Kubernetes K8S之存储Secret详解

最新推荐文章于 2025-04-30 17:49:05 发布
最新推荐文章于 2025-04-30 17:49:05 发布
阅读量7.6k 收藏 26
点赞数 2
分类专栏: kubernetes ci/cd devops 文章标签: kubernetes k8s devops ci/cd docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/woshizhangliang999/article/details/108841830
版权
本文详细介绍了Kubernetes中的Secret,包括Secret的作用、类型、Service Account、Opaque Secret的创建和使用,以及如何将Secret挂载到Volume和导入到环境变量中。特别地,文章还探讨了如何使用Secret下载私有Docker镜像,如在Harbor镜像仓库中的应用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

K8S之存储Secret概述与类型说明,并详解常用Secret示例

主机配置规划

服务器名称(hostname) 系统版本 配置 内网IP 外网IP(模拟)
k8s-master CentOS7.7 2C/4G/20G 172.16.1.110 10.0.0.110
k8s-node01 CentOS7.7 2C/4G/20G 172.16.1.111 10.0.0.111
k8s-node02 CentOS7.7 2C/4G/20G 172.16.1.112 10.0.0.112

Secret概述

Secret解决了密码、token、秘钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用

用户可以创建 secret,同时系统也创建了一些 secret。

要使用 secret,pod 需要引用 secret。Pod 可以用两种方式使用 secret:作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里,或者当 kubelet 为 pod 拉取镜像时使用。

Secret类型

  • Service Account:用来访问Kubernetes API,由Kubernetes自动创建,并且会自动挂载到Pod的 /run/secrets/kubernetes.io/serviceaccount 目录中。
  • Opaque:base64编码格式的Secret,用来存储密码、秘钥等。
  • kubernetes.io/dockerconfigjson:用来存储私有docker registry的认证信息。

Service Account

通过kube-proxy查看

[root@k8s-master ~]# kubectl get pod -A | grep 'kube-proxy' 
kube-system            kube-proxy-6bfh7                             1/1     Running   12         7d3h
kube-system            kube-proxy-6vfkf                             1/1     Running   11         7d3h
kube-system            kube-proxy-bvl9n                             1/1     Running   11         7d3h
[root@k8s-master ~]# 
[root@k8s-master ~]# kubectl exec -it -n kube-system kube-proxy-6bfh7 -- /bin/sh 
# ls -l /run/secrets/kubernetes.io/serviceaccount
total 0
lrwxrwxrwx 1 root root 13 Jun  8 13:39 ca.crt -> ..data/ca.crt
lrwxrwxrwx 1 root root 16 Jun  8 13:39 namespace -> ..data/namespace
lrwxrwxrwx 1 root root 12 Jun  8 13:39 token -> ..data/token

Opaque Secret

创建secret

手动加密,基于base64加密

[root@k8s-master ~]# echo -n 'admin' | base64
YWRtaW4=
[root@k8s-master ~]# echo -n '1f2d1e2e67df' | base64
MWYyZDFlMmU2N2Rm

yaml文件

[root@k8s-master secret]# pwd
/root/k8s_practice/secret
[root@k8s-master secret]# cat secret.yaml 
apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  username: YWRtaW4=
  password: MWYyZDFlMmU2N2Rm

或者通过如下命令行创建【secret名称故意设置不一样,以方便查看对比】,生成secret后会自动加密,而非明文存储。

kubectl create secret generic db-user-pass --from-literal=username=admin --from-literal=password=1f2d1e2e67df

生成secret,并查看状态

[root@k8s-master secret]# kubectl apply -f secret.yaml 
secret/mysecret created
[root@k8s-master secret]# 
[root@k8s-master secret]# kubectl get secret   ### 查看默认名称空间的secret简要信息
NAME                  TYPE                                  DATA   AGE
basic-auth            Opaque                                1      2d12h
default-token-v48g4   kubernetes.io/service-account-token   3      27d
mysecret              Opaque                                2      23s  ### 可见已创建
tls-secret            kubernetes.io/tls                     2      3d2h
[root@k8s-master secret]# 
[root@k8s-master secret]# kubectl get secret mysecret -o yaml     ### 查看mysecret详细信息
apiVersion: v1
data:
  password: MWYyZDFlMmU2N2Rm
  username: YWRtaW4=
kind: Secret
metadata:
  annotations:
    kubectl.kubernete
最低0.47元/天 解锁文章
【云原生】kubernetessecret原理详解与应用实战
景天科技苑
06-04 2万+
对于一些敏感数据,如密码、私钥等数据时,要用secret类型。 Secret解决了密码、token、秘钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。 Secret可以以Volume或者环境变量的方式使用。 要使用 secret,pod 需要引用 secret。Pod 可以用两种方式使用 secret: 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里, 或者当 kubelet 为 pod 拉取镜像时使用。
Kubernetes K8S存储ConfigMap详解
踏歌行的专栏
10-14 4863
K8S存储ConfigMap概述与说明,并详解常用ConfigMap示例
k8s拉取私库镜像创建的secret只能在相同namespace下使用该secret
triThirty的博客
08-29 3362
fdsf
K8S Secret 快速开始
最新发布
matrixlzp的博客
04-30 1110
KubernetesK8s)中的是一种用于存储和管理敏感信息(如密码、令牌、证书、API 密钥等)的资源对象。它避免了将敏感数据明文写入配置文件、镜像或代码中,提供了一种更安全的方式来处理机密信息。
k8s创建secret加密数据并使用
qq_18629653的博客
03-09 1487
创建加密数据保存在etcd中,使其他容器可以读取到这个加密数据 创建secret 加密数据的yaml文件 secret.yaml apiVersion: v1 kind: Secret metadata: name: mysecret type: Opaque data: username: YWRtaW4= password: MWYyZDFlMmU2N2Rm ​创建pod kubectl create -f secret.yaml 查看创建的secret kubectl get
k8s secret 详细理解和使用
koukouwuwu的专栏
05-13 393
参见: https://blog.youkuaiyun.com/skh2015java/article/details/109228364
k8s-secret
zhangxxxww的专栏
06-23 2119
Secret解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret使用: 1. Volume 2. 环境变量Secret有三种类型: 1. Service Account:用来访问Kubernetes API,由Kubernetes自动创建,并且会自动挂载到Pod的/run/secrets/kubernetes.io/servi
k8ssecret里导入证书_Kubernetes K8S存储Secret详解
weixin_39604598的博客
12-22 1054
K8S存储Secret概述与类型说明,并详解经常使用Secret示例html主机配置规划服务器名称(hostname)系统版本配置内网IP外网IP(模拟)k8s-masterCentOS7.72C/4G/20G172.16.1.11010.0.0.110k8s-node01CentOS7.72C/4G/20G172.16.1.11110.0.0.111k8s-node02CentOS7.72C/...
Kubernetes K8S存储Volume详解
踏歌行的专栏
10-19 2727
K8S存储Volume概述与说明,并详解常用Volume示例
DCOS之k8ssecret
公众号
02-27 4930
作为kubernetes中一个重要的资源secret,它的设计初衷是为了解决container在访问外部网络或外部资源时验证的问题,例如访 问一个git仓库,连接一个数据库,设置一些密码配置等,需要额外验证的场景。它被作为一种资源的形式被设计,由kubernetes集群统一管理,从字 面意思来看已经表现了敏感,安全等特性,因此集群对待这类资源的管理需要额外的保护,对其内容进行加密是十分有必要的。当
k8s---Secret详解
qinxue722的博客
07-23 3041
k8s-Secret
K8S初级入门系列之四-Namespace/ConfigMap/Secret
恰恰虎的博客
07-22 1326
本篇主要介绍了Namespace,ConfigMap以及secret的基本用法。Namespace可以在K8S集群中创建多个"虚拟集群",集群间实现隔离,本篇主要介绍了Namespace的创建,查看,删除以及如何创建指定Namespace的Pod。
k8s---存储Secret配置管理
m0_51140575的博客
03-16 240
每个namespace下有一个名为default的默认的ServiceAccount对象 编写一个secret对象 [root@server2 ~]# mkdir secret [root@server2 ~]# cd secret/ [root@server2 secret]# vim mysecret.yaml apiVersion: v1 kind: Secret metadata: name: mysecret type: Opaque data: username: YWRt..
k8s环境生成自签名证书配置secret tls并配置到浏览器
lucky_ykcul的博客
08-23 2573
最近公司的网站偶尔会出现“network error”的报错导致网页不稳定,打开开发者工具发现报错为“Failed to load resource: net ::ERR_CERT_AUTHORITY_INVALIED”原因为网页存在认证问题。解决措施有三种:1.申请域名购买证书;2.自己生成自签名证书;3.将https访问方式改为http。综合考虑成本和安全因素后决定使用自签名证书来解决此问题。
k8s学习--Secret详细解释与应用
lwxvgdv的博客
05-31 1431
类似与ConfigMap 区别在于ConfigMap存储明文Secret存储密文ConfigMap可以用作配置文件管理,Secret用于密码、密钥、token等敏感数据配置管理##Secret特性1非敏感数据:专门用于存储非敏感的配置信息。2.多种数据源:数据可以从命令行、文件、目录等多种来源创建。3.动态更新:更新 ConfigMap 后,Pod 可以动态加载新的配置信息(需要应用支持热加载)
企业项目实战k8s篇(九)Secret配置管理
qq_42003848的博客
07-30 275
Secret配置管理一.Secret概述二.Service Account三.Opaque Secret四.secret应用1.创建secret2.将Secret挂载到Volume中3.向指定路径映射 secret 密钥4.将Secret设置为环境变量五.docker registry 一.Secret概述 Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 ssh key。 敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。 Pod 可以用两种方式使用
K8SSecret、configMap、Namespace的操作
互联网知识分享
08-16 343
我们了解了如何创建和使用这些对象,并提供了相应的代码示例。使用这些功能,我们可以更好地管理容器化应用程序的敏感数据、配置信息和资源隔离。是三个重要的概念,它们分别用于管理敏感数据、配置信息和资源隔离。在本文中,我们将详细介绍这三个概念的操作和使用。,我们可以将不同的应用程序或团队隔离开来,确保资源的安全性和可靠性。中的一种资源隔离机制,用于将集群划分为多个虚拟集群。用于存储应用程序的配置信息,例如环境变量、命令行参数等。中存储的数据并不是加密的,因此不适合存储敏感数据。集群中,确保敏感数据的安全性。
k8s 增加tls-secret
ywmack
12-12 439
k8s 增加tls-secret
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值