• K8S之Secret的介绍和使用

    Secret

    Secret的介绍

    Secret是一种保护敏感数据的资源对象。例如:密码、token、秘钥等,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。

    Pod 可以用两种方式使用 secret:作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里,或者当 kubelet 为 pod 拉取镜像时使用。

    secret可选参数有三种:

    • generic: 通用类型,通常用于存储密码数据。
    • tls:此类型仅用于存储私钥和证书。
    • docker-registry: 若要保存docker仓库的认证信息的话,就必须使用此种类型来创建。

    Secret类型:

    • Service Account:用于被 serviceaccount 引用。serviceaccout 创建时 Kubernetes 会默认创建对应的 secret。Pod 如果使用了 serviceaccount,对应的 secret 会自动挂载到 Pod 的/run/secrets/kubernetes.io/serviceaccount 目录中。

    • Opaque:base64编码格式的Secret,用来存储密码、秘钥等。可以通过base64 --decode解码获得原始数据,因此安全性弱

    • kubernetes.io/dockerconfigjson:用来存储私有docker registry的认证信息。

    Secret的使用

    通过环境变量引入Secret

    1、把mysql的root用户的password创建成secret

    kubectl create secret generic mysql-password --from-literal=password=admin**lucky66

    • 1
    kubectl get secret

    • 1

    在这里插入图片描述

    kubectl describe secret mysql-password

    • 1

    在这里插入图片描述

    password的值是加密的,但secret的加密是一种伪加密,它仅仅是将数据做了base64的编码

    2、创建pod,引用secret

    vim pod-secret.yaml 

    • 1
    apiVersion: v1
kind: Pod
metadata:
  name: pod-secret
  labels:
     app: myapp
spec:
  containers:
  - name: myapp
    image: myapp:v1
    imagePullPolicy: IfNotPresent
    ports:
    - name: http
      containerPort: 80
    env:
     - name: MYSQL_ROOT_PASSWORD   #Pod启动成功后,Pod中容器的环境变量名.
       valueFrom:
          secretKeyRef:
            name: mysql-password  # secret的对象名
            key: password         # secret中的key名

    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13
    • 14
    • 15
    • 16
    • 17
    • 18
    • 19
    • 20

    更新资源清单文件

    kubectl apply -f pod-secret.yaml

    • 1
    kubectl exec -it pod-secret -- /bin/sh

    • 1
    printenv

    • 1

    在这里插入图片描述

    通过volume挂载Secret

    1、创建Secret,并手动加密(基于base64加密)

    echo -n 'admin' | base64

    • 1

    YWRtaW4=
    在这里插入图片描述

    echo -n 'admin123456' | base64

    • 1

    YWRtaW4xMjM0NTY=
    在这里插入图片描述

    解码:

    echo YWRtaW4xMjM0NTY=  | base64 -d

    • 1

    在这里插入图片描述

    2、创建yaml文件

    vim secret.yaml

    • 1
    apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  username: YWRtaW4=
  password: YWRtaW4xMjM0NTY=

    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8

    更新资源清单文件

    kubectl apply -f secret.yaml

    • 1
    kubectl describe secret mysecret

    • 1

    在这里插入图片描述

    3、将Secret挂载到Volume中

    vim pod_secret_volume.yaml

    • 1
    apiVersion: v1
kind: Pod
metadata:
  name: pod-secret-volume
spec:
  containers:
  - name: myapp
    image: myapp:v1
    volumeMounts:
    - name: secret-volume
      mountPath: /etc/secret
      readOnly: true
  volumes:
  - name: secret-volume
    secret:
      secretName: mysecret

    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13
    • 14
    • 15
    • 16

    更新资源清单文件

    kubectl apply -f pod_secret_volume.yaml

    • 1
    kubectl exec -it pod-secret-volume -- /bin/sh

    • 1
    ls /etc/secret

    • 1
    cat /etc/secret/username

    • 1
    cat /etc/secret/password

    • 1

    在这里插入图片描述

    由上可见,在pod中的secret信息实际已经被解密

  • 相关阅读:
    Redis系列——5种常见数据类型day1-3
    自动化攻击背景下的过去、现在与未来
    docker基础命令 docker镜像和docker容器的操作基础命令的思维导图
    Spring中bean的生命周期
    微服务间通信重构与服务治理笔记
    Linux命令:scp
    网络安全之XSS漏洞
    长胜证券:华为“黑科技”点燃A股炒作激情
    产品外观设计有哪些表面处理工艺
    redis源码阅读-主从复制增量复制细节
  • 原文地址:https://blog.csdn.net/weixin_40364776/article/details/137210745