k8sk8s存储配置之Secret
Posted dezasseis
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了k8sk8s存储配置之Secret相关的知识,希望对你有一定的参考价值。
一、Secret
01_Secret简介
Secret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 将这些信息放在 secret 中比放在 Pod 的定义或者 容器镜像 中来说更加安全和灵活。 这样的信息可能会被放在 Pod 规约中或者镜像中。 用户可以创建 Secret,同时系统也创建了一些 Secret。
Kubernetes Secret 默认情况下存储为 base64-编码的、非加密的字符串。 默认情况下,能够访问 API 的任何人,或者能够访问 Kubernetes 下层数据存储(etcd) 的任何人都可以以明文形式读取这些数据。
Pod 可以用三种方式之一来使用 Secret:
- 作为挂载到一个或多个容器上的 卷 中的文件。
- 作为容器的环境变量
- 由 kubelet 在为 Pod 拉取镜像时使用
data 和 stringData 字段都是可选的,data 字段中所有键值都必须是 base64 编码的字符串
1.2 Secret类型
- Secret 资源的 type 字段
- 类型默认为 Opaque
二、创建 Opaque 类型的Secret
Opaque Secret其value为base64加密后的值
01_通过命令创建
在定义密码信息时,如果密码有特殊字符,则需要使用 \\ 转义符对其进行转义,比如原密码为A!B\\C*D则需要以下方式创建(–from-literal表示通过字符创建)
--from-literal=username=devuser --from-literal=password=A\\!B\\\\C\\*D
- 创建用户名及密码文件
mkdir secret
cd secret/
echo 'admin' > username.txt
echo 'westos' > passwd.txt - 创建secret
kubectl create secret generic my-secret --from-file=username.txt --from-file=passwd.txt
generic:表示通用
my-secret:secret的名称
–from-file=:表示从文件中创建
- 查询详细信息时看不到明文,只能看到被加密过的
02_通过yaml文件创建Secret
- 先将字符串转换为 base64
echo -n 'admin' | base64
echo -n 'westos' | base64 - 编写yml文件
vim mysecret.yml
apiVersion: v1
kind: Secret
metadata:
name: mysecret
type: Opaque
data:
username: YWRtaW4=
password: d2VzdG9z
- 创建secret
kubectl apply -f mysecret.yml
03_将Secret挂载到Volume中
示例1:
编写yml文件创建pod,key与value都被挂载到pod中
vim pod1.yml
apiVersion: v1
kind: Pod
metadata:
name: mysecret-pod
spec:
containers:
- name: demo
image: myapp:v1
volumeMounts:
- name: secrets
mountPath: "/secret" # 挂载路径
readOnly: true
volumes:
- name: secrets
secret:
secretName: mysecret # 指定secret为依据创建好的
kubectl apply -f pod1.yml
示例2: 编写yml文件,将指定的key挂载到pod中
vim pod1.yml
apiVersion: v1
kind: Pod
metadata:
name: mysecret-pod
spec:
containers:
- name: demo
image: myapp:v1
volumeMounts:
- name: secrets
mountPath: "/secret"
readOnly: true
volumes:
- name: secrets
secret:
secretName: mysecret
items:
- key: username
path: my-group/my-username
# path为相对路径
# 绝对路径为/secret/my-group/my-username
04_将Secret设置为环境变量
- 环境变量读取Secret很方便,但无法支撑Secret动态更新
vim pod2.yml
apiVersion: v1
kind: Pod
metadata:
name: secret-env
spec:
containers:
- name: nginx
image: myapp:v1
env:
- name: SECRET_USERNAME
valueFrom:
secretKeyRef:
name: mysecret
key: username
- name: SECRET_PASSWORD
valueFrom:
secretKeyRef:
name: mysecret
key: password
三、创建 kubernetes.io/dockerconfigjson 类型
- 用以存放访问 Docker 仓库 来下载镜像的凭据。
- 类型 kubernetes.io/dockerconfigjson 被设计用来保存 JSON 数据的序列化形式, 该 JSON 也遵从
~/.docker/config.json 文件的格式规则,而后者是 ~/.dockercfg 的新版本格式。 使用此 Secret类型时,Secret 对象的 data 字段必须包含 .dockerconfigjson 键,其键值为 base64 编码的字符串包含 ~/.docker/config.json 文件的内容
创建一个类型为 kubernetes.io/dockerconfigjson 的 Secret
kubectl create secret docker-registry myregistrykey \\
--docker-server=reg.westos.org \\
--docker-username=admin \\
--docker-password=westos \\
--docker-email=963216757@qq.com
--docker-server:仓库服务器的地址
--docker-username:仓库认证用户
--docker-password:密码
--docker-email:出现问题会发信息到此邮箱
- 查询信息,会产生一个 .dockerconfigjson 文件
kubectl describe secrets myregistrykey
- 测试:设置一个只有该仓库私有的镜像,创建pod,若能运行成功,则认证成功
vim pod3.yml
apiVersion: v1
kind: Pod
metadata:
name: mypod
spec:
containers:
- name: game2048
image: zy.westos.org/westos/game2048
imagePullSecrets:
- name: myregistrykey # secret名
- 测试:发现mypod状态为Running,拉取私有仓库的镜像成功!!
kubectl describe pod mypod
以上是关于k8sk8s存储配置之Secret的主要内容,如果未能解决你的问题,请参考以下文章