k8sk8s存储配置之Secret

Posted dezasseis

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了k8sk8s存储配置之Secret相关的知识,希望对你有一定的参考价值。

一、Secret

01_Secret简介

Secret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 将这些信息放在 secret 中比放在 Pod 的定义或者 容器镜像 中来说更加安全和灵活。 这样的信息可能会被放在 Pod 规约中或者镜像中。 用户可以创建 Secret,同时系统也创建了一些 Secret。

Kubernetes Secret 默认情况下存储为 base64-编码的、非加密的字符串。 默认情况下,能够访问 API 的任何人,或者能够访问 Kubernetes 下层数据存储(etcd) 的任何人都可以以明文形式读取这些数据。

Pod 可以用三种方式之一来使用 Secret:

  • 作为挂载到一个或多个容器上的 卷 中的文件。
  • 作为容器的环境变量
  • 由 kubelet 在为 Pod 拉取镜像时使用

data 和 stringData 字段都是可选的,data 字段中所有键值都必须是 base64 编码的字符串

1.2 Secret类型

  • Secret 资源的 type 字段
  • 类型默认为 Opaque

二、创建 Opaque 类型的Secret

创建Secret官方文档

Opaque Secret其value为base64加密后的值

01_通过命令创建

在定义密码信息时,如果密码有特殊字符,则需要使用 \\ 转义符对其进行转义,比如原密码为A!B\\C*D则需要以下方式创建(–from-literal表示通过字符创建)

--from-literal=username=devuser --from-literal=password=A\\!B\\\\C\\*D
  • 创建用户名及密码文件
    mkdir secret
    cd secret/
    echo 'admin' > username.txt
    echo 'westos' > passwd.txt
  • 创建secret

kubectl create secret generic my-secret --from-file=username.txt --from-file=passwd.txt
generic:表示通用
my-secret:secret的名称
–from-file=:表示从文件中创建

  • 查询详细信息时看不到明文,只能看到被加密过的

02_通过yaml文件创建Secret

  • 先将字符串转换为 base64
    echo -n 'admin' | base64
    echo -n 'westos' | base64
  • 编写yml文件

vim mysecret.yml

apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  username: YWRtaW4=
  password: d2VzdG9z
  • 创建secret
    kubectl apply -f mysecret.yml

03_将Secret挂载到Volume中

示例1:

编写yml文件创建pod,key与value都被挂载到pod中

vim pod1.yml

apiVersion: v1
kind: Pod
metadata:
  name: mysecret-pod
spec:
  containers:
  - name: demo
    image: myapp:v1
    volumeMounts:
    - name: secrets
      mountPath: "/secret" # 挂载路径
      readOnly: true
  volumes:
  - name: secrets
    secret:
      secretName: mysecret # 指定secret为依据创建好的

kubectl apply -f pod1.yml

示例2: 编写yml文件,将指定的key挂载到pod中

vim pod1.yml

apiVersion: v1
kind: Pod
metadata:
  name: mysecret-pod
spec:
  containers:
 - name: demo
    image: myapp:v1
    volumeMounts:
    - name: secrets
      mountPath: "/secret"
      readOnly: true
  volumes:
 - name: secrets
    secret:
      secretName: mysecret
      items:
      - key: username
        path: my-group/my-username
# path为相对路径
# 绝对路径为/secret/my-group/my-username



04_将Secret设置为环境变量

  • 环境变量读取Secret很方便,但无法支撑Secret动态更新

vim pod2.yml

apiVersion: v1
kind: Pod
metadata:
  name: secret-env
spec:
  containers:
  - name: nginx
    image: myapp:v1
    env:
      - name: SECRET_USERNAME
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: username
      - name: SECRET_PASSWORD
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: password

三、创建 kubernetes.io/dockerconfigjson 类型

  • 用以存放访问 Docker 仓库 来下载镜像的凭据。
  • 类型 kubernetes.io/dockerconfigjson 被设计用来保存 JSON 数据的序列化形式, 该 JSON 也遵从
    ~/.docker/config.json 文件的格式规则,而后者是 ~/.dockercfg 的新版本格式。 使用此 Secret类型时,Secret 对象的 data 字段必须包含 .dockerconfigjson 键,其键值为 base64 编码的字符串包含 ~/.docker/config.json 文件的内容

创建一个类型为 kubernetes.io/dockerconfigjson 的 Secret

kubectl create secret docker-registry myregistrykey \\
  --docker-server=reg.westos.org \\
  --docker-username=admin \\
  --docker-password=westos \\
  --docker-email=963216757@qq.com
--docker-server:仓库服务器的地址
--docker-username:仓库认证用户
--docker-password:密码
--docker-email:出现问题会发信息到此邮箱
  • 查询信息,会产生一个 .dockerconfigjson 文件
    kubectl describe secrets myregistrykey
  • 测试:设置一个只有该仓库私有的镜像,创建pod,若能运行成功,则认证成功
    vim pod3.yml
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
    - name: game2048
      image: zy.westos.org/westos/game2048
  imagePullSecrets:
    - name: myregistrykey # secret名
  • 测试:发现mypod状态为Running,拉取私有仓库的镜像成功!!

    kubectl describe pod mypod

以上是关于k8sk8s存储配置之Secret的主要内容,如果未能解决你的问题,请参考以下文章

k8sk8s存储配置之ConfigMap

k8sk8s存储配置之ConfigMap

第十二章 存储之 Secret

Linux企业运维——Kubernetes存储之Secret配置管理

k8s 配置存储之 Configmap & secret

Kubernetes存储之Secret