K8S实战(十三)| Secret 对象

最新推荐文章于 2025-06-10 09:03:13 发布
最新推荐文章于 2025-06-10 09:03:13 发布
阅读量245 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: K8S 实战笔记 文章标签: kubernetes linux ubuntu apache docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zuolinux/article/details/108671957

前言

Secret 可以用来保存密码、密钥等敏感信息,避免密钥直接放在 Pod 的YAML定义文件或容器镜像中导致的泄露问题。

密钥使用 Base64 编码形式存储于 Secret 对象中,Pod 挂载后自动解码为明文。

更新历史

通过 kubectl 创建 Secret

创建用户名/密码文件

echo -n 'username' > ./username.txt
echo -n 'password' > ./password.txt

写入 Secret 对象中

# kubectl create secret generic db-info --from-file=./username.txt --from-file=./password.txt
secret/db-info created

检查 Secret

# kubectl get secret
NAME                  TYPE                                  DATA   AGE
db-info               Opaque                                2      106s

查看刚写入的 db-info 的详细信息

# kubectl describe secret db-info
Name:         db-info
Namespace:    default
Labels:       <none>
Annotations:  <none>

Type:  Opaque

Data
====
username.txt:  8 bytes
password.txt:  8 bytes

查看密钥的值

# kubectl get secret db-info -o yaml

通过 YAML 创建 Secret

先将要保存的值进行 Base64 编码

# echo -n 'username' | base64 
dXNlcm5hbWU=
# echo -n 'password' | base64
cGFzc3dvcmQ=

#cat secret.yaml

apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  username: base64编码
  password: base64编码

创建 secret

# kubectl apply -f secret.yaml 
secret/mysecret created

查看

# kubectl get secret
NAME                  TYPE                                  DATA   AGE
mysecret              Opaque                                2      2m5s

查看密钥的值

# kubectl get secret mysecret -o yaml

编辑 secret

kubectl edit secrets mysecret

在 Pod 中使用 Secret

  1. 将 Secret 以卷的形式挂载到 Pod 中
  2. 卷中每一个文件名对应 Secret 中的一个 key 名称
  3. Secret 的值以 base64 解码后明文形式存储于卷文件中
  4. 支持实时动态更新
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: mypod
    image: redis
    volumeMounts:
    - name: foo
      mountPath: "/etc/foo"
      readOnly: true
  volumes:
  - name: foo
    secret:
      secretName: mysecret

以上示例中,

将名为 mysecret 的 secret 对象映射为卷,卷名为 foo,

将名为 foo 的卷挂载到 Pod 中的路径 /etc/foo 下面,

mysecret 中username/password两个key,分别映射为文件。

多个 Pod 可以共享一个卷。

可以进入 Pod 中查看这两个文件内容

# kubectl exec -it mypod -- ls /etc/foo/
password  username

# kubectl exec -it mypod -- cat /etc/foo/username
admin

# kubectl exec -it mypod -- cat /etc/foo/password
password

结束语

Secret 对象将重要性高的秘钥和 Pod 进行了解耦处理。

它有如下特点:

  1. Secret 对象需先于引用它的 Pod 创建。
  2. Secret 对象和引用它的 Pod 必须位于同一命名空间。
  3. Secret 对象单个大小限制为 1M。
  4. Secret 对象中数据以纯文本的方式存储在 etcd 中。
  5. 除了以卷形式挂载外,还可以环境变量形式用于 Pod 中。
  6. 使用环境变量形式的问题是,secret无法动态实时更新。

官方安全建议:

  1. 管理员应该为集群数据开启静态加密(v1.13 以上版本)。
  2. 管理员应该限制只有 admin 用户能访问 etcd。
  3. API 服务器中的 Secret 数据位于 etcd 使用的磁盘上;应该在不再使用时擦除/粉碎 etcd 使用的磁盘。
  4. 如果 etcd 运行在集群内,管理员应该确保 etcd 之间的通信使用 SSL/TLS 进行加密。
  5. secret 的YAML中包含的 base64 编码为可逆编码,不要将其加入代码库或公开。
  6. 防止应用程序读取 secret 中数据后写入日志导致泄露。
  7. 所有可以运行该 Pod 的用户均可读取到挂载卷中的 secret 值。
  8. 任何节点的 root 用户都可以通过模拟 kubelet 来读取 API 服务器中的任何 Secret。 仅向实际需要 Secret 的节点发送 Secret 数据才能限制节点的 root 账号漏洞的影响, 该功能还在计划中。

联系我

微信公众号:zuolinux_com

微信扫码关注

《云原生之K8s实战K8s配置管理中心Secret
君逍遥o
03-10 304
generic:通用类型,通常用于存储密码数据。 tls:仅用于存储私钥和证书。 docker-registry:用于保存docker仓库的认证信息。
【云原生】kubernetessecret原理详解与应用实战
热门推荐
景天科技苑
06-04 2万+
对于一些敏感数据,如密码、私钥等数据时,要用secret类型。 Secret解决了密码、token、秘钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。 Secret可以以Volume或者环境变量的方式使用。 要使用 secret,pod 需要引用 secret。Pod 可以用两种方式使用 secret: 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里, 或者当 kubelet 为 pod 拉取镜像时使用。
阿里P8架构师力荐K8s项目实战笔记 图文并茂带你深度解析Kubernetes
Java进阶营
05-28 1351
一、前言 Kubernetes(简称K8S)是开源的容器集群管理系统,可以实现容器集群的自动化部署、自动扩缩容、维护等功能。它既是一款容器编排工具,也是全新的基于容器技术的分布式架构领先方案。在Docker技术的基础上,为容器化的应用提供部署运行、资源调度、服务发现和动态伸缩等功能,提高了大规模容器集群管理的便捷性。【Kubernetes是容器集群管理工具】 文章内容可以过多,限于文章篇幅,没办法为大家展示全部内容,有感兴趣想要获取学习的朋友,后台 【笔记】,获取免费下载方式。 理论篇 第一部分:理
K8S笔记(实战)来自尚硅谷雷老师
架构师之路。。
12-17 1684
Kubernetes(通常简称为K8s)是一个开源的容器编排平台,用于自动化容器的部署、扩展和管理。它最初由Google设计并开源,现在由云原生计算基金会(CNCF)负责维护。Kubernetes的主要目标是帮助开发人员和运维团队更好地管理容器化应用。它提供了一种用于部署、扩展和管理容器化应用程序的统一平台,无论应用程序是运行在单个计算机上的多个容器中,还是分布在多个计算机集群上的多个容器中。
Kubernetes 实战:使用 kubectl 管理 Secret 对象
最新发布
gitblog_01198的博客
06-10 435
Kubernetes 实战:使用 kubectl 管理 Secret 对象 前言 SecretKubernetes 中用于存储敏感信息的关键对象,它能安全地管理密码、OAuth 令牌、SSH 密钥等敏感数据。本文将详细介绍如何使用 kubectl 命令行工具来创建、查看、编辑和删除 Secret 对象,帮助开发者和运维人员掌握 Secret 的基本管理方法。 Secret 基础概念 Secr...
K8S微服务实战笔记(1)开篇
hotcoffie的博客
06-03 514
系列文章目录 @[TOC](文章目录) 前言 我是个小企业的普通开发,跟风在网上自学了大火的k8s相关知识。 一路学下来,我知道了很多新的概念、词汇和配置项,也顺利搭建了自己的集群,并成功把测试的springboot demo服务部署了进去。 但是……然后呢? 然后我就不知道该做什么了,我不知道作为一个开发,哪些服务需要用k8s管理?怎么把已有的老服务迁移到k8s上?怎么设计一个基于k8s的微服务架构? 以上这些问题,我在网上很少搜到有用的文章,我甚至分不清,哪些是开发的工作,哪些又是实施的? 基于上面
K8s实习笔记
qq_42320763的博客
11-04 447
K8s 基础概念 ​ [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-zRSxUy0i-1635994812298)(D:\0\I-Line\Other Notes\K8s\0.png)] K8s是轻量级的,因为是用Go开发的,Go效率跟C看齐,但是在语言级别支持进程管理,K8s还有个特点就是弹性伸缩,负载均衡采用IPVS(LVS是一种服务器,IPVS是它的负载均衡实现技术) K8s中所有的内容都被抽象成资源,资源实例化后叫做对象 总体章节:介绍、基础概念、K8s集群构建
k8sk8s存储配置之Secret
sl963216757的博客
07-11 1398
一、Secret 01_Secret简介 Secret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 将这些信息放在 secret 中比放在 Pod 的定义或者 容器镜像 中来说更加安全和灵活。 这样的信息可能会被放在 Pod 规约中或者镜像中。 用户可以创建 Secret,同时系统也创建了一些 SecretKubernetes Secret 默认情况下存储为 base64-编码的、非加密的字符串。 默认情况下,能够访问 API 的任何人,或者能够访问 Kubernetes 下层数据存储(etcd
K8s 1.27.1 实战系列(十二)Ingress
白昼的技术专栏
03-11 1154
K8s 1.27.1 实战系列(十二)Ingress
K8S入门基础课件docx版本
08-03
K8S课件可能涵盖这些主题,并通过实例和练习帮助你逐步建立实战能力。在实际学习过程中,建议结合官方文档、社区资源以及实践操作来提升理解和应用水平。记住,理论与实践相结合是掌握K8S的关键。
K8s 1.27.1 实战系列(十一)ConfigMap
白昼的技术专栏
03-11 815
K8s 1.27.1 实战系列(十一)ConfigMap
K8S学习指南(19)-k8s核心对象secret
俞兆鹏的博客
12-16 3253
Kubernetes中,Secret是一种用于存储敏感信息的对象,如密码、令牌、密钥等。它主要用于将这些敏感信息以安全的方式传递给Pod中的容器。Secret对象通常包含Base64编码的数据,以确保在Kubernetes中的传输过程中保持安全性。安全存储敏感信息:将密码、令牌等敏感信息存储在Secret对象中,避免明文存储,提高安全性。传递给Pod中的容器:通过挂载Secret到Pod中,容器可以读取其中的敏感信息,实现应用程序的安全配置。用于TLS证书。
k8s——secret配置资源管理
sea_bunch的博客
06-07 1879
Secret类似,区别在于ConfigMap保存的是不需要加密配置的信息。
kubernetes secret私密凭据
qq_37377136的博客
10-17 1375
kubernetes Secret官方地址 一、简介 Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 SSH 密钥。 将这些信息放在 secret 中比放在 Pod 或者 容器镜像 中来说更加安全和灵活 Secret
【云原生】k8s 管理平台 rancher
匠人精神,持之以恒!
12-02 3169
前面我们编排了很多chart包,需要一个管理平台来管理,所以这里介绍一款非常简洁和实用的管理平台Rancher;Rancher 是一个 Kubernetes 管理工具,Rancher 基于 Kubernetes 添加了新的功能,包括统一所有集群的身份验证和 RBAC,让系统管理员从一个位置控制全部集群的访问。Rancher 可以创建来自 Kubernetes 托管服务提供商的集群,创建节点并安装 Kubernetes,或者导入在任何地方运行的现有 Kubernetes 集群。
k8s 查看 Secrets 的内容和详细信息
qq_37106501的博客
10-26 1161
k8s 查看 Secrets 的内容和详细信息
Kubectl 常用命令
jamesge的博客
07-08 916
通用公式command:指定要对一个或多个资源执行的操作,例如create、get、describe、delete等。(增删改查)type:指定资源类型。资源类型不区分大小写,可以指定单数、复数或缩写形式。name:指定资源的名称。名称区分大小写。如果省略名称,则显示所有资源的详细信息: kubectl get pods。flags: 指定可选的参数。例如,可以使用-s或-server参数指定 Kubernetes API服务器的地址和端口。
阿里大佬力荐K8s项目实战笔记!图文并茂带你深度解析Kubernetes
代码界的扛把子
10-25 652
一来对 Istio 还不是那么熟悉,二来时间可能有点晚,脑子还在懵圈中,本来一个应该比较轻松解决掉的问题,花了几十分钟看代码,处理的惨不忍睹。鉴于此问题,以及相关报错,在网上找不到对应的文章,所以这里分享下这个问题,避免后来的同学,在同样的地方踩坑。排查完全陌生的问题,完全不熟悉的系统组件,是售后工程师的一大工作乐趣,当然也是挑战。这部分会以 ACK 产品安全组的配置管理为核心,深入讨论安全组在集群中扮演的角色,安全组在网络链路中所处的位置,以及非法修改安全组会产生的各类问题。作为姊妹篇分享给大家。
k8s实战案例linux
12-27
### Kubernetes 实战案例:Linux 环境下的部署与管理 #### 创建并配置 Kubernetes 集群 为了在 Linux 环境下启动和运行 Kubernetes,通常会采用 Minikube 或者 kubeadm 工具来设置单节点或多节点集群。对于生产环境,则更倾向于使用 kops、RKE (Rancher Kubernetes Engine) 等自动化工具来进行安装和初始化操作。 一旦集群建立完成之后,管理员可以通过命令行界面 `kubectl` 来管理和监控整个系统状态以及执行各种维护任务[^1]。 #### 构建 Docker 镜像并与 K8S 结合 针对特定的应用程序开发完成后,可以利用 Docker 技术将其打包成独立的容器单元。以 Tomcat Web 应用为例,在构建阶段编写相应的 Dockerfile 文件定义所需依赖项和服务端口映射关系;接着借助 shell 脚本批量处理版本迭代过程中产生的不同变体镜像文件[^2]。 ```bash # Example of a simple build script for creating docker images with tags. #!/bin/bash version=$1 docker build -t myapp:$version . ``` #### WordPress 博客系统的云端迁移实践 WordPress 是一款广泛使用的开源博客平台软件包,当决定迁移到基于 Kubernetes 的架构之上时,除了要准备好官方提供的 Helm Chart 外,还需要关注数据库持久化存储方案的选择——比如 AWS EBS、GCE PD 或 CephFS 等选项。另外值得注意的是,默认情况下密码是以 Base64 编码形式保存于 Secret 对象内的,因此访问控制面板前需先解密获取真实凭证信息[^3]: ```shell echo "Username: user" echo "Password:" $(kubectl get secret --namespace default my-wordpress \ -o jsonpath="{.data.wordpress-password}" | base64 --decode) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值