kubernetes的 secret 存储配置

标签（空格分隔）： kubernetes系列

一： kubernetes的 secret 存储配置

一： kubernetes的 secret 存储配置

1.1 Secret 存在意义

Secret 解决了密码、token、密钥等敏感数据的配置问题，而不需要把这些敏感数据暴露到镜像或者 Pod Spec
中。Secret 可以以 Volume 或者环境变量的方式使用

Secret 有三种类型：

 1. Service Account ：用来访问 Kubernetes API，由 Kubernetes 自动创建，并且会自动挂载到 Pod 的
/run/secrets/kubernetes.io/serviceaccount 目录中

2. Opaque ：base64编码格式的Secret，用来存储密码、密钥等

3. kubernetes.io/dockerconfigjson ：用来存储私有 docker registry 的认证信息

1.1.1 Service Account

Service Account 用来访问 Kubernetes API，由 Kubernetes 自动创建，并且会自动挂载到 Pod的
/run/secrets/kubernetes.io/serviceaccount 目录中
docker pull nginx 

kubectl run nginx image nginx

kubectl get pod 

kubectl exec nginx-7bb7cd8db5-fzdsv -it -- /bin/sh 

ls /run/secrets/kubernetes.io/serviceaccount

1.1.2 Opaque Secret

Ⅰ、创建说明
Opaque 类型的数据是一个 map 类型，要求 value 是 base64 编码格式：

$ echo -n "admin" | base64
YWRtaW4=
$ echo -n "1f2d1e2e67df" | base64
MWYyZDFlMmU2N2Rm

$ echo -n "YWRtaW4=" |base64 -d
admin

这种base64 加密非常的不安全

vim secrets.yaml
----
apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  password: MWYyZDFlMmU2N2Rm
  username: YWRtaW4=
----
kubectl apply -f secrets.yaml

使用方法：

1、将 Secret 挂载到 Volume 中

vim secret1.yaml
---
apiVersion: v1
kind: Pod
metadata:
  labels:
    name: seret-test
  name: seret-test
spec:
  volumes:
  - name: secrets
    secret:
      secretName: mysecret
  containers:
  - image: wangyanglinux/myapp:v1
    name: db
    volumeMounts:
    - name: secrets
      mountPath: "/etc/secret"
      readOnly: true
---

kubectl apply -f secret1.yaml

2、将 Secret 导出到环境变量中

vim secret2.yaml
---
apiVersion: extensions/v1beta1
kind: Deployment
metadata:
  name: pod-deployment
spec:
  replicas: 2
  template:
    metadata:
      labels:
        app: pod-deployment
    spec:
      containers:
      - name: pod-1
        image: wangyanglinux/myapp:v1
        ports:
        - containerPort: 80
        env:
        - name: TEST_USER
          valueFrom:
            secretKeyRef:
              name: mysecret
              key: username
        - name: TEST_PASSWORD
          valueFrom:
            secretKeyRef:
              name: mysecret
              key: password
---
kubectl apply -f secret2.yaml

1.1.8 kubernetes.io/dockerconfigjson

在私有仓库 harbor 中创建一个私有的 项目 test

rhel01.flyfish 登录  harbor （node04.flyfish）

docker login node04.flyfish
admin
Harbor12345

docker tag wangyanglinux/myapp:v1 node04.flyfish/test/myapp:v1 

docker push node04.flyfish/test/myapp:v1

docker logout node04.flyfish
docker node04.flyfish/test/myapp:v1

使用 Kuberctl 创建 docker registry 认证的 secret

kubectl create secret docker-registry myregistrykey --docker-server=node04.flyfish -- docker-username=admin --docker-password=Harbor12345 [email protected]

使用 创建的 "myregistrykey" 注册登录 下载 镜像

vim pod.yaml

----
apiVersion: v1
kind: Pod
metadata:
  name: foo
spec:
  containers:
    - name: foo
      image: node04.flyfish/test/myapp:v1
  imagePullSecrets:
    - name: myregistrykey
----
kubectl apply -f pod.yaml

原文地址：https://blog.51cto.com/flyfish225/2478734

时间： 2024-07-31 08:46:40

kubernetes的 secret 存储配置的相关文章

Kubernetes的Secret

Secret介绍Secret解决了密码.token.密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中.Secret可以以Volume或者环境变量的方式使用. Secret类型目前Secret的类型有3种: (1)Opaque(default):任意字符串,base64编码格式的Secret,用来存储密码.密钥等:(2)kubernetes.io/service-account-token:作用于ServiceAccount,就是kubernetes的Service

kubernetes之secret

Secret解决了密码.token.密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中.Secret可以以Volume或者环境变量的方式使用. Secret类型: Opaque:base64编码格式的Secret,用来存储密码.密钥等:但数据也通过base64 –decode解码得到原始数据,所有加密性很弱. kubernetes.io/dockerconfigjson:用来存储私有docker registry的认证信息. kubernetes.io/servic

Kubernetes的Secret对象的使用

Secret可以把想要访问的加密数据,存放到Etcd中,然后Pod可以通过的Volume的方式,访问到Secret保存的信息 ,每当数据修改的时候,Pod挂载的Secret文件也会被修改,特别适合用来存放账户密码一.创建Secret对象 1. 通过文件创建生成两个文件,分别是username.txt和password.txt echo "chenqionghe" > ./username.txt echo "111111" > ./password.

Kubernetes里的secret最基本的用法

Secret解决了密码.token.密钥等敏感数据的配置问题,使用Secret可以避免把这些敏感数据以明文的形式暴露到镜像或者Pod Spec中. Secret可以以Volume或者环境变量的方式使用. 使用如下命令行创建一个secret: kubectl create secret generic admin-access --from-file=./username.txt --from-file=./password.txt 输入文件username.txt和password.txt需要手

kubernetes简单介绍和实战

kubernetes简单介绍和实战在本文中,我们从技术细节上对kubernetes进行简单运用介绍,利用一些yaml脚本层面上实例告诉大家kubernetes基本概念.Kubernetes以及它呈现出的编程范式值得你去使用和整合到自己的技术栈中. kubernetes简单介绍 kubernetes起源 Kubernetes最初认为是谷歌开源的容器集群管理系统,是Google多年大规模容器管理技术Borg或Omega的开源版本.准确来说的话,kubernetes更是一个全新的平台,一个全新的平台

【免费下载】全套最新 5、Kubernetes 视频教程+教学资料+学习课件+源代码+软件开发工具

5.Kubernetes视频教程网盘地址: 链接:https://pan.baidu.com/s/11W8KDUjk36USxdrA8p0t4A 提取码:43xt 加公众号获取更多新教程教程目录大纲 ./5.Kubernetes ├── 10.Kubernetes - Helm 及其它功能性组件 │?? ├── 1.笔记 │?? │?? ├── 1.部署 Helm.pdf │?? │?? ├── 2.使用 Helm 部署 dashboard .pdf │?? │?? ├── 3.使用 He

kubernetes系列教程(六)kubernetes资源管理和服务质量

写在前面上一篇文章中kubernetes系列教程(五)深入掌握核心概念pod初步介绍了yaml学习kubernetes中重要的一个概念pod,接下来介绍kubernetes系列教程pod的resource资源管理和pod的Quality of service服务质量. 1. Pod资源管理 1.1 resource定义容器运行过程中需要分配所需的资源,如何与cggroup联动配合呢?答案是通过定义resource来实现资源的分配,资源的分配单位主要是cpu和memory,资源的定义分两种:r

k8s wordpress pod启动不了

Apr 25 17:11:34 k8s_n1 kubelet: I0425 17:11:34.860041 2476 kuberuntime_manager.go:742] checking backoff for container "wordpress" in pod "wordpress-1595585052-n89d8_default(f63ddbae-2995-11e7-a7d0-5254000d6f84)" Apr 25 17:11:34 k8s_

k8s 挂载卷介绍（四）

kubernetes关于pod挂载卷的知识首先要知道卷是pod资源的属性,pv,pvc是单独的资源.pod 资源的volumes属性有多种type,其中就包含有挂载pvc的类型.这也帮我理清了之间的关系. pv一般是系统管理员做的 pvc 是一般k8s用户声明的,大概意思就是说我需要一个什么权限的,多少存储空间的卷,然后k8s api收到这个请求就去找pv资源对象,如果两者相匹配,那么pv就和pvc绑定了. 从这里我们也想到了,pv如果是手动创建的话,那就麻烦大了.几个,几十个还好说,上万个