k8s数据持久化之Secret

一、
Secret资源对象:解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。
用来保存一些敏感信息,比如数据库的用户名密码或者密钥。
Secret有三种类型:
1.Service Account:用来访问Kubernetes API,由Kubernetes自动创建,并且会自动挂载到Pod的/run/secrets/kubernetes.io/serviceaccount目录中。
2.Opaque:base64编码格式的Secret,用来存储密码、密钥等。
3.Kubernetes.io/dockerconfigjson:用来存储私有docker registry的认证信息。

二,以实验测试的方式,创建4种secret资源。
姓名:class=lbs
密码:password=www.com
创建2个Pod,分别以挂载Volume的方式,和以环境变量env的方式去使用,secret2,和secret4.

1)通过 --from-literal(文字的):
kubectl?create?secret?generic?**lbssecret1 (创建secret资源的名)**--from-literal=class=lbs?--from-literal=password=www.comww.com
Generic:通用的、一般的。加密方式。
查看secret资源
5.?kubectl?get?secrets???
6.NAME??????????????????TYPE??????????????????????????????????DATA???AGE??
7.lbssecret1????????????Opaque????????????????????????????????2??????24s??
使用describe可以查看secret资源的详细信息。**(可以看到是以密文的方式存储)**
1kubectl?describe?secrets?lbssecret1???
2.Name:?????????lbssecret1??
3.Namespace:????default??
4.Labels:???????<none>??
5.Annotations:??<none>??
6.??
7.Type:??Opaque??
8.??
9.Data??
10.====??
11.class:?????3?bytes??     #只能查看到数据的大小,无法查看到数据内容。
12.password:??7?bytes??
2)通过 --from-file(文件):(**这种方式不推荐使用,需要将存储的数据写入到文件中,注意每个文件只能存储一个数据。)**
echo lbs >class
 echo www.com >password
 kubectl  create  secret  generic lbssecret2  --from-file=class --from-file=password
 查看:
 1.kubectl?describe?secrets?lbssecret2???
2.Name:?????????lbssecret2??
3.Namespace:????default??
4.Labels:???????<none>??
5.Annotations:??<none>??
6.??
7.Type:??Opaque??
8.??
9.Data??
10.====??
11.class:?????4?bytes??
12.password:??8?bytes??
3)通过 --from-env-file:**(这种方式可以在同一个文件内写入多个数据。)**
vim lbs.txt
class=lbs
password=www.com(保存退出)

kubectl  create secret generic mysecret3 --from-env-file=lbs.txt
查看:
1.kubectl?describe?secrets?lbssecret3???
2.Name:?????????lbssecret3??
3.Namespace:????default??
4.Labels:???????<none>??
5.Annotations:??<none>??
6.??
7.Type:??Opaque??
8.??
9.Data??
10.====??
11.class:?????3?bytes??
12.password:??7?bytes??
4)通过yaml配置文件的方式。(把需要保存的数据加密)
echo?lbs?|?base64
echo?www.com?|?base64??

vim lbssecret4.yaml
apiVersion: v1
kind: Secret
metadata:
  name: mysecret4
data:
  class: #编译的lbs
  password: #编译的www.com
    执行文件:
    kubectl?apply?-f?lbssecret4.yaml
    1.kubectl?describe?secrets?lbhsecret4???
2.Name:?????????lbhsecret4??
3.Namespace:????default??
4.Labels:???????<none>??
5.Annotations:????
6.Type:?????????Opaque??
7.??
8.Data??
9.====??
10.password:??8?bytes??
11.class:?????4?bytes??

创建2个Pod,分别以挂载的方式,和以环境变量的方式去使用,secret2,和secret4.

1)以Volume挂载的方式:使用lbssecret2.
vim pod1.yaml
apiVersion: v1
kind: Pod
metadata:
  name: lbspod1
spec:
  containers:
  - name: lbspod
    image: busybox
    args:
      - /bin/sh
      - -c
      - sleep 300000
    volumeMounts:
    - name: secret-lbs
      mountPath: "/etc/secret-lbs"  挂在到pod容器内的路径
      readOnly: true
  volumes:
    - name: secret-lbs
      secret:
        secretName: lbssecret2

执行yaml文件,查看Pod状态:br/>1.[[email protected]?lbhsecret]#?kubectl?apply?-f?pod1.yaml???
2.pod/lbspod1?created??
查看:
3.?kubectl?get?pod??
4.NAME??????READY???STATUS??????????????RESTARTS???AGE??
5.lbspod1???1/1?????Running???0??????????26s??
进入pod内,挂载的路径中。使用cat 查看class姓名,密码(cat class)查看数据是否挂载成功。(可以发现会自动帮助解密)
2)以环境变量的方式:使用lbssecret4.

vim  pod2.yaml
apiVersion: v1
kind: Pod
metadata:
  name: lbspod2
spec:
  containers:
  - name: lbspod
    image: busybox
    args:
      - /bin/sh
      - -c
      - sleep 300000
    env:
      - name: SECRET_CLASS#容器内的变量名
        valueFrom:
          secretKeyRef:#提取环境变量的值
            name: lbssecret4#调用secret资源的lbssecret4
            key: class#调用lbssecret4对应class的值
      - name: SECRET_PASSWORD
        valueFrom:
          secretKeyRef:
            name: lbssecret2
            key: password

执行yaml文件,查看Pod状态:br/>1.[[email protected]?lbhsecret]#?kubectl?apply?-f?pod2.yaml???
2.pod/lbspod2?created??
查看:
3.?kubectl?get?pod??
4.NAME??????READY???STATUS????RESTARTS???AGE??
5.lbspod1???1/1?????Running???0??????????10m??
6.lbspod2???1/1?????Running???0??????????39s??
进入pod中查看数据。可使用echo的方式(echo容器内的变量名)
例如:echo $SECRET_CLASS查看保存的姓名,密码。

k8s数据持久化之Secret

原文地址:https://blog.51cto.com/13911055/2473421

时间: 2024-11-05 12:30:51

k8s数据持久化之Secret的相关文章

k8s数据持久化

k8s数据持久化 Docker容器是有生命周期的,因此数据卷可以实现数据持久化 数据卷主要解决的问题: 数据持久性:当我们写入数据时,文件都是暂时性的存在,当容器崩溃后,host就会将这个容器杀死,然后重新从镜像创建容器,数据就会丢失 数据共享:在同一个Pod中运行容器,会存在共享文件的需求 存储类(Storage class)是k8s资源类型的一种,它是有管理员为管理PV更加方便创建的一个逻辑组,可以按照存储系统的性能高低,或者综合服务质量,备份策略等分类.不过k8s本身不知道类别到底是什么,

k8s数据持久化之statefulset的数据持久化,并自动创建PV与PVC

一:Statefulset StatefulSet是为了解决有状态服务的问题,对应的Deployment和ReplicaSet是为了无状态服务而设计,其应用场景包括:1.稳定的持久化存储,即Pod重新调度后还是能访问到相同的持久化数据,基于PVC来实现2.稳定的网络标志,即Pod重新调度后其PodName和HostName不变,基于Headless Service(即没有Cluster IP的Service)来实现3.有序部署,有序扩展,即Pod是有顺序的,在部署或者扩展的时候要依据定义的顺序依

K8s数据持久化之自动创建PV

在前两篇实现k8s的数据持久化的流程为:搭建nfs底层存储===>创建PV====>创建PVC===>创建pod.最终pod中的container实现数据的持久化. 上述流程中,看似没什么问题,但细想一下,PVC在向PV申请存储空间的时候,是根据指定的pv名称.访问模式.容量大小来决定具体向哪个PV来申请空间的,如果PV的容量为20G,定义的访问模式是WRO(只允许以读写的方式挂载到单个节点),而PVC申请的存储空间为10G,那么一旦这个PVC是向上面的PV申请的空间,也就是说,那个PV

Kubernetes数据持久化之Secret与ConfigMap

ConfigMap和Secret是Kubernetes中两种特殊类型的存储卷,ConfigMap这种资源对象主要用于提供配置数据以定制程序行为,不过一些敏感的配置信息,比如像用户名.密码.密钥等通常都是由Secret这种资源对象来进行配置的,他们将相应的配置信息保存于对象中,而后在Pod资源上以存储卷的形式将其挂载并获取相应配置,以实现配置与镜像文件的解耦. 一.Secret资源对象 1) Secret概述 Secret资源对象存储数据的方式是以键值对的方式进行存储的,在Pod资源进行Secre

k8s实践(七):存储卷和数据持久化(Volumes and Persistent Storage)

环境说明: 主机名 操作系统版本 ip docker version kubelet version 配置 备注 master Centos 7.6.1810 172.27.9.131 Docker 18.09.6 V1.14.2 2C2G master主机 node01 Centos 7.6.1810 172.27.9.135 Docker 18.09.6 V1.14.2 2C2G node节点 node02 Centos 7.6.1810 172.27.9.136 Docker 18.09.

K8s之MySQL实现数据持久化

这个是一个只写配置及验证的博文...... 博文大纲:1.搭建nfs存储2.创建PV3.创建PVC4.确认pv及pvc的状态5.创建pod+svc(service)6.进入MySQL数据库,添加测试数据7.手动删除节点上的容器,验证数据库内的数据是否还存在8.模拟MySQL容器所在的节点宕机,验证数据是否会丢失9.client端访问MySQL数据库 k8s集群环境如下: master节点IP:192.168.20.6 node01节点IP:192.168.20.7 node02节点IP:192.

K8s实现数据持久化

前言 在一切虚拟化解决方案中,数据的持久化都是需要我们非常关心的问题,docker如此,K8s也不例外.在k8s中,有一个数据卷的概念. k8s数据卷主要解决了以下两方面问题: 数据持久性:通常情况下,容器运行起来后,写入到其文件系统的文件时暂时性的.当容器崩溃后,kebelet将这个容器kill掉,然后生成一个新的容器,此时,新运行的容器将没有原来容器内的文件,因为容器是重新从镜像创建的. 数据共享:同一个pod中运行的容器之间,经常会存在共享文件/文件夹的需求. 在k8s中,Volume(数

k8s存储数据持久化,emptyDir,hostPath,基于Nfs服务的PV,PVC

在docker和K8S中都存在容器是有生命周期的,因此数据卷可以实现数据持久化. 数据卷解决的主要问题: 1.数据持久性:当我们写入数据时,文件都是暂时性的存在,当容器崩溃后,host就会将这个容器杀死,然后重新从镜像创建容器,数据就会丢失. 2.数据共享:在同一个Pod中运行容器,会存在共享文件的需求. 数据卷的类型: 1.emptyDiremptyDir数据卷类似于docker数据持久化的docker manager volume,该数据卷初分配时,是一个空目录,同一个Pod中的容器可以对该

Kubernetes数据持久化方案

在开始介绍k8s持久化存储前,我们有必要了解一下k8s的emptydir和hostpath.configmap以及secret的机制和用途. 1.EmptydirEmptyDir是一个空目录,他的生命周期和所属的 Pod 是完全一致的,EmptyDir主要作用可以在同一 Pod 内的不同容器之间共享工作过程中产生的文件.如果Pod配置了emptyDir类型Volume, Pod 被分配到Node上时候,会创建emptyDir,只要Pod运行在Node上,emptyDir都会存在(容器挂掉不会导致