【kubernetes/k8s源码分析】 k8s secret storage 源码分析

最新推荐文章于 2025-04-20 19:14:09 发布
最新推荐文章于 2025-04-20 19:14:09 发布
阅读量3.7k 收藏 2
点赞数 2
CC 4.0 BY-SA版权
分类专栏: # kubernetes CSI 存储
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zhonglinzhang/article/details/90677709
本文介绍了Kubernetes中Secret和ServiceAccount的使用。Secret用于保存敏感数据,可减少暴露风险,Pod可通过挂载或引用使用。ServiceAccount为Pod进程提供身份认证。还阐述了用户操作API资源的三个步骤,包括认证、授权检查和准入控制,最后分析了相关函数。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

      Secret是用来保存小片敏感数据的k8s资源,例如密码,token,或者秘钥。这类数据当然也可以存放在Pod或者镜像中,但是放在Secret中是为了更方便的控制如何使用数据,并减少暴露的风险。

     用户可以创建自己的secret,系统也会有自己的secret。

     Pod需要先引用才能使用某个secret,Pod有2种方式来使用secret:作为volume的一个域被一个或多个容器挂载;在拉取镜像的时候被kubelet引用。

 

Service Account

      Service Account 场景:pod里的进程需要调用 Kubernetes API 以及非 Kubernetes API 的其它服务。Service Account 是给 pod 里面的进程使用的,它为pod提供必要的身份认证

      如果kubernetes 启动参数设置 --admission_control=ServiceAccount,会在每个namespace下创建一个默认的 default 的service account

# kubectl get serviceaccount default -oyaml
apiVersion: v1
kind: ServiceAccount
metadata:
  creationTimestamp: "2019-05-29T06:59:44Z"
  name: default
  namespace: default
  resourceVersion: "225"
  selfLink: /api/v1/namespaces/default/serviceaccounts/default
  uid: 56de4d32-81df-11e9-884b-0800271c9f15
secrets:
- name: default-token-shmrt

   在看看这个secrets是啥内容

apiVersion: v1
data:
  ca.crt: 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
  namespace: ZGVmYXVsdA==
  token: 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
kind: Secret
metadata:
  annotations:
    kubernetes.io/service-account.name: default
    kubernetes.io/service-account.uid: 56de4d32-81df-11e9-884b-0800271c9f15
  creationTimestamp: "2019-05-29T06:59:44Z"
  name: default-token-shmrt
  namespace: default
  resourceVersion: "219"
  selfLink: /api/v1/namespaces/default/secrets/default-token-shmrt
  uid: 56f435ab-81df-11e9-884b-0800271c9f15
type: kubernetes.io/service-account-token

 

使用Secret 

      secret可以作为数据卷挂载或者作为环境变量暴露给Pod中的容器使用。比如可以用secret导入与外部系统交互需要的证书文件等。

    volumeMounts:
    - mountPath: /var/lib/mysql
      name: mysql-persistent-storage
    - mountPath: /var/run/secrets/kubernetes.io/serviceaccount
      name: default-token-shmrt
      readOnly: true

  volumes:
  - hostPath:
      path: /tmp/mysql
      type: ""
    name: mysql-persistent-storage
  - name: default-token-shmrt
    secret:
      defaultMode: 420
      secretName: default-token-shmrt 

      将ca.crt 、namespace和token三个文件写入value在容器的/var/run/secrets/kubernetes.io/serviceaccount目录下,这样容器通过https 访问apiserver

    Pod中以文件的形式使用secret 

  1. 创建一个Secret,多个Pod可以引用同一个Secret
  2. 修改Pod的定义,在spec.volumes[]加一个volume
  3. 在每个需要使用Secret的容器中添加一项spec.containers[].volumeMounts
  4. Secret中data字段的每一个key都是指定路径下面的一个文件名

 

类型

Opaque任意字符串,默认类型

kubernetes.io/service-account-token:作用于ServiceAccount

 

每一个用户对API资源进行操作都需要通经过以下三个步骤:

第一步:对客户端访问进行认证操作,确认是否具有访问k8s权限

token(共享秘钥)

SSL(双向SSL认证)

通过任何一个认证即表示认证通过,进入下一步

第二步:授权检查,确认是否对资源具有相关的权限

ABAC(基于属性的访问控制)

RBAC(基于角色的访问控制)

NODE(基于节点的访问控制)

WEB HOOK(自定义HTTP回调方法的访问控制)

第三步:准入控制(对操作资源相关联的其他资源是否有权限操作)

 

 

  • Pod在创建后都会自动设置spec.serviceAccount为default(除非指定了ServiceAccout)
  • 验证Pod引用的service account存在,否则拒绝创建
  • 如果Pod没有指定ImagePullSecrets,则把service account的ImagePullSecrets加到Pod中
  • container启动后都会挂载该service account的namespace token和ca.crt到/var/run/secrets/kubernetes.io/serviceaccount

 

    下面是第一部secret分析 

 

1. NewMounter 函数

    插件名为:kubernetes.io/secret,实例化secretVolumeMounter,名,pod 信息等

func (plugin *secretPlugin) NewMounter(spec *volume.Spec, pod *v1.Pod, opts volume.VolumeOptions) (volume.Mounter, error) {
	return &secretVolumeMounter{
		secretVolume: &secretVolume{
			spec.Name(),
			pod.UID,
			plugin,
			plugin.host.GetMounter(plugin.GetPluginName()),
			volume.NewCachedMetrics(volume.NewMetricsDu(getPath(pod.UID, spec.Name(), plugin.host))),
		},
		source:    *spec.Volume.Secret,
		pod:       *pod,
		opts:      &opts,
		getSecret: plugin.getSecret,
	}, nil
}


2. SetUpAt 函数

     /var/lib/kubelet/pods/7f3ca9fc-8435-11e9-a5a0-0800271c9f15/volumes/kubernetes.io~secret/default-token-w25t2

func getPath(uid types.UID, volName string, host volume.VolumeHost) string {
   return host.GetPodVolumeDir(uid, strings.EscapeQualifiedNameForDisk(secretPluginName), volName)
}

     每一个 namespace 都有一default serviceaccount,存储在 kubernetes API 中的 Secrets 资源

 

secret, err := b.getSecret(b.pod.Namespace, b.source.SecretName)
if err != nil {
	if !(errors.IsNotFound(err) && optional) {
		klog.Errorf("Couldn't get secret %v/%v: %v", b.pod.Namespace, b.source.SecretName, err)
		return err
	}
	secret = &v1.Secret{
		ObjectMeta: metav1.ObjectMeta{
			Namespace: b.pod.Namespace,
			Name:      b.source.SecretName,
		},
	}
}

    MakePayload 主要是读取secret 中的data数据,包括ca.crt namespace token,value为需要写入这三个文件的内容

// MakePayload function is exported so that it can be called from the projection volume driver
func MakePayload(mappings []v1.KeyToPath, secret *v1.Secret, defaultMode *int32, optional bool) (map[string]volumeutil.FileProjection, error) {
	if defaultMode == nil {
		return nil, fmt.Errorf("No defaultMode used, not even the default value for it")
	}

	payload := make(map[string]volumeutil.FileProjection, len(secret.Data))
	var fileProjection volumeutil.FileProjection

	if len(mappings) == 0 {
		for name, data := range secret.Data {
			fileProjection.Data = []byte(data)
			fileProjection.Mode = *defaultMode
			payload[name] = fileProjection
		}
	} else {
		for _, ktp := range mappings {
			content, ok := secret.Data[ktp.Key]
			if !ok {
				if optional {
					continue
				}
				errMsg := "references non-existent secret key"
				klog.Errorf(errMsg)
				return nil, fmt.Errorf(errMsg)
			}

			fileProjection.Data = []byte(content)
			if ktp.Mode != nil {
				fileProjection.Mode = *ktp.Mode
			} else {
				fileProjection.Mode = *defaultMode
			}
			payload[ktp.Path] = fileProjection
		}
	}
	return payload, nil
}

    使用wrapped emptydir插件

setupSuccess := false
if err := wrapped.SetUpAt(dir, fsGroup); err != nil {
	return err
}

     也就是写入文件包括ca.crt namespace token,设置文件owner,完活

writerContext := fmt.Sprintf("pod %v/%v volume %v", b.pod.Namespace, b.pod.Name, b.volName)
writer, err := volumeutil.NewAtomicWriter(dir, writerContext)
if err != nil {
	klog.Errorf("Error creating atomic writer: %v", err)
	return err
}

err = writer.Write(payload)
if err != nil {
	klog.Errorf("Error writing payload to dir: %v", err)
	return err
}

err = volume.SetVolumeOwnership(b, fsGroup)
if err != nil {
	klog.Errorf("Error applying volume ownership settings for group: %v", fsGroup)
	return err
}
setupSuccess = true

 

总结:

     secret 这个主要是 pod内进程访问的凭证,将 ca.crt namespace token 三个文件挂载到pod内

k8s源码国内源
极客栈
08-06 780
k8s源码在github上下载非常缓慢,所以需要用国内源进行下载 开源中国的源是比较快一些的,所以我fetch了一个分支,可以较快速度下载 具体路径: https://gitee.com/jiaozongguan/kubernetes.git
k8s 认证机制源码分析
fengcai_ke的博客
09-27 1146
k8s认证机制源码分析
k8s】8、数据存储
努力充实,远方可期
06-20 890
第八章 数据存储 ​ 在前面已经提到,容器的生命周期可能很短,会被频繁地创建和销毁。那么容器在销毁时,保存在容器中的数据也会被清除。这种结果对用户来说,在某些情况下是不乐意看到的。为了持久化保存容器的数据,kubernetes引入了Volume的概念。 ​ Volume是Pod中能够被多个容器访问的共享目录,它被定义在Pod上,然后被一个Pod里的多个容器挂载到具体的文件目录下,kubernetes通过Volume实现同一个Pod中不同容器之间的数据共享以及数据的持久化存储。Volume的生命容
k8s源码(一): Pod创建流程
weixin_46322986的博客
01-26 3512
深入k8s源码,学习kubelet创建Pod的流程。
K8s 之 kube-scheduler 源码学习
levena的博客
10-13 1438
调度器通过 kubernetes 的监测(Watch)机制来发现集群中新创建且尚未被调度到 Node 上的 Pod。调度器会将发现的每一个未调度的 Pod 调度到一个合适的 Node 上来运行。调度器会依据下文的调度原则来做出调度选择。过滤打分过滤阶段会将所有满足 Pod 调度需求的 Node 选出来。例如,PodFitsResources 过滤函数会检查候选 Node 的可用资源能否满足 Pod 的资源请求。在过滤之后,得出一个 Node 列表,里面包含了所有可调度节点;
Kubernetes(K8S) 入门进阶实战完整教程
JustinMars的博客
03-15 3791
Kubernetes详细教程 1. Kubernetes介绍 1.1 应用部署方式演变 在部署应用程序的方式上,主要经历了三个时代: 传统部署:互联网早期,会直接将应用程序部署在物理机上 优点:简单,不需要其它技术的参与 缺点:不能为应用程序定义资源使用边界,很难合理地分配计算资源,而且程序之间容易产生影响 虚拟化部署:可以在一台物理机上运行多个虚拟机,每个虚拟机都是独立的一个环境 优点:程序环境不会相互产生影响,提供了一定程度的安全性 缺点:增加了操作系统,浪费了部分资源 容器化部署:
Kubernetes (K8s) 权限管理指南
TechEnthusiast的博客
01-17 837
认证 (Authentication)授权 (Authorization)准入控制 (Admission Control)这三个阶段共同构成了 K8s 的纵深防御策略。
kubernetes k8s+DevOps云原生全栈技术实战课程
niwoxiangyu的博客
10-18 601
第16章 Pod进阶篇:污点-容忍度-亲和性-Affinity-调度。第21量 K8s应用篇-Service代理和kube-proxy转发。第22章 K8s应用篇-持久化存储和StorageClass详细介绍。第34章 实战-在k8s集群中部署SpringCloud在线购物平台。第37章 扩展篇:HPA-KPA-VPA-CA实现k8s自动扩缩容。第11章 kubeadm安装高可用的k8s集群-适合生产环境。第25章 K8s应用篇-配置管理中心Configmap。
kubernetes(k8s)之概念入门篇
mijichui2153的博客
03-12 1199
kubernetes是一个开源的,用于管理云平台中多个主机上的容器化的应用,kubernetes的目标是然该部署容器化的应用简单而且高效,kubernetes提供了应用部署,规划,更新,维护的一种机制。其实提到管理容器第一想到的肯定是docker compose,只不过他是单主机的;而k8s是天然的用于多主机管理的应用,显然功能更加强大。kubernetes这个名字源于希腊语,以为“舵手”、“飞行员”。“K8S”这个缩写是因为k和s之间有八个字符,所以这样缩写。
Docker 与 KubernetesK8s)初探
秋元的博客
02-20 1088
Docker 使应用程序容器化,而 Kubernetes 提供了一个强大、可扩展的平台来管理这些容器。它提供了容器编排(Container Orchestration),可以自动处理容器的运行、负载均衡、健康检查、滚动更新等功能。已成为云原生应用的标准架构。熟练掌握这两者的使用,将极大提升你的 DevOps 能力!这些容器可以在不同的环境中一致地运行,从开发到测试再到生产环境。的基本概念、它们的关系,以及如何使用它们来部署和管理应用程序。使用 Kubernetes 部署一个基于 Docker 的应用。
kubernetes k8s v1.10源码
08-14
git 下载太慢 k8s 1.10源码包 希望对有需要的人有帮助。
K8s源码分析(一)-K8s调度框架及调度器初始化介绍
slipegg的博客
05-10 1665
K8s调度框架进行了介绍,还介绍了Cobra,并分析了K8s调度器的初始化代码
k8s控制器源码解读
wxd1234567890的博客
01-12 1885
replicaset 控制器 引用 https://draveness.me/kubernetes-replicaset/ https://cloud.tencent.com/developer/article/1554675 Kubernetes 中的 ReplicaSet 主要的作用是维持一组 Pod 副本的运行,它的主要作用就是保证一定数量的 Pod 能够在集群中正常运行,它会持续监听这些 Pod 的运行状态,在 Pod 发生故障重启数量减少时重新运行新的 Pod 副本。这篇文章会介绍 Repli
K8S容器源码分析和设计
远方雪的专栏
11-20 1272
Kubernetes 中,Service 是一种抽象,用于定义一组逻辑上的 Pod 以及访问它们的策略。Service 提供了稳定的网络入口,使得客户端可以通过统一的方式访问动态变化的 Pod 集群。调度器负责将新创建的 Pod 分配到合适的节点上。调度过程涉及资源过滤、优先级打分和绑定等步骤。持久卷(Persistent Volume, PV)和持久卷声明(Persistent Volume Claim, PVC)提供了抽象层,使得存储资源可以独立于 Pod 生命周期进行管理。
K8S Storage
尘世中迷途小码农的专栏
03-21 1431
一般情况下,K8S中的Pod都不应该将数据持久化到Pod中,因为Pod可能被随时创建和删除(扩容活缩容),即便是StatefulSet或Operator的Pod,也都不建议在Pod里面存放数据,可以将数据持久化到Host上。K8S提供了非常丰富的存储相关的功能,使得我们可以方便的让Pod访问存储设备。在K8S里面,都统一通过Volume挂载的方式让Pod来访问存储设备,Volume与Pod绑定并与Pod有相同的生命周期,Volume在Pod中定义,而Pod中的容器只需要使用volumeMounts就可...
k8s源码debug
流月up的博客
02-19 2335
本文将linux k8s 源码编译及单集群测试基础上,对k8s源码如何调试做详细的说明(包括命令行与visual studio code调试)。
K8s 源码剖析及debug实战(二):debug K8s 源码
日常学习与专研的记录
12-27 1838
本文主要介绍如何 debug K8s 源码。本专栏主要从 K8s 源码出发,深入理解 K8s 一些组件底层的代码逻辑。
K8S--存储系统 Storage
最新发布
2301_78043557的博客
04-20 925
实际应用中,我们有些应用是无状态,有些应用则需要保持状态数据,确保Pod重启之后能够读取到之前的状态数据,有些应用则作为集群提供服务。这三种服务归纳为无状态服务、有状态服务以及有状态的集群服务,其中后面两个存在数据保存与共享的需求,因此就要采用容器外的存储方案。Volume(基础存储单元) → PV(持久化存储资源) → PVC(存储资源声明) → StorageClass(动态供给模板):用户对存储资源的“需求清单”,声明所需的存储大小、访问模式等,由 Kubernetes 自动绑定到匹配的 PV。
K8s源码分析
SHELLCODE_8BIT的博客
04-28 1180
前言 · 《k8s-1.13版本源码分析
kubernetes/k8s概念】k8s csi
zhonglinzhang
04-26 6324
WHY In-Tree: 需要将后端存储的代码逻辑放到K8S的代码中运行。逻辑代码可能会引起与K8S其他部件之间的相互影响。 Flexvolume: 调用一个主机的可执行程序包的方式执行存储卷的挂载使用。解决了In-Tree方式的强耦合,不过命令行调用的方式,在主机安全性、部署依赖的容器化、与K8S服务之间的相互扩展性等方面存在不足 Flexvolume运行在host 空间,不能使用rbac...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值