kubernetes之十四–kubernetes secrets

最新推荐文章于 2024-11-03 12:22:15 发布
原创 最新推荐文章于 2024-11-03 12:22:15 发布 · 1.2k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了Kubernetes中如何管理和使用密钥来保护集群内的敏感数据。包括手动定义密钥、使用kubectl创建密钥的方法,并讨论了安全性问题。还介绍了如何在Pod中利用密钥以及将密钥值作为环境变量。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1. 简介

有时候,我们在群集中有一些机密数据,比如说密码、API key的密钥或者证书。这些机密信息只允许那些授权过的或者特定的服务可见,其它运行在群集中的服务不能访问这些数据。
针对这个原因 ,kubernetes提供了secrets. 一对key-value密钥对就是那些key是唯一的,而密钥是敏感数据。往往存储在etcd中。Kubernetes可以配置密钥在etcd、传输中都是加密的,这样可以起到安全的作用。

2. 手工定义密钥
(1)pets-secret.yaml文件内容如下:

apiVersion: v1
kind: Secret
metadata:
name: pets-secret
type: Opaque
data:
username: am9obi5kb2UK
password: c0VjcmV0LXBhc1N3MHJECg==

使用base64获取值可以使用以下方式:
这里写图片描述

(2)创建密钥和对它们进行描述

这里写图片描述

(3)但用上面的创建方式并不是安全的,比如可以通过kubectl get获取密钥

这里写图片描述

$ echo “c0VjcmV0LXBhc1N3MHJECg==” | base64 –decode
sEcret-pasSw0rD

3. 使用kubectl创建密钥
(1)使用base-64封装密钥值。
$ echo “sue-hunter” | base64 > username.txt
$ echo123abc456def” | base64 > password.txt
(2)使用kubectl去创建密钥

$ kubectl create secret generic pets-secret-prod \
–from-file=./username.txt \
–from-file=./password.txt
secret “pets-secret-prod” created

总结:在生产环境中建议采用第3种方式,不要采用第2种方式。因为第3种方式更安全一些。

4. 在pod中使用密钥
(1)创建密钥

$ kubectl create -f pets-secret.yaml

(2)对要部署的应用进行定义

这里写图片描述

(3)查看密钥文件是否挂载到容器中。

这里写图片描述

5. 密钥值在环境变量中

这里写图片描述

进入到容器,查看映射内容如下:
这里写图片描述

KubernetesSecrets
山不转的博客
07-24 2708
SecretsKubernetes中一种对象类型,用来保存密码、私钥、口令等敏感信息。与直接将敏感信息嵌入image、pod相比,Secrets更安全、更灵活,用户对敏感信息的控制力更强。同Docker对敏感信息的管理类似,首先用户创建Secrets将敏感信息加密后保存在集群中,创建pod时通过volume、环境变量引用Secrets。 创建Secrets 假设pod需要访问数据库。首先将用...
Kubernetes Secrets
叶康铭的博客
02-26 1184
什么是Secret 通过Secret可以将敏感信息注入到Pod中的容器,一般用于存储访问私有仓库的账号密码、TLS证书、Token等。Secret可以做为容器依附在Pod中使用,或者可以通过环境变量引入。这是比直接使用ConfigMap更加安全的方式,降低敏感数据直接暴露给未授权用户的风险。 Secret 基本操作 通过kubectl create secret kubectl create se...
Python configparser模块封装及构造配置文件
菜鸟教程
11-09 544
更多编程教程请到:菜鸟教程 https://www.piaodoo.com/ 1.configparser模块简介 使用配置文件来灵活的配置一些参数是一件很常见的事情,配置文件的解析并不复杂,在python里更是如此,在官方发布的库中就包含有做这件事情的库,那就是configParser configParser解析的配置文件的格式比较象ini的配置文件格式,就是文件中由多个section构成,每个section下又有多个配置项 2.看一下configparser生成的配置文件的格式 ini配置
Kubernetes Secrets 详解
奋斗菜鸟
09-08 506
Kubernetes Secrets 详解
每天5分钟玩转Kubernetes | 创建Secret
COCO_gsta的博客
06-23 669
书籍来源:cloudman《每天5分钟玩转Kubernetes》一边学习一边整理老师的课程内容及试验笔记,并与大家分享,侵权即删,谢谢支持!有四种方法创建Secret:(1)通过--from-literal: 每个--from-literal对应一个信息条目。(2)通过--from-file: 每个文件内容对应一个信息条目。(3)通过--from-env-file: 文件env.txt中每行Key=Value对应一个信息条目。(4)通过YAML配置文件,如下所示。 文件中的敏感数据必须是通过
Introduction to Kubernetes
01-12
Kubernetes Architecture – Overview Installing Kubernetes Setting Up a Single Node Kubernetes Cluster with Minikube Accessing Minikube Kubernetes Building Blocks Authentication, Authorization, ...
Reloader:一个Kubernetes控制器,用于监视ConfigMap和Secrets中的更改,并在Pods上使用与其关联的Deployment,StatefulSet,DaemonSet和DeploymentConfig – [✩Star](如果正在使用)进行滚动升级!
02-02
Reloader与kubernetes> = 1.9兼容 如何使用Reloader 对于名为foo的Deployment具有一个名为foo-configmap的ConfigMap或名为foo-secret Secret或这两者。 然后将注释(默认为reloader.stakater.com/auto )添加到...
kubernetes安全机制
ll945608651的博客
10-14 794
Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部各个组件通信的中介, 也是外部控制的入口。所以 Kubernetes 的安全机制基本就是围绕保护 API Server 来设计的。
云原生架构之Spring Cloud+Kubernetes配置中心方案
AS011x的博客
09-03 2395
利用Kubernetes原生configmap/secret 资源作为配置中心,不用关注服务可用性,即网络问题,同时也不用引入新的组建,造成运维成本。spring-cloud-starter-kubernetes-config是spring-cloud-starter-kubernetes下的一个库,作用是将kubernetes的configmap与SpringCloud Config结合起来。/
kubernetes部署搭建
tundra38的博客
05-27 679
在master节点配置kubernetes的网络,部署flannel网络,如果网络好,可以直接下载kube-flannel.yml,挂载yum源,在虚拟机设置中DVD选择centos的镜像文件,右击虚拟机可移动设备中选中需要挂载的dvd连接。在master节点上初始化kuber的集群,这里注意ip先更改成自己的,直接复制会直接运行。然后回到master验证,发现多了一行node,如果是notready,稍等一会再查看一次。查看dash运行的节点,如下看到是node,那么访问的网址ip就是node的ip。
kubernetes-external-secrets:将外部秘密管理系统与Kubernetes集成
01-30
:warning_selector: 存储库已移至外部机密 该项目已从移至GitHub组织,以合并具有相同目标的不同项目。 更多信息。 Kubernetes的外部秘密 Kubernetes外部机密使您可以使用外部机密管理系统(例如或在Kubernetes中安全地添加机密。 在上了解有关Kubernetes外部秘密的设计和动机的更多信息。 该项目以及相关的Kubernetes秘密管理项目的社区和维护者使用Kubernetes松弛上的通道进行讨论和集思广益。 这个怎么运作 该项目通过使用添加一个ExternalSecrets对象和一个控制器来实现对象本身的行为,从而扩展了Kubernetes API。 当控制器将所有ExternalSecrets转换为Secrets ,一个ExternalSecret声明如何获取秘密数据。 转换对可以正常访问Secrets Pods完全透明。 默认情况下, Secrets信息不会在静止状态下进行加密,并且可以通过etcd服务器或etcd数据的备份进行攻击。 为了降低这种风险,使用一个加密Secrets存储在ETCD。 系统架构 ExternalSe
Kubernetes 之 Secret 详解
升仔聊编程的博客
12-27 696
在微服务和容器化环境中,敏感数据的管理是一个重要且挑战性的问题。Kubernetes 的 Secret 对象提供了一种在集群中安全地存储和管理敏感数据(如密码、密钥、证书等)的机制。Kubernetes 中的 Secret 是管理敏感数据的有效工具。通过正确地使用和保护 Secret,可以确保敏感数据在 Kubernetes 环境中的安全性。理解和熟练使用 Secret 对于维护一个安全且高效的 Kubernetes 集群至关重要。
KubernetesSecrets解析
专注于数据库技术分享,包含但不限于Oracle,MySQL,PostgreSQL,ElasticSearch及国产数据库等
05-11 450
Kubernetes中,Secrets是一种用于存储敏感信息(如密码、API密钥、TLS证书等)的对象,旨在确保这些信息在集群内部安全地管理和分发给需要的应用程序容器。Secrets 的管理是确保云原生应用程序安全的关键部分。
通过Kubernetes Secrets配置开放自由数据源
danpob13624的博客
04-08 171
在Open Liberty中,数据源凭据的配置通常在server.xml文件中完成。 如果我们使用容器和容器编排,则理想情况下我们将使用“基础结构即代码”,并将所有配置存储在版本控制下。 但是,对于这些数据源凭据,这当然是不希望的。 出于这个原因,Kubernetes秘密定义使我们能够分别存储对集群中的每个人都不可见的秘密值。 在Open Liberty中,我们可以定义一个可选的boot...
Kubernetes中的secrets存储
最新发布
huaz_md的博客
11-03 1193
secret对象类型用来保存敏感信息,如密码Oauth令牌和ssh key敏感信息放在secret中比放在Pod的定义或者容器镜像中来说更加安全和灵活Pod可以用两种方式使用secret作为volume中的文件被挂载到pod中的一个或者多个容器里当kubelet为pod拉取镜像时使用secret的类型Kubernetes自动创建包含访问api凭据的secret,并自动修改pod以使用此类型的secretOpaque:使用base64编码存储信息,可以通过解码获得原始数据,因此安全性弱。
Kubernetes 中Secret
专注于数据库技术分享,包含但不限于Oracle,MySQL,PostgreSQL,ElasticSearch及国产数据库等
05-15 677
Kubernetes 中,Secret 是一种用来存储敏感信息的对象,如密码、OAuth 令牌和 SSH 密钥等。Secret 允许你将这些敏感数据安全地传递给 Pods 中的容器,而无需在配置文件或镜像中硬编码这些信息。Kubernetes 会对 Secret 数据进行加密存储,并在使用时解密。
kubernetes secrets 保存敏感信息
kozazyh的专栏
04-23 1516
kubernetes secrets 是用来保存密码、token、密钥...敏感信息的对象。例如:有时我们在pod中需要连接aws 应用(s3、ddb),一般需要在env设置AWS_ACCESS_KEY_ID、AWS_SECRET_KEY,这时候,我们就可以把aws的key 保存在kubernetessecrets中,一来可以保证不在image中保存敏感信息、二来多个pod可以共用secrets...
Kubernetes---Secret配置管理
Jelly
04-21 1223
一、Secret配置管理介绍 Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 ssh key。 敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。 Pod 可以用两种方式使用 secret: • 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里; • 当 kubelet 为 pod 拉取镜像时使用。 Secret的类型: • Service Account:K...
Kubernetes中Secret使用详解
热门推荐
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
10-26 1万+
Secret解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。 Secret类型 Secret有三种类型: Opaque:base64编码格式的Secret,用来存储密码、密钥等;但数据也通过base64 decode解码得到原始数据,所有加密性很弱。 kubernetes.io/doc...
secrets-manager: 实现Vault与Kubernetes秘密同步的工具
资源摘要信息:"secrets-manager:将Vault机密同步到Kubernetes机密的守护程序" 在当前的企业IT环境中,机密管理和同步是一个重要课题。随着技术的发展和应用的多样化,企业往往采用多种技术栈来满足不同的业务需求。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

爱尚维

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值