kubernetes中secret介绍

最新推荐文章于 2025-01-21 18:18:23 发布
最新推荐文章于 2025-01-21 18:18:23 发布
阅读量1.1k 收藏 28
点赞数 28
CC 4.0 BY-SA版权
文章标签: 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zhangshenglu1/article/details/144029084

目录

一、Secret 的用途

二、Secret 的类型

三、Secret 的创建

1. 通过 YAML 文件创建

2. 通过命令行创建

四、Secret 的使用方式

1. 挂载为环境变量

2. 挂载为文件

3. 使用 Docker 注册表的 Secret

4. 用于 TLS

五、RBAC 与 Secret 的权限管理

六、注意事项

Kubernetes 中的 Secret 是一种用于存储敏感信息(如密码、令牌、密钥等)的资源对象。与直接将敏感信息写入 Pod 的配置文件中相比,Secret 提供了一种更加安全和灵活的方式来管理这些信息。官网地址:Secrets | Kubernetes

一、Secret 的用途

  1. 存储敏感信息:

    • 用于存储应用程序需要的敏感信息,例如数据库密码、API 密钥、TLS 证书等。

  2. 提高安全性:

    • 避免将敏感信息硬编码在 Pod 的定义中。

    • 可以限制 Secret 的访问权限(结合 RBAC 使用)。

  3. 支持动态更新:

    • 如果 Secret 被更新,挂载到 Pod 的数据也可以动态更新(适用于挂载为文件的情况)。

  4. 支持不同类型的敏感信息:

    • Kubernetes 提供了多种内置 Secret 类型,如 Opaquekubernetes.io/tlskubernetes.io/dockerconfigjson 等。

二、Secret 的类型

Kubernetes 支持以下几种内置的 Secret 类型:

  1. Opaque(默认类型)

    • 用于存储任意键值对(如密码、配置信息等)。

  2. kubernetes.io/service-account-token

    • 用于自动为 Pod 提供访问 Kubernetes API 的凭据(与 ServiceAccount 相关)。

  3. kubernetes.io/dockerconfigjson

    • 用于存储 Docker 注册表的认证信息(~/.docker/config.json 文件的内容)。

  4. kubernetes.io/tls

    • 用于存储 TLS 证书,包括 tls.crttls.key 两部分。

三、Secret 的创建

1. 通过 YAML 文件创建

以下是创建一个 Opaque 类型 Secret 的 YAML 示例:

apiVersion: v1
kind: Secret
metadata:
  name: my-secret
type: Opaque
data:
  username: YWRtaW4=     # Base64 编码的 "admin"
  password: cGFzc3dvcmQ= # Base64 编码的 "password"

将其应用到集群中:

kubectl apply -f secret.yaml

2. 通过命令行创建

使用 kubectl create secret 命令快速创建:

kubectl create secret generic my-secret \
  --from-literal=username=admin \
  --from-literal=password=password

查看创建的 Secret:

kubectl get secrets my-secret -o yaml

四、Secret 的使用方式

1. 挂载为环境变量

可以将 Secret 中的键值对以环境变量的形式传递给容器。

示例 Pod 定义:

apiVersion: v1
kind: Pod
metadata:
  name: secret-env-pod
spec:
  containers:
  - name: app
    image: busybox
    command: ["/bin/sh", "-c", "echo $USERNAME && echo $PASSWORD"]
    env:
    - name: USERNAME
      valueFrom:
        secretKeyRef:
          name: my-secret
          key: username
    - name: PASSWORD
      valueFrom:
        secretKeyRef:
          name: my-secret
          key: password

2. 挂载为文件

也可以将 Secret 挂载到容器的文件系统中。

示例 Pod 定义:

apiVersion: v1
kind: Pod
metadata:
  name: secret-volume-pod
spec:
  containers:
  - name: app
    image: busybox
    command: ["/bin/sh", "-c", "ls /etc/secret-volume && cat /etc/secret-volume/username"]
    volumeMounts:
    - name: secret-volume
      mountPath: /etc/secret-volume
      readOnly: true
  volumes:
  - name: secret-volume
    secret:
      secretName: my-secret

挂载后的文件结构:

  • /etc/secret-volume/username:包含 admin

  • /etc/secret-volume/password:包含 password

3. 使用 Docker 注册表的 Secret

创建一个用于 Docker 注册表的 Secret:

kubectl create secret docker-registry my-docker-secret \
  --docker-username=<username> \
  --docker-password=<password> \
  --docker-server=<registry-url> \
  --docker-email=<email>

在 Pod 中引用该 Secret 以拉取私有镜像:

apiVersion: v1
kind: Pod
metadata:
  name: private-reg-pod
spec:
  containers:
  - name: private-app
    image: <private-image>
  imagePullSecrets:
  - name: my-docker-secret

4. 用于 TLS

创建一个 TLS 类型的 Secret:

kubectl create secret tls my-tls-secret \
  --cert=path/to/tls.crt \
  --key=path/to/tls.key

在 Ingress 中使用:

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: tls-example
spec:
  tls:
  - secretName: my-tls-secret
  rules:
  - host: example.com
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: my-service
            port:
              number: 80

五、RBAC 与 Secret 的权限管理

使用 RBAC 控制对 Secret 的访问权限,确保只有授权的 Pod 或用户可以访问敏感信息。

示例 Role 定义:

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: default
  name: secret-reader
rules:
- apiGroups: [""]
  resources: ["secrets"]
  resourceNames: ["my-secret"]
  verbs: ["get"]

绑定到 ServiceAccount:

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: read-my-secret
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: Role
  name: secret-reader
subjects:
- kind: ServiceAccount
  name: my-service-account
  namespace: default

六、注意事项

  1. Base64 编码:Secret 的数据必须是 Base64 编码的。

  2. Secret数据没有进行加密,建议对敏感数据先进行对称加密然后再base64加密,之后在对应的容器中进行base64解密

  3. 对单个secret限制的大小为1M以内,因为过大的secret会导致kubelet内存消耗过大,同时可以通过资源限制的方式来限制过多的secret的key,导致内存过大问题

张声录1
关注
【云原生】kubernetessecret原理详解与应用实战
景天科技苑
06-04 2万+
对于一些敏感数据,如密码、私钥等数据时,要用secret类型。 Secret解决了密码、token、秘钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。 Secret可以以Volume或者环境变量的方式使用。 要使用 secret,pod 需要引用 secret。Pod 可以用两种方式使用 secret: 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里, 或者当 kubelet 为 pod 拉取镜像时使用。
Kubernetes Secret的三种使用方式
✨ 欢迎来到【Seal ^_^ 的优快云博客】!✨
09-04 3566
Kubernetes中,Secret是管理敏感信息的利器。创建Secret后,我们可以通过以下三种简洁的方式在集群中使用它们:
Kubernetes学习之Secret
Micky_Yang的博客
08-30 1523
一、认识Secret   Secret资源的功能类似于ConfigMap,但是它专用于存放敏感数据,例如密码、数字证书、私钥、令牌和SSH key等。   Secret对象存储数据的方式及使用方法类似于ConfigMap对象,以键值对方式存储数据,在Pod资源中通过环境变量或存储卷进行数据访问。不同的是,Secret对象仅会被分发至调用了此对象的Pod资源所在的工作节点,且只能由节点将其存储于内存中。另外,Secret对象的数据的存储及打印格式为Base64编码的字符串,因此用户在创建Secret对象时也要
kubernetesSecret
格子的博客
05-24 570
Secret 解决了密码、Token、秘钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Spec 中。Secret可以以 Volume 或者环境变量的方式使用。 使用 Secret 意味着你不需要在应用程序代码中包含机密数据。
KubernetesSecret
xiayping的博客
07-24 254
KubernetesSecret介绍与使用
kubernetessecret
weixin_30698297的博客
07-29 175
secret 作用: 保管私密数据 secret使用场景 1. 创建pod时候, 为pod指定serviceaccount来自动使用secret 2. 通过挂载该secret到pod来使用它 3. 下载docker镜像, 通过指定pod的spec.ImagePullSecrets来引用 4. 生成变量 通过挂载该secret到pod来使用它, pod容器里生成文件 创建secret ...
KubernetesSecret使用详解
热门推荐
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
10-26 1万+
Secret解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。 Secret类型 Secret有三种类型: Opaque:base64编码格式的Secret,用来存储密码、密钥等;但数据也通过base64 –decode解码得到原始数据,所有加密性很弱。 kubernetes.io/doc...
KubernetesSecret
专注于数据库技术分享,包含但不限于Oracle,MySQL,PostgreSQL,ElasticSearch及国产数据库等
05-15 658
Kubernetes 中,Secret 是一种用来存储敏感信息的对象,如密码、OAuth 令牌和 SSH 密钥等。Secret 允许你将这些敏感数据安全地传递给 Pods 中的容器,而无需在配置文件或镜像中硬编码这些信息。Kubernetes 会对 Secret 数据进行加密存储,并在使用时解密。
KubernetesSecret
千度阿三的博客
06-03 316
Secret 解决了密码、token、秘钥等敏感数据的配置问题,它避免了把这些敏感数据直接暴露在镜像或者 Pod 的配置文件中。但是它只是一种相对安全的策略,我们还是可以在容器内找到这些信息。
k8s基础(8)—Kubernetes-Secret
最新发布
dghfttgv的博客
01-21 784
Secret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。这样的信息可能会被放在规约中或者镜像中。使用 Secret 意味着你不需要在应用程序代码中包含机密数据。由于创建 Secret 可以独立于使用它们的 Pod, 因此在创建、查看和编辑 Pod 的工作流程中暴露 Secret(及其数据)的风险较小。Kubernetes 和在集群中运行的应用程序也可以对 Secret 采取额外的预防措施, 例如避免将敏感数据写入非易失性存储。Secret 类似于但专门用于保存机密数据。
08-Kubernetes中的Secret
yuhuofei的草屋
05-04 603
Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 SSH 密钥。 将这些信息放在 Secret 中比放在 Pod 的定义或者容器镜像中相对更加安全和灵活。 这里假设已有一个私有的docker仓库地址,用于存放镜像的。 1. 新建密钥 (1)命令格式 kubectl create secret docker-registry \ --docker-server=<你的镜像仓库服务器> \ --docker-username=<你的用户名> \ --doc
【K8s】专题五(2):Kubernetes 配置之 Secret
运维、实施交付领域知识交流
06-14 742
Kubernetes 专题 - 配置之 Secret
KubernetesSecret 详解
升仔聊编程的博客
12-27 681
在微服务和容器化环境中,敏感数据的管理是一个重要且挑战性的问题。KubernetesSecret 对象提供了一种在集群中安全地存储和管理敏感数据(如密码、密钥、证书等)的机制。Kubernetes 中的 Secret 是管理敏感数据的有效工具。通过正确地使用和保护 Secret,可以确保敏感数据在 Kubernetes 环境中的安全性。理解和熟练使用 Secret 对于维护一个安全且高效的 Kubernetes 集群至关重要。
KubernetesSecrets解析
专注于数据库技术分享,包含但不限于Oracle,MySQL,PostgreSQL,ElasticSearch及国产数据库等
05-11 436
Kubernetes中,Secrets是一种用于存储敏感信息(如密码、API密钥、TLS证书等)的对象,旨在确保这些信息在集群内部安全地管理和分发给需要的应用程序容器。Secrets 的管理是确保云原生应用程序安全的关键部分。
Kubernetes(k8s)之Secret私密凭据
Tuki来了
08-01 1233
secret用来保管私密数据。
7、Kubernetes核心技术 - Secret
weixiaohuai的博客
08-03 596
Secret 解决了密码、令牌、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec 中,它把 Pod 想要访问的加密数据存放到 Etcd 中,然后用户就可以通过在 Pod 的容器里挂载 Volume 的方式或者环境变量的方式访问到这些 Secret 里保存的信息。
kubernetes secret 管理
爱死亡机器人
09-15 5131
Secret 概览 Secret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 这样的信息可能会被放在 Pod 规约中或者镜像中。 用户可以创建 Secret,同时系统也创建了一些 Secret。 要使用 Secret,Pod 需要引用 Secret。 Pod 可以用三种方式之一来使用 Secret: 作为挂载到一个或多个容器上的 卷 中的文件。 作为容器的环境变量 由 kubelet 在为 Pod 拉取镜像时使用 使用 kubectl 创建 Secret # 创建本例中要使用的文件 echo -
Kubernetessecrets使用
Harry的博客
10-11 4149
Secret解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。 ​
Kubernetes详解——Secret创建
jundao1997的专栏
11-13 1363
但是根据给Secret指定数据方式的不同,我们可以有四种方法来创建Secret。–from-literal参数可以在命令行中指定Secret具体内容。该命令执行结果如下:从上图中可以看出,我们的Secret创建成功!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值