Kubernetes(六) - Secret和私有仓库认证

最新推荐文章于 2025-01-21 18:18:23 发布
转载 最新推荐文章于 2025-01-21 18:18:23 发布 · 246 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://yq.aliyun.com/articles/679215
文章标签:

#运维 #json #数据库

本文介绍Kubernetes中Secret组件的使用方法,包括密码管理、环境变量配置、文件挂载及Docker私有仓库认证,提高系统安全性。

对一个公司来说安全也是最为重要的因为可能一旦出现安全问题可能这个公司就完了,所以对密码管理是一个长久不变的话题,Kubernetes对密码管理提供了Secret组件进行管理,最终映射成环境变量,文件等方式提供使用,统一进行了管理 更换方便,并且开发人员并不需要关心密码降低了密码的受众范围从而保障了安全.

Kubernetes官方文档:https://kubernetes.io/docs/reference/

Kubernetes官方Git地址:https://github.com/kubernetes/kubernetes

PS:本系列中使用 KubernetesV1.8 RancherV1.6.14

1. 初始化Secret

首先我们需要初始化一个Secret,使用Yaml文件创建时需要使用base64之后的内容作为Value

$ echo -n "admin" | base64
YWRtaW4=
$ echo -n "1f2d1e2e67df" | base64
MWYyZDFlMmU2N2Rm

老规矩通过yaml的方式创建我们的Secret配置文件可以看到已经生效了

> vim secret.yaml
apiVersion: v1
kind: Secret
metadata:
 name: mysecret
type: Opaque
data:
 username: YWRtaW4=
 password: MWYyZDFlMmU2N2Rm

> kubectl create -f ./secret.yaml
secret "mysecret" created
> kubectl get secret
NAME TYPE DATA AGE
default-token-lnftf kubernetes.io/service-account-token 3 1d
mysecret Opaque 2 9s

2. 环境变量

我们在使用Secret第一个场景就是作为容器的环境变量,大部分容器都提供使用环境变量配置密码的功能,你的程序只需要读取到这个环境变量使用这个环境变量的内容去链接到对应的服务就可以正常使用了,如下我们初始化一个Pod服务,使用之前预设好的信息作为用户名密码配置进去

> vim secret-env.yaml
apiVersion: v1
kind: Pod
metadata:
 name: secret-env-pod
spec:
 containers:
 - name: mycontainer
 image: redis
 env:
 - name: SECRET_USERNAME
 valueFrom:
 secretKeyRef:
 name: mysecret
 key: username
 - name: SECRET_PASSWORD
 valueFrom:
 secretKeyRef:
 name: mysecret
 key: password
 restartPolicy: Never
> kubectl create -f secret-env.yaml

3.文件(TLS证书)

除了配置成环境变量我们在很多地方也会使用到文件的方式来存放密钥信息,最常用的就是HTTPS这样的TLS证书,使用证书程序(比如Nginx没法使用环境变量来配置证书)需要一个固定的物理地址去加载这个证书,我们吧之前配置用户名和密码作为文件的方式挂在到某个目录下

> vim secret-file.yaml
apiVersion: v1 kind: Pod metadata:
 name: secret-file-pod
spec:
 containers:
 - name: mypod
 image: redis
 volumeMounts:
 - name: foo
 mountPath: "/etc/foo"
 readOnly: true
 volumes:
 - name: foo
 secret:
 secretName: mysecret
> kubectl create -f secret-file.yaml

如果有需要对同的配置分开挂载到不同的地方可以使用如下配置

apiVersion: v1 kind: Pod metadata:
 name: secret-file-pod
spec:
 containers:
 - name: mypod
 image: redis
 volumeMounts:
 - name: foo
 mountPath: "/etc/foo"
 readOnly: true
 volumes:
 - name: foo
 secret:
 secretName: mysecret
 items:
 - key: username
 path: my-group/my-username
  • username存储在/etc/foo/my-group/my-username文件而不是/etc/foo/username。
  • password 不会挂载到磁盘

因为映射成了文件那么对权限也是可以控制的

 volumes:
 - name: foo
 secret:
 secretName: mysecret
 defaultMode: 256

然后,秘密将被挂载,/etc/foo并且由秘密卷挂载创建的所有文件都将具有权限0400。

PS: JSON规范不支持八进制表示法,因此对于0400权限使用值256。如果您使用yaml代替pod的json,则可以使用八进制表示法以更自然的方式指定权限。
您也可以使用映射(如上例所示),并为不同的文件指定不同的权限,如下所示:

 volumes:
 - name: foo
 secret:
 secretName: mysecret
 items:
 - key: username
 path: my-group/my-username
 mode: 511

在这种情况下,生成的文件/etc/foo/my-group/my-username将具有权限值0777。由于JSON限制,您必须以十进制表示法指定模式。

4.Docker私有仓库认证

使用过K8s的小伙伴肯定会遇到一个问题,我们在使用自有的Docker仓库的时候都需要先登录用户名和密码,但是如果使用K8S怎么配置密码呢?在secret中有一个类型是docker-registry我们可以通过命令行的方式创建在获取Docker镜像时使用的用户名和密码

kubectl create secret docker-registry regsecret --docker-server=registry-vpc.cn-hangzhou.aliyuncs.com --docker-username=admin --docker-password=123456 --docker-email=xxxx@qq.com

如果使用编排文件是如下格式

kind: Secret
apiVersion: v1
metadata:
 name: regsecret
type: kubernetes.io/dockercfg
data:
 ".dockercfg": eyJyZWdpc3RyeS12cGMuY24taGFuZ3pob3UuYWxpeXVuY3MuY29tIjp7InVzZXJuYW1lIjoiYWRtaW4iLCJwYXNzd29yZCI6IjEyMzQ1NiIsImVtYWlsIjoieHh4eEBxcS5jb20iLCJhdXRoIjoiWVdSdGFXNDZNVEl6TkRVMiJ9fQ==

# 反base64的结果 : {"registry-vpc.cn-hangzhou.aliyuncs.com":{"username":"admin","password":"123456","email":"xxxx@qq.com","auth":"YWRtaW46MTIzNDU2"}}

然后我们就可以在获取指定镜像的时候为他指定一个获取镜像的Docker凭证

apiVersion: v1 kind: Pod metadata:
 name: secret-file-pod
spec:
 containers:
 - name: mypod
 image: redis
 imagePullSecrets: # 获取镜像需要的用户名密码
 - name: regsecret
本文转自开源中国- Kubernetes(六) - Secret和私有仓库认证
kubernetes制作image-pull-secret拉取私有镜像以及docker镜像批量tagpush脚本
rendongxingzhe的博客
04-23 1920
kubernetes制作image-pull-secret拉取私有镜像以及docker镜像批量tagpush脚本
kubernetes存储 -- Secret配置管理
thermal_life的博客
07-01 1056
简介 ConfigMap是用来存储一些非安全的配置信息,如果涉及到一些安全相关的数据的话用ConfigMap就非常不妥了, 因为ConfigMap明文存储的,这个时候j就应该使用Secret Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌 ssh key。 敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全灵活。 Pod 可以用两种方式使用 secret: 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里。 当 kubel
kubernetes私有仓库+k8s拉取+secret认证
hiphop321的博客
08-18 1332
首先声明,网上一些文档仅供学习使用,或多或少简化了安全证书相关的步骤。但是!!实际工作中,安全证书非常有必要。所以这里强调:准备工作一定要有域名,有安全证书,有docker用户密码! 目录一,观察理解run镜像仓库的命令参数1.1 创建好registry以后1.1.1 push镜像,报错:没有授权1.1.2 push镜像,报错:不被信任的证书1.2 如何在集群其他的机器(不是仓库所在的宿主机)上传镜像1.3 如何让k8s能够顺利的从私有仓库拉取镜像步骤如下1.3.1 将docker登录仓库的认证信息,用.
Rancher使用入门
weixin_34417814的博客
09-27 1749
上个月末,Rancher Labs在其官方博客上宣布了Rancher 1.0正式版本发布。 这是继Apache Mesos、Google Kubernetes以及Docker原生Swarm之后,又一个可用于Production环境中的容器管理服务编排工具,而Rancher恰似这个领域的最后一张拼图(请原谅我的孤陋寡闻,如 果有其他 厂商在做这方面产品,请在...
k8s学习-Secret(创建、使用、更新、删除等)_kubectl delete secret
2401_84281594的博客
05-02 1456
任何拥有 API 访问权限的人都可以检索或修改 Secret,任何有权访问 etcd 的人也可以。此外,任何有权限在命名空间中创建 Pod 的人都可以使用该访问权限读取该命名空间中的任何 Secret;对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!中的安全部分详细展开。
kubernetes imagePullSecrets认证拉取私仓
qq_37377136的博客
03-15 1327
官方文档: https://kubernetes.io/docs/concepts/containers/images/ 认证方式有两种不过官方推介使用第二种: 第一种(配置节点以对专用注册表进行身份验证) 第二种(在Pod上指定ImagePullSecrets) 部署方式第一种: 一、创建登录认证: docker login -uadmin -pRoot123. https://192...
Kubernetes---Secret配置管理
Jelly
04-21 1281
一、Secret配置管理介绍 Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌 ssh key。 敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全灵活。 Pod 可以用两种方式使用 secret: • 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里; • 当 kubelet 为 pod 拉取镜像时使用。 Secret的类型: • Service Account:K...
k8s基础(8)Kubernetes-Secret
dghfttgv的博客
01-21 890
Secret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。这样的信息可能会被放在规约中或者镜像中。使用 Secret 意味着你不需要在应用程序代码中包含机密数据。由于创建 Secret 可以独立于使用它们的 Pod, 因此在创建、查看编辑 Pod 的工作流程中暴露 Secret(及其数据)的风险较小。Kubernetes 在集群中运行的应用程序也可以对 Secret 采取额外的预防措施, 例如避免将敏感数据写入非易失性存储。Secret 类似于但专门用于保存机密数据。
【云原生】Kubernetes----配置资源管理Secrets与ConfigMaps
hy199707的博客
06-02 1738
Kubernetes(k8s)中,应用程序的配置数据存储是一个重要且敏感的议题。Kubernetes提供了两种主要的资源类型来管理这些敏感信息配置数据:SecretsConfigMaps。本文将深入探讨这两种资源类型,以及如何在Kubernetes集群中有效地使用它们。
kubernetes配置仓库的secret
爷来辣的博客
07-11 1739
kubectl create secret docker-registry aliyun-ns-test --namespace=test --docker-server=registry.cn-shanghai.aliyuncs.com --docker-username=${USERNAME} --docker-password=${PASSWORD} 官方demo kubectl create secret docker-registry regcred --docker-server=<yo
kubernetes存储(二)——K8S的Secret配置管理(创建、挂载、路径映射、设置环境变量、存储私有仓库认证信息)
Aimee_c的博客
07-01 7321
文章目录1.Secret配置管理介绍2.创建Secret2.1 从文件中创建Secret2.2 编写一个 secret 对象3.将Secret挂载到Volume中4.向指定路径映射 secret 密钥5.将Secret设置为环境变量6.存储docker registry的认证信息 1.Secret配置管理介绍 Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌 ssh key。 敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全灵活。 Pod 可以用两种方式使
【K8S 二】搭建Docker Registry私有仓库(自签发证书+登录认证)(K8S非K8S环境下)
刘元林的博客
11-19 6633
本文介绍了在Go 1.15版本后使用SAN证书配置Docker Registry的方法。主要内容包括:单SAN多SAN场景下的证书生成步骤,配置Docker访问私有仓库的证书设置,以及K8S非K8S环境下Registry的部署方案。重点讲解了如何创建包含SubjectAlternativeName的证书,将证书配置到Docker系统证书库,并通过htpasswd实现认证。同时提供了K8S环境下使用私有仓库的完整方案,包括创建Secret应用配置。文章还给出了CURLDocker命令验证仓库的方法,
kubernetes添加私有仓库学习(imagepullsecrets)
weixin_38669442的博客
04-06 9093
1、为docker私有仓库导入账户密码信息:kubectl create secret docker-registry myregistrykey --docker-server=DOCKER_REGISTRY_SERVER --docker-username=DOCKER_USER --docker-password=DOCKER_PASSWORD --docker-email=DOCKER_E...
Kubernetes】k8s密码管理详细说明【secret、cm】
崔崇鑫的博客,你linux/云运维工作中的百科全书。
08-30 6377
文章目录密码管理说明环境准备并测试常规密码定义方式secret说明secret 常用命令查看secret查看secret定义参数解析secret定义密码删除secret创建Opaque的secret方式1: 命令行的方式(推荐)创建并查看其中的secret以yaml文件输出创建内容【含参数解析】方式2:文件的方式系统文件创建并查看其中的secret自定义文件并查看其中的secret以变量的方式引用Opaque的secret编辑pod配置文件生成pod并验证以卷的方式引用Opaque的secret编辑pod配
k8s Docker私有仓库认证
weixin_30794491的博客
03-08 796
使用过K8s的小伙伴肯定会遇到一个问题,我们在使用自有的Docker仓库的时候都需要先登录用户名密码,但是如果使用K8S怎么配置密码呢?在secret中有一个类型是docker-registry我们可以通过命令行的方式创建在获取Docker镜像时使用的用户名密码 kubectl create secret docker-registry regsecret --docker-serve...
关于kubernetes拉取私库镜像需要注意的点
weixin_33906657的博客
05-30 362
刚开始完k8s,总会遇到很多坑,因为是开源项目,版本总在更新,所以要时刻关注自己使用的版本有哪些不一样的命令参数。本次采坑是想让k8s可以在建立pod时可以到私库中拉取镜像。根据官网或网上资料,可以通过创建secret记录私库鉴权信息。具体做法如下:首先在其中一个node上登录私有仓库(docker 访问私库的配置,这里不做描述)docker login my.registry登录成功后会在/r...
kubernetes-dashboard dashboard-metrics-scraper-7f5c6c46fb-ptg4z 0/1 ImagePullBackOff 0 5m6s kubernetes-dashboard kubernetes-dashboard-7d8bbf6bb6-zpbqk 1/1 Running 2 148m [root@node01 ~]#
最新发布
08-10
### 解决 Kubernetes Dashboard Pod 处于 `ImagePullBackOff` 状态的问题 当 Kubernetes Dashboard Pod 处于 `ImagePullBackOff` 状态时,通常表示容器镜像无法正常拉取。造成这一问题的原因可能包括网络限制、镜像地址不可达、镜像版本错误或权限问题等。以下是一些常见的解决方案。 #### 1. 使用国内镜像源替换官方镜像 由于官方镜像可能位于国外,国内用户在拉取时可能会遇到网络超时或连接失败的问题。可以通过在镜像地址前添加国内镜像代理来解决此问题,例如使用 `m.daocloud.io/` 作为镜像代理前缀。修改 Dashboard Deployment 中的镜像地址: ```yaml # 修改前 image: kubernetesui/dashboard:v2.7.0 # 修改后 image: m.daocloud.io/kubernetesui/dashboard:v2.7.0 ``` 更新 Deployment 配置以使用新的镜像地址: ```bash kubectl edit deployment -n kubernetes-dashboard kubernetes-dashboard ``` 保存后,Kubernetes 会尝试重新拉取镜像并启动 Pod [^2]。 #### 2. 检查镜像拉取策略 Secret 配置 如果使用的镜像仓库需要认证,确保在命名空间中配置了正确的 `imagePullSecrets`。可以通过创建一个包含认证信息的 Secret,并将其绑定到服务账户或 Pod 上。例如: ```bash kubectl create secret docker-registry my-registry-secret \ --docker-server=https://index.docker.io/v1/ \ --docker-username=<username> \ --docker-password=<password> \ --docker-email=<email> ``` 然后在 Deployment 或 Pod 定义中添加: ```yaml imagePullSecrets: - name: my-registry-secret ``` 这样 Kubernetes 就可以使用提供的凭证从私有仓库中拉取镜像 [^3]。 #### 3. 检查网络连通性 DNS 配置 如果 Pod 无法访问外部网络,可能是因为节点的网络配置不正确或存在 DNS 解析问题。可以通过 `kubectl describe pod` 查看具体的错误信息: ```bash kubectl describe pod -n kubernetes-dashboard kubernetes-dashboard-77fd78f978-zqbs4 ``` 如果错误信息显示 `dial tcp 74.125.23.82:443: i/o timeout`,说明节点无法访问镜像仓库服务器。此时应检查节点的网络设置、代理配置或 DNS 解析是否正常 [^4]。 #### 4. 手动拉取镜像并重新打标签 在某些情况下,可以手动在节点上拉取镜像并重新打标签,使其符合 Kubernetes 的预期。例如: ```bash docker pull m.daocloud.io/kubernetesui/dashboard:v2.7.0 docker tag m.daocloud.io/kubernetesui/dashboard:v2.7.0 kubernetesui/dashboard:v2.7.0 docker push kubernetesui/dashboard:v2.7.0 # 如果使用私有仓库 ``` 然后在节点上重新部署 Pod,确保其使用本地镜像 [^2]。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值