(模拟)k8s-masterCentOS7.72C/4G/20G172.16.1.11010.0.0.110k8s-node01CentOS7.72C/4G/20G172.16.1.11110.0.0.111k8s-node02CentOS7.72C/...
如何在Kubernetes集群中安全部署Docker-Harbor私有镜像进行节点认证?
最新发布
10-26
Kubernetes集群中部署来自Docker-Harbor私有仓库的镜像进行节点认证,涉及到的关键步骤包括创建认证所需的Secret以及配置YAML文件。首先,需要创建一个类型为`docker-registry`的Secret来存储Harbor仓库的认证...
Kubernetes Harbor等资源--secret和ServiceAccount配置
weixin_34290352的博客
12-12 478
Kubernetes Harbor等资源--secret和ServiceAccount配置 ![]来啦,老弟########## 用途 secret对象类型主要目的是保存和处理敏感信息/私密数据。将这些信息放在secret对象中比 直接放在pod或docker image中更安全,也更方便使用。在一个已经创建好的secrets对象有两种方式被pod对象使用,其一,在container中的volu...
Kubernetes资源对象之Secret
passerbyji的博客
12-22 142
kubernetessecret资源对象的使用
【Linux39-8】k8s存储配置Secret
weixin_46069582的博客
03-03 512
文章目录1. Secret1.1 Secret简介1.2 Secret类型2. 创建 Opaque 类型的Secret2.1 通过命令创建2.2 通过yaml文件创建Secret2.3 将Secret挂载到Volume中2.4 将Secret设置为环境变量3. 创建 kubernetes.io/dockerconfigjson 类型 1. Secret 1.1 Secret简介 Secret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 将这些信息放在 secret 中比放在 Pod 的定义或者
k8s学习--Secret详细解释与应用
lwxvgdv的博客
05-31 1351
类似与ConfigMap 区别在于ConfigMap存储明文Secret存储密文ConfigMap可以用作配置文件管理,Secret用于密码、密钥、token等敏感数据配置管理##Secret特性1非敏感数据:专门用于存储非敏感的配置信息。2.多种数据源:数据可以从命令行、文件、目录等多种来源创建。3.动态更新:更新 ConfigMap 后,Pod 可以动态加载新的配置信息(需要应用支持热加载)
k8s编排、Secret加密文件详解,configmap文件详解,基本操作
mingqing的博客
11-27 4027
文章目录总结Secret详解yaml方式创建Secret使用Secret,挂载方式映射secret key到指定的路径被挂载的secret内容自动更新环境变量的形式使用SecretYAML 文件的方式创建SecretConfigMap详解创建ConfigMap使用ConfigMap1 通过环境变量使用环境变量引用文件所有值2 作为volume挂载使用 总结 数据卷 1.secret:保存敏感信息,比如用户名、密码、token 创建方式2种: 命令行 yaml文件 引用3种: volume挂载 secret
k8s教程07(kubernetes-存储secret
DDJ_TEST的博客
06-07 984
k8s教程07(kubernetes-存储secret
【k8s】k8s存储配置Secret
sl963216757的博客
07-11 1339
一、Secret 01_Secret简介 Secret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 将这些信息放在 secret 中比放在 Pod 的定义或者 容器镜像 中来说更加安全和灵活。 这样的信息可能会被放在 Pod 规约中或者镜像中。 用户可以创建 Secret,同时系统也创建了一些 SecretKubernetes Secret 默认情况下存储为 base64-编码的、非加密的字符串。 默认情况下,能够访问 API 的任何人,或者能够访问 Kubernetes 下层数据存储(etcd
k8s使用harbor私有仓库镜像 —— 筑梦之路
筑梦之路
04-17 1521
官方文档:ImagePullSecrets的设置kubernetes机制的另一亮点,习惯于直接使用Docker Pull来拉取公共镜像,但非所有容器镜像都是公开的。此外,不是所有的镜像仓库都允许匿名拉取,也就是说需要身份认证;kubernetes有一个secret记录类型,可用于配置镜像登陆凭证,secret的一个特定的类型:kubernetes.io/dockercfg 或者 kubernetes.io/dockerconfigjson。
k8s-secret 配置使用secret
weixin_44204737的博客
04-27 1867
kubernetes.io/basic-auth:用于使用基本认证(账号密码)的Secret,可以使用Opaque取代;secret的使用方式和configmap很像,secret使用加密的方式更加安全,configmap更适合传递配置文件。◆ kubernetes.io/tls:用于存储HTTPS域名证书文件的Secret,可以被Ingress使用;◆ kubernetes.io/dockerconfigjson:下载私有仓库镜像使用的Secret,◆Opaque:通用型Secret,默认类型;
rancher2连接私有仓库harbor
lxqyx007的博客
10-20 1602
踩坑:最大的问题在于http://192.168.1.212:7070,这里没有使用https所以需要给每个节点执行如下命令重启docker服务 echo ‘{ “insecure-registries”:[“192.168.1.212:7070”] }’ > /etc/docker/daemon.json insecure-registries这个参数大概的意思是让docker认为192这个地址是可信的 其他的就跟网上的文章大致一样了,只是没有使用kubectl添加证书 1、rancher–资源–
Kubernetes集群搭建与Harbor部署详解
资源摘要信息:"Kubernetes集群搭建全攻略-kubeadm实战详解harbor安装包" Kubernetes是一个开源的、用于自动化部署、扩展和管理容器化应用程序的系统。它的设计目标是让部署容器化应用更加简便高效,解决了容器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值