2025,每天10分钟,跟我学K8S(三十六)- 对象属性 - Volume - Secret

已于 2025-04-02 12:15:37 修改
阅读量938 收藏 9
点赞数 24
分类专栏: K8S教程 文章标签: kubernetes docker 容器
于 2025-04-02 12:03:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/x3858116/article/details/146938506
版权

        上节课学习了ConfigMap,了解了ConfigMap这个资源对象是K8S当中非常重要的一个对象,ConfigMap一般情况下是用来存储一些非安全的配置信息,如果涉及到一些安全相关的数据的话用ConfigMap就不适合了,因为ConfigMap是明文存储的,如果需要加密存储,就需要用到另外一个资源对象了:SecretSecret用来保存敏感信息,例如密码、API 密钥、TLS 证书等等,将这些信息放在Secret中比放在Pod的定义中或者docker镜像中来说更加安全和灵活。

        

Secret 

        Secret 是 Kubernetes 中用于管理敏感信息(如密码、API 密钥、TLS 证书等)的核心资源。其设计目标是避免敏感数据硬编码到 Pod 或镜像中,提升安全性与可维护性。

一、Secret 的核心特性

  1. 数据安全

    • Base64 编码存储:Secret 中的数据默认以 Base64 编码形式保存于 etcd 中,但需注意这并非加密,仅提供基础防护。
    • 动态注入:支持通过环境变量或文件挂载方式注入到 Pod 中,无需重启容器即可更新(需重新创建 Pod)。
    • 类型化支持:预定义多种类型适配不同场景,例如:
      • ​**Opaque**:通用键值对存储(如用户名、密码)。
      • ​**kubernetes.io/tls**:存储 HTTPS 证书和私钥。
      • ​**kubernetes.io/dockerconfigjson**:私有镜像仓库认证信息。

二、Secret 的创建与使用

1. 创建方式

  • 命令行创建

# 通用类型(键值对)
kubectl create secret generic my-secret --from-literal=username=root --from-literal=password=password

# TLS 证书类型
kubectl create secret tls my-tls-secret --cert=path/to/cert.pem --key=path/to/key.pem

  • YAML 文件定义

apiVersion: v1
kind: Secret
metadata:
  name: db-secret
data:
  username: cm9vdA==      # "root" 的 Base64 编码
  password: cGFzc3dvcmQ=  # "password" 的 Base64 编码

2.挂载方式

  • 环境变量注入

env:
  - name: DB_PASSWORD
    valueFrom:
      secretKeyRef:
        name: db-secret
        key: password

  • 文件挂载

volumes:
  - name: secret-volume
    secret:
      secretName: db-secret
containers:
  - volumeMounts:
      - name: secret-volume
        mountPath: "/etc/secrets"

3. 数据查看与验证

  • 查看 Secret 详情

kubectl get secret my-secret -o yaml  # 显示编码后的数据

# kubectl get secret my-secret -o yaml
apiVersion: v1
data:
  password: cGFzc3dvcmQ=
  username: cm9vdA==
kind: Secret
metadata:
  creationTimestamp: "2025-04-02T03:24:44Z"
  name: my-secret
  namespace: default
  resourceVersion: "224361"
  uid: be74cf70-d200-40de-b064-d3b99340f83f
type: Opaque



echo "cm9vdA==" | base64 -d  # 解码示例

# echo "cm9vdA==" | base64 -d
root

三、举例说明

1.常规案例

1.创建secret
# cat secret.yaml 
apiVersion: v1
kind: Secret
metadata:
  name: db-secret
data:
  username: cm9vdA==      # "root" 的 Base64 编码
  password: cGFzc3dvcmQ=  # "password" 的 Base64 编码

2. 创建deployment.yaml
# cat deployment.yaml 
apiVersion: apps/v1
kind: Deployment
metadata:
  name: webapp-deployment-secret
  labels:
    app: webapp
spec:
  replicas: 3
  selector:
    matchLabels:
      app: webapp
  template:
    metadata:
      labels:
        app: webapp
    spec:
      containers:
      - name: webapp
        image: m.daocloud.io/docker.io/nginx
        # 方式一:环境变量注入
        env:
        - name: DB_USERNAME
          valueFrom:
            secretKeyRef:
              name: db-secret
              key: username
        - name: DB_PASSWORD
          valueFrom:
            secretKeyRef:
              name: db-secret
              key: password
        
        # 方式二:文件挂载
        volumeMounts:
        - name: secret-volume
          mountPath: "/etc/db-credentials"
          readOnly: true
      volumes:
      - name: secret-volume
        secret:
          secretName: db-secret
3.应用并验证

通过下图可以看出来,两种方式的secret都使用成功

①② 应用2个yaml文件

③ 查看pod

④ 进入任意一个pod

⑤⑥ 查看通过环境变量方式挂载secret 显示  用户密码

⑦⑧ 查看通过文件方式挂载secret 显示 现在用户密码

2.登录私有仓库的案例

上面举例说明了secret的使用,下面再举例一个用的最多的,也就是通过secret登录自己的私有仓库下载镜像

1. 创建 Docker Hub 认证 Secret
#方式1, 通过kubectl create 创建一个secret 
kubectl create secret docker-registry dockerhub-secret \
  --docker-server=https://index.docker.io/v1/ \
  --docker-username=your-username \
  --docker-password=your-password \
  --docker-email=your-email@example.com


#方式2,通过yaml文件创建
apiVersion: v1
kind: Secret
metadata:
  name: dockerhub-secret
  namespace: default
type: kubernetes.io/dockerconfigjson
data:
  .dockerconfigjson: eyJhdXRocyI6eyJodHRwczovL2luZGV4LmRvY2tlci5pby92MS8iOnsidXNlcm5hbWUiOiJ5b3VyLXVzZXJuYW1lIiwicGFzc3dvcmQiOiJ5b3VyLXBhc3N3b3JkIiwiZW1haWwiOiJ5b3VyLWVtYWlsQGV4YW1wbGUuY29tIiwiYXV0aCI6ImVXOTFjaTExYzJWeWJtRnRaVHA1YjNWeUxYQmhjM04zYjNKayJ9fX0=

上面方式2 .dockerconfigjson后面一大截可能看起来会不知道什么意思,其实解码后能知道,是一串json键值对,包含方式1里面的仓库地址,用户密码等信息

#解码
# echo "eyJhdXRocyI6eyJodHRwczovL2luZGV4LmRvY2tlci5pby92MS8iOnsidXNlcm5hbWUiOiJ5b3VyLXVzZXJuYW1lIiwicGFzc3dvcmQiOiJ5b3VyLXBhc3N3b3JkIiwiZW1haWwiOiJ5b3VyLWVtYWlsQGV4YW1wbGUuY29tIiwiYXV0aCI6ImVXOTFjaTExYzJWeWJtRnRaVHA1YjNWeUxYQmhjM04zYjNKayJ9fX0=" |base64  -d
{"auths":{"https://index.docker.io/v1/":{"username":"your-username","password":"your-password","email":"your-email@example.com","auth":"eW91ci11c2VybmFtZTp5b3VyLXBhc3N3b3Jk"}}}
2.创建deployment来使用这个secret

      imagePullSecrets:  # 关键配置:声明拉取镜像的凭证
      - name: dockerhub-secret  # 必须与 Secret 名称一致

apiVersion: apps/v1
kind: Deployment
metadata:
  name: private-image-deployment
spec:
  replicas: 2
  selector:
    matchLabels:
      app: private-app
  template:
    metadata:
      labels:
        app: private-app
    spec:
      containers:
      - name: app-container
        image: your-dockerhub-username/private-image:latest  # 私有镜像地址
        ports:
        - containerPort: 8080
      imagePullSecrets:  # 关键配置:声明拉取镜像的凭证
      - name: dockerhub-secret  # 必须与 Secret 名称一致
3.验证

由于这里的用户信息都是为了举例填写的,会登录失败,所以结果会拉取失败,大家在日常使用中修改为自己的仓库地址信息即可。

四、常见问题与解决方案

  1. Secret 更新后未生效

    • 原因:已运行的 Pod 不会自动同步 Secret 变更。
    • 解决:重建 Pod 或使用支持热加载的应用框架(如 Nginx Reload)。

  2. Base64 编码错误

    • 注意点:使用 echo -n 避免换行符干扰编码结果。
    • 验证命令kubectl get secret <name> -o jsonpath='{.data}' | jq . 检查数据完整性。

  3. Secret 挂载权限问题

    • 设置文件权限:在 Volume 挂载时指定 defaultMode 参数限制文件访问权限。

五、与 ConfigMap 的对比

维度SecretConfigMap
数据安全Base64 编码明文存储
适用场景密码、密钥、证书等配置文件、环境变量等
加密支持需配合 KMS 或 Vault无原生加密
存储限制1MB1MB
读书笔记-每天5分钟玩转k8s
u013766836的博客
01-05 1027
一.K8s基本概念 一.Pod Pod 是容器的集合,通常会将紧密相关的一组容器放到一个 Pod 中,同一个 Pod 中的所有容器共享 IP 地址和 Port 空间,也就是说它们在一个 network namespace 中。 Pod 是 Kubernetes 调度的最小单位,同一 Pod 中的容器始终被一起调度。 运行kubectl get pods查看当前的 Pod。 部署应用 访问应用 Scale 应用 滚动更新 Pod 是 Kubernetes 的最小工作单元。每个 Pod 包..
k8ssecret里导入证书_从零开始入门 K8s | 应用配置管理
weixin_34613462的博客
12-31 452
一、需求来源背景问题首先一起来看一下需求来源。大家应该都有过这样的经验,就是用一个容器镜像来启动一个 container。要启动这个容器,其实有很多需要配套的问题待解决:第一,比如说一些可变的配置。因为我们不可能把一些可变的配置写到镜像里面,当这个配置需要变化的时候,可能需要我们重新编译一次镜像,这个肯定是不能接受的;第二就是一些敏感信息的存储和使用。比如说应用需要使用一些密码,或者用一些 tok...
2025每天10分钟跟我学K8S(二十九)- 对象属性 - Volume
devopser6的专栏
03-27 752
前面讲解了那么多的案例,其实会发现一个问题,就是应用的数据存储,由于pod是无状态的,当pod销毁后,pod中产生的数据也随之销毁,那如果pod中运行的是持久化数据,例如数据库,在销毁或者重建pod的时候,该如何保留之前的数据。Kubernetes提供了一个思路----KubernetesK8S)中,​是用于为Pod中的容器提供持久化存储或共享数据的核心机制。由于容器本身是临时性的,Volume的存在解决了数据持久化、容器间数据共享及配置管理等问题。
2025每天10分钟跟我学K8S(三十九)- Helm (二)Helm的结构和案例
devopser6的专栏
04-08 749
前面一章,大概了解了下helm的安装,和创建自定义的应用,本章节,来完整演示一下通过helm安装一个mysql应用的方式,了解一下helm的目录结构及作用。
2025每天10分钟跟我学K8S(三十八)- Helm (一)什么是Helm
devopser6的专栏
04-03 1325
Helm 是 Kubernetes 生态中的核心包管理工具,旨在简化应用的打包、部署和生命周期管理。
跟我学 K8S--运维: helm 安装 ceph 到 kubernetes 集群
weixin_34348111的博客
07-29 225
参考 ceph 官方文档进行操作: http://docs.ceph.com/docs/mas... 本文假设kubernetes 环境正常运行,并且 host 已经安装 helm client。 通过 helm 来部署 ceph 用到了社区的 ceph-helm 项目( https://github.com/ceph/ceph-... ...
K8S介绍并使用kubeadm安装k8s1.26.3-Day 01
qq_42515722的博客
04-15 4294
k8s基本介绍、containerd安装、kubeadm安装单master 1.26版本
k8s学习-第5部分部署ruoyi前后端分离版
Jaccccck的博客
12-26 2981
若依使用Redis 作为缓存使用,安转单节点就可以,数据不需要持久化。将ruoyi项目的sql文件提前上传到/home/app/sql目录下。开始安装MySQL 新建ruoyi-mysql.yaml。将redis 提示信息复制出来。
第六课:尚硅谷K8s学习-k8s资源调度器和安全认证
QnHyn
08-16 475
第六课:尚硅谷K8s学习-k8s资源调度器和安全认证 tags: golang 2019尚硅谷 categories: K8s 集群调度 安全认证 文章目录第六课:尚硅谷K8s学习-k8s资源调度器和安全认证第一节 集群调度介绍1.1 调度器-调度简介1.2 调度器-调度过程第二节 调度的亲和性2.1 节点亲和性2.2 Pod亲和性2.3 Taint(污点)介绍2.4 Toleration(容忍)的介绍2.5 指定调度节点第三节 集群的安全机制3.1 安全机制-认证3.2 安全机制-鉴权介绍3.3
一步步学习k8s()
中國颜值半壁江山的博客
03-15 704
1、目前使用docker的情况 使用docker的缺点: 使用Docker容器化封装应用程序的缺点(坏处) 单机使用,无法有效集群 随着容器数量的上升,管理成本攀升 没有有效的容灾/自愈机制 没有预设编排模板,无法实现快速、大规模容器调度 没有统一的配置管理中心工具 没有容器生命周期的管理工具 没有图形化运维管理工具 使用Docker容器化封装应用程序的意义(好处) Docker引擎统一了基础设施环境-docker环境 硬件的配置 操作系统的版本 运行时环境的异构 Docker引擎统一了程序打包
k8s快速部署,附带脚本
haodayizhizhuzhu的博客
02-17 2603
将yml文件放在文章中是不想遇到下载不下来的情况,可跳过yml文件内容,文章本身内容不多。本章内容可供学习及简单了解k8s集群部署及使用。参考文档里有些地方是有坑的。使用本章整理内容可完整部署出两个版本。[k8s1.18.8集群][metrics server][kuboard] [k8s1.26.1集群][metrics server][kuboard v3]
Kubernetes学习-核心概念篇() 核心概念和专业术语
qq_35716689的博客
04-28 1949
本文主要介绍了服务的分类、资源和对象以及对象规约和状态。服务的分类主要包括有状态服务和无状态服务,有状态服务需要持久化数据并且对数据一致性有要求,例如数据库、消息队列等;无状态服务不需要保存用户数据或状态,例如web服务器、API服务器等。资源和对象介绍了K8S中资源的定义和分类,资源是集群内部用于表示系统组件的对象,可以分为元数据型、集群级和命名空间级。对象规约和状态中,"spec"表示对象的期望状态,而"status"表示对
docker+k8s入门(持续跟新中)
W0W
11-13 839
Docker环境部署。
K8S - 命名空间实战 - 从资源隔离到多环境管理
weixin_46619605的博客
04-30 1070
K8S - 命名空间实战 - 从资源隔离到多环境管理
K8S - HPA + 探针实战 - 实现弹性扩缩与自愈
weixin_46619605的博客
04-30 781
K8S - HPA + 探针实战 - 实现弹性扩缩与自愈
从此,K8S入门0门槛!
最新发布
skyhhjmk的博客
05-02 871
当你想要入门K8S的时候,往往会被各种概念搞的晕乎乎的,什么API Server,Scheduler,Controller manager,Etcd,Pod,Kubelet,kube-proxy,deployment……哪怕你使用了各种图形化面板,例如我之前使用的kuboard,还有目前使用的KubeSphere,都没法真正的做到屏蔽底层概念,让用户把重心放在应用上,这时候你可能会把Sealos搬出来,可是你看它的价格计算器啊这个价格够我买个4C8G的服务器了,我还不如去用服务器。
Kubernetesk8s)的API Server 组件原理与结合生产实战教程
qq_43394776的博客
05-01 692
k8s的API Server 组件介绍与实战教程
K8S - 从单机到集群 - 核心对象与实战解析
weixin_46619605的博客
04-30 854
K8S - 从单机到集群 - 核心对象与实战解析
Kubernetes(K8S) 入门进阶实战』实战入门 - Namespace 与 Pod
Gavinjou大笨象的博客
05-02 248
Pod 是 kubernetes 集群进行管理的最小单元,程序要运行必须部署在容器中,而容器必须存在于 Pod 中Pod 可以认为是容器的封装,一个 Pod 中可以存在一个或者多个容器kubernetes 在集群启动之后,集群中的各个组件也都是以 Pod 方式运行的。可以通过下面命令查看。
K8s All-in-One集群安装与管理实战指南
从给定的文件信息中,我们可以提取到关于Kubernetesk8s)的核心知识点。由于文件内容为压缩包中的多个PDF文档,我们不会具体查看或解压这些文档,但可以根据提供的信息推测其内容。以下是关于Kubernetes、all-in-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值