kubernetes:secret配置管理

最新推荐文章于 2023-07-23 09:57:11 发布
原创 最新推荐文章于 2023-07-23 09:57:11 发布 · 391 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入探讨了Kubernetes中Secret的配置管理,包括其作用、类型及如何通过各种方式创建和使用Secret。从基本概念出发,讲解了如何将Secret挂载为卷、映射到指定路径、设置为环境变量,并介绍了kubernetes.io/dockerconfigjson类型的Secret用于存储Docker registry的认证信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

kubernetes

1. secret配置管理的作用和类型

在这里插入图片描述

2. 查看卷的挂载

[kubeadm@server2 cm]$ kubectl run test --image=busybox --restart=Never
pod/test created

[kubeadm@server2 cm]$ kubectl describe pod test 
    Mounts:
      /var/run/secrets/kubernetes.io/serviceaccount from default-token-64lq2 (ro)

Volumes:
  default-token-64lq2:
    Type:        Secret (a volume populated by a Secret)
    SecretName:  default-token-64lq2
    Optional:    false
QoS Class:       BestEffort
Node-Selectors:  <none>
Tolerations:     node.kubernetes.io/not-ready:NoExecute for 300s
                 node.kubernetes.io/unreachable:NoExecute for 300s

[kubeadm@server2 cm]$ kubectl get sa
NAME      SECRETS   AGE
default   1         7d21h

[kubeadm@server2 cm]$ kubectl describe sa default 
Name:                default
Namespace:           default
Labels:              <none>
Annotations:         <none>
Image pull secrets:  <none>
Mountable secrets:   default-token-64lq2
Tokens:              default-token-64lq2
Events:              <none>

[kubeadm@server2 cm]$ kubectl run test --image=busybox -it
If you don't see a command prompt, try pressing enter.
/ # ls
bin   dev   etc   home  proc  root  sys   tmp   usr   var
/ # cd /var/run/secrets/kubernetes.io/serviceaccount
/var/run/secrets/kubernetes.io/serviceaccount # ls
ca.crt     namespace  token
/var/run/secrets/kubernetes.io/serviceaccount #

3. 每个namespace下有一个名为default的默认的serviceaccount对象

[kubeadm@server2 cm]$ kubectl get secret
NAME                  TYPE                                  DATA   AGE
basic-auth            Opaque                                1      46h
default-token-64lq2   kubernetes.io/service-account-token   3      7d23h
tls-secret            kubernetes.io/tls                     2      46h

serviceaccount里有一个名为tokens的可以作为volume一样被mount到pod里的secret,当pod启动时这个secret会被自动mount到pod的指定目录下,用来协助完成pod中的进程访问api server时的身份鉴权过程
[kubeadm@server2 cm]$ kubectl get pod -o yaml
volumeMounts:
    - mountPath: /var/run/secrets/kubernetes.io/serviceaccount
      name: default-token-64lq2
      readOnly: true

4. opaque secret其value为base64编码后的值

4.1 从文件中创建secret
[kubeadm@server2 cm]$ echo -n 'admin' > ./username.txt
[kubeadm@server2 cm]$ echo -n 'westos' > ./password.txt

[kubeadm@server2 cm]$ cat username.txt 
admin

[kubeadm@server2 cm]$ cat password.txt 
westos

[kubeadm@server2 cm]$ kubectl create secret generic my-secret --from-file=username.txt --from-file=password.txt 
secret/my-secret created

[kubeadm@server2 cm]$ kubectl get secret
NAME                  TYPE                                  DATA   AGE
my-secret             Opaque                                2      6s

[kubeadm@server2 cm]$ kubectl describe secrets my-secret 
Name:         my-secret
Namespace:    default
Labels:       <none>
Annotations:  <none>

Type:  Opaque

Data
====
password.txt:  6 bytes
username.txt:  5 bytes

[kubeadm@server2 cm]$ kubectl get secrets my-secret -o yaml
apiVersion: v1
data:
  password.txt: d2VzdG9z
  username.txt: YWRtaW4=
kind: Secret
metadata:
  creationTimestamp: "2020-04-25T12:44:42Z"
  managedFields:
  - apiVersion: v1
    fieldsType: FieldsV1
    fieldsV1:
      f:data:
        .: {}
        f:password.txt: {}
        f:username.txt: {}
      f:type: {}
    manager: kubectl
    operation: Update
    time: "2020-04-25T12:44:42Z"
  name: my-secret
  namespace: default
  resourceVersion: "730162"
  selfLink: /api/v1/namespaces/default/secrets/my-secret
  uid: c018589f-7971-4d84-9a2f-990789344ea1
type: Opaque

[kubeadm@server2 cm]$ echo d2VzdG9z|base64 -d  # 解码
westos

如果密码具有特殊字符,则需要使用\字符对其进行转义,执行一下命令
[kubeadm@server2 cm]$ kubectl create secret generic dev-db-secret --from-literal=username=devuser --from-literal=password=S\!B\\*d\$zDsb
secret/dev-db-secret created

[kubeadm@server2 cm]$ kubectl get secrets dev-db-secret -o yaml
apiVersion: v1
data:
  password: UyFCXCpkJHpEc2I=
  username: ZGV2dXNlcg==

[kubeadm@server2 cm]$ echo UyFCXCpkJHpEc2I=|base64 -d
S!B\*d$zDsb
4.2 编写一个secret对象
[kubeadm@server2 cm]$ echo -n 'admin'|base64
YWRtaW4=

[kubeadm@server2 cm]$ echo -n 'westos'|base64
d2VzdG9z

[kubeadm@server2 cm]$ cat mysecret.yaml 
apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  username: YWRtaW4=
  password: d2VzdG9z

[kubeadm@server2 cm]$ kubectl apply -f mysecret.yaml 
secret/mysecret created

[kubeadm@server2 cm]$ kubectl get secrets 
NAME                  TYPE                                  DATA   AGE
mysecret              Opaque                                2      13s

[kubeadm@server2 cm]$ kubectl get secrets mysecret -o yaml
apiVersion: v1
data:
  password: d2VzdG9z
  username: YWRtaW4=
4.3 将secret挂载到volume中
[kubeadm@server2 secret]$ cat pod.yaml 
apiVersion: v1
kind: Pod
metadata:
  name: mysecret
spec:
  containers:
  - name: nginx
    image: nginx
    volumeMounts:
    - name: secrets
      mountPath: "/secret"
      readOnly: true
  volumes:
  - name: secrets
    secret:
      secretName: mysecret

[kubeadm@server2 secret]$ kubectl apply -f pod.yaml 
pod/mysecret created

[kubeadm@server2 secret]$ kubectl get pod
NAME       READY   STATUS    RESTARTS   AGE
mysecret   1/1     Running   0          5s
test       1/1     Running   1          161m

[kubeadm@server2 secret]$ kubectl exec -it mysecret -- sh
# ls
bin  boot  dev	etc  home  lib	lib64  media  mnt  opt	proc  root  run  sbin  secret  srv  sys  tmp  usr  var
# cd secret
# ls
password  username
# cat password
westos#
4.4 向指定路径映射secret密钥
[kubeadm@server2 secret]$ cat pod.yaml 
apiVersion: v1
kind: Pod
metadata:
  name: mysecret
spec:
  containers:
  - name: nginx
    image: nginx
    volumeMounts:
    - name: secrets
      mountPath: "/secret"
      readOnly: true
  volumes:
  - name: secrets
    secret:
      secretName: mysecret
      items:
      - key: username
        path: my-group/my-username

[kubeadm@server2 secret]$ kubectl apply -f pod.yaml 
pod/mysecret created

[kubeadm@server2 secret]$ kubectl get pod
NAME       READY   STATUS    RESTARTS   AGE
mysecret   1/1     Running   0          13s

[kubeadm@server2 secret]$ kubectl exec -it mysecret -- bash
root@mysecret:/# cd /secret/
root@mysecret:/secret# ls
my-group
root@mysecret:/secret# cd my-group
root@mysecret:/secret/my-group# ls
my-username
root@mysecret:/secret/my-group# cat my-username 
admin
4.5 将secret设置为环境变量
[kubeadm@server2 secret]$ cat pod.yaml 
apiVersion: v1
kind: Pod
metadata:
  name: secret-env
spec:
  containers:
  - name: nginx
    image: nginx
    env:
      - name: SECRET_USERNAME
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: username
      - name: SECRET_PASSWORD
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: password

[kubeadm@server2 secret]$ kubectl apply -f pod.yaml 
pod/secret-env created
[kubeadm@server2 secret]$ kubectl get pod
NAME         READY   STATUS    RESTARTS   AGE
secret-env   1/1     Running   0          17s

[kubeadm@server2 secret]$ kubectl exec -it secret-env -- bash
root@secret-env:/# env
SECRET_USERNAME=admin
SECRET_PASSWORD=westos
4.6 kubernetes.io/dockerconfigjson用于存储docker registry的认证信息
[kubeadm@server2 secret]$ cat pod.yaml 
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: game2048
    image: reg.westos.org/westos/game2048
  imagePullSecrets:
    - name: myregistrykey

[kubeadm@server2 secret]$ kubectl create secret docker-registry myregistrykey --docker-server=reg.westos.org --docker-username=zjy --docker-password=Westos+001 --docker-email=941070082@qq.com

[kubeadm@server2 secret]$ kubectl describe secrets myregistrykey
Name:         myregistrykey
Namespace:    default
Labels:       <none>
Annotations:  <none>

Type:  kubernetes.io/dockerconfigjson

Data
====
.dockerconfigjson:  128 bytes

[kubeadm@server2 secret]$ kubectl get secrets myregistrykey -o yaml
apiVersion: v1
data:
  .dockerconfigjson: eyJhdXRocyI6eyJyZWcud2VzdG9zLm9yZyI6eyJ1c2VybmFtZSI6InpqeSIsInBhc3N3b3JkIjoiV2VzdG9zKzAwMSIsImVtYWlsIjoiOTQxMDcwMDgyQHFxLmNvbSIsImF1dGgiOiJlbXA1T2xkbGMzUnZjeXN3TURFPSJ9fX0=
kind: Secret

[kubeadm@server2 secret]$ kubectl apply -f pod.yaml 
pod/mypod created

[kubeadm@server2 secret]$ kubectl get pod
NAME    READY   STATUS    RESTARTS   AGE
mypod   1/1     Running   0          23s
K8S的资源配置管理
mcl914的博客
03-02 360
一、Secret Secret 是用来保存密码、token、密钥等敏感数据的 k8s 资源,这类数据虽然也可以存放在 Pod 或者镜像中,但是放在 Secret 中是为了更方便的控制如何使用数据,并减少暴露的风险。 1、Secret 有三种类型 kubernetes.io/service-account-token:由 Kubernetes 自动创建,用来访问 APIServer 的 Secr...
第十二章 存储之 Secret
dituo7328的博客
09-29 182
1、Secret 存在意义 Secret 解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Spec中。Secret 可以以 Volume 或者环境变量的方式使用 2、Secret 有三种类型 ① Service Account:用来访问 Kubernetes API,由 Kubernetes 自动创建,并且会自动挂载到 Pod 的/r...
Kubernetes身份认证和授权操作全攻略:访问控制之Service Account
Rancher
09-06 1001
这是本系列的最后一篇文章,前面我们了解了访问控制中的基本概念以及身份认证和授权的具体操作,本文我们将进一步了解访问控制中的service account。 Kubernetes中有用户和service account的概念,可用于访问资源。用户与密钥和证书相关联用于验证API请求,使用其中一个配置方案对在集群外部发起的任何请求进行身份验证。最常见的方案是通过X.509证书进行身份认证请求。有关创建...
K8S初级入门系列之十一-安全
恰恰虎的博客
07-23 977
metadata:创建完成后,查看详情可以看到 mountable secret和tokens都关联了一个名为my-servicesaccount-token-cz8kp的secret,我们查看其secret的详情Data====其data包含ca.crt,namespace,token密钥三部分,其中ca.crt即颁发的CA证书,namespace即命名空间,token文件中存放的密钥。这三部分的用途我们待会讲到。
带你玩转kubernetes-k8s(第40篇:深入分析集群安全机制三[Admission Control, Service Account])
坚持的道路注定孤独
08-13 827
Adminssion Control 突破了之前所说的认证和鉴权两道关卡之后,客户端的调用请求就能够得到API Server的真正响应了吗?答案是:不能!这个请求还需要通过Admission Control(准入控制)所控制的一个准入控制链的层层考验,才能获得成功的响应。Kubernetes官方标准的“关卡”有30多个,还允许用户自定义扩展。 Admission C...
Kubernetes : Up and Running: Dive into the Future of Infrastructure
07-20
5. **ConfigMap & Secret**:ConfigMap用于存储非敏感配置数据,Secret则用于安全地存储敏感信息,如密码和API密钥,两者都可被Pod内的应用使用。 6. **Ingress**:提供了对外部流量进入集群的路由规则,支持负载...
vim-kubernetes:vim-kubernetes
02-02
`vim-kubernetes` 包含了一套丰富的Kubernetes资源定义的代码片段,例如`Deployment`, `Service`, `Pod`, `ConfigMap`, `Secret`等。只需输入几个关键字,然后按下Tab键,就可以自动生成相应的YAML模板,大大减少了...
kubernetes(k8s):secret配置管理
weixin_43936969的博客
05-20 1363
文章目录1. secret配置管理的作用和类型2. 查看卷的挂载3. 每个namespace下有一个名为default的默认的serviceaccount对象4. opaque secret其value为base64编码后的值4.1 从文件中创建secret4.2 编写一个secret对象4.3 将secret挂载到volume中4.4 向指定路径映射secret密钥4.5 将secret设置为环境变量4.6 kubernetes.io/dockerconfigjson用于存储docker registry
spring-cloud-kubernetesKubernetes与Spring Cloud Discovery客户端,配置等的集成。
01-30
通过使用Kubernetes的声明式配置管理,我们能实现配置的动态更新,提高系统的灵活性。 此外,SCK还支持健康检查和Actuator集成,使得Kubernetes可以通过Spring Boot Actuator的端点来获取应用的健康状态,以便进行...
kubernetes:Kubernetes游乐场
03-28
6. **Kubernetes游乐场**:这个在线环境提供了互动式的Kubernetes体验,让用户通过Web界面直接操作Kubernetes API,创建、部署和管理Pods、Services等资源,无需本地安装和配置环境。 7. **工作流**:在游乐场中,...
Kubernetes-一文详解ServiceAccount与RBAC权限控制
Dragon的博客
10-01 2744
目录 一,服务帐号 1.ServiceAccount介绍 2.Secret与SA(ServiceAccount)的关系 3.默认的服务帐户 4.使用自定义SA 5.ServiceAccount中添加图片拉秘诀 二,RBAC 1.RBAC介绍 2,角色和集群角色 3,角色绑定和集群角色绑定 实践:创建一个用户只能管理称为vfan的NameSpace 一,服务帐号 1.ServiceAccount介绍 首先,Kubernetes中账户区分为:用户帐户(用户帐户)和服务帐户(服务帐
Secret配置管理
m0_59750991的博客
08-01 448
一.Secret概述 Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 ssh key。 敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。 Pod 可以用两种方式使用 secret: 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里。 当 kubelet 为 pod 拉取镜像时使用。 Secret的类型: Service Account:Kubernetes 自动创建包含访问 API 凭据的 secret,并自动修改 pod
kubernetes系列】Kubernetes之ServiceAccount
margu_168的博客
07-12 2168
默认的service account 仅仅只能获取当前Pod自身的相关属性,无法观察到其他名称空间Pod的相关属性信息。如果想要扩展Pod,假设有一个Pod需要用于管理其他Pod或者是其他资源对象(例如dashboard),是无法通过自身的名称空间的default service account进行获取其他Pod的相关属性信息的,此时就需要进行手动创建一个serviceaccount,并在创建Pod时进行定义使用。
k8s往secret里导入证书_Kubernetes 服务Service Account 准入组件和Secret 私密凭据
weixin_39663970的博客
12-22 777
ServiceAccount 准入组件实现了Service Account 资源的自动化。Servuce Account是一种账号,但他并不是给Kubernetes的集群的用户(系统管理员、运维人员、租户用户等),而是给运行在Pod里的进程用的,它为Pod里的进程提供必要的身份证明。一、Service AccountPod中访问Kubernetes API Server服务的时候,是以Servic...
curl 无证书访问https_Kubernetes身份认证和授权操作全攻略:访问控制之Service Account...
weixin_39611666的博客
12-28 578
这是本系列的最后一篇文章,前面我们了解了访问控制中的基本概念以及身份认证和授权的具体操作,本文我们将进一步了解访问控制中的service account。Kubernetes中有用户和service account的概念,可用于访问资源。用户与密钥和证书相关联用于验证API请求,使用其中一个配置方案对在集群外部发起的任何请求进行身份验证。最常见的方案是通过X.509证书进行身份认证请求。...
k8s之service account
fengcai_ke的博客
07-11 3786
k8s service account分析
k8s 之 Configmap
热门推荐
高飞的博客
12-23 19万+
k8s configmap
使用kubeadm部署kubernetes集群
yevvzi的博客
09-27 8110
kubeadm是1.4添加的新功能,使用kubeadm可以轻松的安装集群。 1.安装kubelet 和kubeadm cat /etc/yum.repos.d/k8s.repo [kubelet] name=kubelet baseurl=http://files.rm-rf.ca/rpms/kubelet/ enabled=1 gpgcheck=0 EOF y
Kubernetes之ServiceAccount+Secret(超详细汇总)
BigData_Mining的博客
03-13 1万+
第一章、前言 每一个用户对API资源进行操作都需要通经过以下三个步骤: 第一步:对客户端访问进行认证操作,确认是否具有访问k8s权限 token(共享秘钥) SSL(双向SSL认证) ....通过任何一个认证即表示认证通过,进入下一步 第二步:授权检查,确认是否对资源具有相关的权限 ABAC(基于属性的访问控制) RBAC(基于角色的访问控制) NODE(基...
精通Kubernetes:高级集群管理与实践
书中详细解析了Kubernetes的架构,从基本概念如集群、节点、主节点、Pod、标签、注解、选择器、复制控制器和复制集、服务、卷、StatefulSet、Secret、命名空间等,到深入探讨分布式系统设计模式、Kubernetes API及其...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值