kubernetes管理机密信息

一、启动应用安全信息的保护:

Secret介绍:

应用启动过程中可能需要一些敏感信息,比如访问数据库的用户名密码或者秘钥。将这些信息直接保存在容器镜像中显然不妥,Kubernetes 提供的解决方案是 Secret。

Secret 会以密文的方式存储数据,避免了直接在配置文件中保存敏感信息。Secret 会以 Volume 的形式被 mount 到 Pod,容器可通过文件的方式使用 Secret 中的敏感数据;此外,容器也可以环境变量的方式使用这些数据。

Secret 可通过命令行或 YAML 创建。比如希望 Secret 中包含如下信息:

1、用户名 admin

2、密码 123456

创建 Secret(有四种方法创建 Secret):

1. 通过 --from-literal(命令行方式创建,直接把用户名和密码写在命令行就可以创建):

kubectl get secret(获取我们环境当中的secret)

kubectl create secret generic mysecret --from-literal=username=admin --from-literal=password=123(创建secret)

kubectl get secret mysecret

每个 --from-literal 对应一个信息条目。

2. 通过 --from-file(通过文件方式创建):

kubectl get secret

echo -n admin > ./username(先写入一个文件)

echo -n 123456 > ./password

kubectl create secret generic mysecret --from-file=./username --from-file=./password

每个文件内容对应一个信息条目。

3. 通过 --from-env-file(通过环境变量文件,就是说我首先先把username跟passwoed这两个环境变量宣告一下):

cat << EOF > env.txt
username=admin
password=123456
EOF

kubectl create secret generic mysecret --from-env-file=env.txt

文件 env.txt 中每行 Key=Value 对应一个信息条目。

4. 通过 YAML 配置文件:

文件中的敏感数据必须是通过 base64 编码后的结果,所以先要对username和password进行base64编译。

echo -n admin | base64

echo -n 123 | base64

执行 kubectl apply 创建 Secret:

kubectl apply -f mysecret.yml

显示有两个数据条目

kubectl describe secret

查看条目的 Key:

如果还想查看 Value,可以用

 kubectl edit secret mysecret

然后通过 base64 将 Value 反编码:

echo -n YWRtaW4= | base64 --decode
echo -n MTIz | base64 --decode

二、secret在pod中的应用:

volume 方式使用 Secret

Pod 可以通过 Volume 或者环境变量的方式使用 Secret,先学习 Volume 方式。

(1)Pod 的配置文件如下所示:

① 定义 volume foo,来源为 secret mysecret

② 将 foo mount 到容器路径 /etc/foo,可指定读写权限为 readOnly

创建 Pod 并在容器中读取 Secret:

kubectl apply –f mypod1.yml
kubectl get pod
kubectl get secret

现在我们进入容器,并读取secret

kubectl exec  -it mypod1 sh

可以看到,Kubernetes 会在指定的路径 /etc/foo 下为每条敏感数据创建一个文件,文件名就是数据条目的 Key,这里是 /etc/foo/username 和 /etc/foo/password,Value 则以明文存放在文件中。

(2)我们也可以自定义存放数据的文件名,比如将配置文件改为:

这时数据将分别存放在 /etc/foo/my-group/my-username 和 /etc/foo/my-group/my-password 中。

以 Volume 方式使用的 Secret 支持动态更新:Secret 更新后,容器中的数据也会更新。

将 password 更新为 abcdef,base64 编码为 YWJjZGVm

更新 Secret。

几秒钟或,新的 password 会同步到容器。

环境变量方式使用 Secret

通过 Volume 使用 Secret,容器必须从文件读取数据,会稍显麻烦,Kubernetes 还支持通过环境变量使用 Secret。

Pod 配置文件示例如下:

创建 Pod 并读取 Secret。

通过环境变量 SECRET_USERNAME 和 SECRET_PASSWORD 成功读取到 Secret 的数据。

需要注意的是,环境变量读取 Secret 很方便,但无法支撑 Secret 动态更新。

Secret 可以为 Pod 提供密码、Token、私钥等敏感数据;

原文地址:https://www.cnblogs.com/shuaiyin/p/11110050.html

时间: 2024-10-24 14:05:13

kubernetes管理机密信息的相关文章

Kubernetes管理Docker集群之安装篇

什么是Kubernetes? Kubernetes是Google开源的容器集群管理系统,实现基于Docker构建容器,利用Kubernetes能很方面管理多台Docker主机中的容器. 主要功能如下: 1)将多台Docker主机抽象为一个资源,以集群方式管理容器,包括任务调度.资源管理.弹性伸缩.滚动升级等功能. 2)使用编排系统(YAML File)快速构建容器集群,提供负载均衡,解决容器直接关联及通信问题 3)自动管理和修复容器,简单说,比如创建一个集群,里面有十个容器,如果某个容器异常关闭

基于Django开发的Kubernetes管理平台

简介Ocean是一个Kubernetes的可视化管理平台,通过直观的页面操作便可完成Kubernetes中资源的创建.部署等操作. 实现功能权限管理:实现RBAC权限管理,根据不同部门和不同角色实现不同权限.集群管理:实现多集群管理,更方便地管理多个集群. 项目组件 Django2.2 Python3.7 BootStrap3.x Jquery1.10 MySQL5.5 未更新完,待补充......最后吐槽一下,快两年没有更新51cto博客了,再次用51cto期望能有改变,但是还是一如既往的难用

用 k8s 管理机密信息 - 每天5分钟玩转 Docker 容器技术(155)

应用启动过程中可能需要一些敏感信息,比如访问数据库的用户名密码或者秘钥.将这些信息直接保存在容器镜像中显然不妥,Kubernetes 提供的解决方案是 Secret. Secret 会以密文的方式存储数据,避免了直接在配置文件中保存敏感信息.Secret 会以 Volume 的形式被 mount 到 Pod,容器可通过文件的方式使用 Secret 中的敏感数据:此外,容器也可以环境变量的方式使用这些数据. Secret 可通过命令行或 YAML 创建.比如希望 Secret 中包含如下信息: 用

Kubernetes部署(十一):管理之Helm和Rancher部署

Helm部署 helm官方下载地址:https://github.com/helm/helm/releases 官方可用的chart列表:https://hub.kubeapps.com 所有的软件及配置文件都保存在前面文章提到的百度网盘里 :百度共享链接在此文章里 helm简介 Helm是一种简化Kubernetes应用程序安装和管理的工具.可以把它想象成apt/yum/homebrew. Helm有两部分:client(helm)和server(tiller),Tiller在您的Kubern

How-to setup Kubernetes to manage Docker Cluster on ubuntu

什么是 Kubernetes Kubernetes 是来自 Google 云平台的开源容器集群管理系统.基于 Docker 构建一个容器的调度服务.该系统可以自动在一个容器集群中选择一个工作容器供使用.其核心概念是 Container Pod.详细的设计思路请参考这里. 关于 Kubernetes 系统架构及组件介绍见这里. 本文通过实际操作来演示Kubernetes的使用,主要包括如下内容: 部署环境介绍,以及Kubernetes集群逻辑架构 安装部署Open vSwitch跨机器容器通信工具

Shell脚本快速部署Kubernetes集群系统

本文紧跟上节所讲的手动部署Kubernetes管理Docker篇所写,本篇主要内容利用Shell脚本完成快速部署Kubernetes集群.上节博文看过的朋友也能感觉到部署过程相对比较简单,那么,出于简化工作流程,推进运维自动化角度来说,于是花了2/3天时间写这个部署Kubernetes脚本. 运维工作中,常常会遇到部署各种各样的服务,建议:常规部署都应该尽量使用脚本完成,一方面提高自身脚本编写能力,另一方面推进运维自动化. 详细部署说明文档:http://lizhenliang.blog.51c

kubernetes+docker+centos7

kubernetes和docker的作用这里就不作介绍了,直接进入主题. 本文的目的是搭建docker集群,并使用kubernetes管理它们. 文中的软件环境除了kubernetes和docker,还用到了etcd和flannel.etcd服务运行在master机器上与minion机器上的flannel配套使用,作用是使每台minion上运行的 docker拥有不同的ip段,最终目的是使不同minion上正在运行的docker containner都有一个与别的任意一个containner(别

基于Centos7构建Kubernetes平台

防伪码:我已经过了餐桌上有只鸡就一定能吃到鸡腿的年纪了. Kubernetes作为Docker生态圈中重要一员,是Google多年大规模容器管理技术的开源版本,是产线实践经验的最佳表现[G1].如Urs Hlzle所说,无论是公有云还是私有云甚至混合云,Kubernetes将作为一个为任何应用,任何环境的容器管理框架无处不在.正因为如此, 目前受到各大巨头及初创公司的青睐,如Microsoft.VMWare.Red Hat.CoreOS.Mesos等,纷纷加入给Kubernetes贡献代码.随着

Docker集群(三) —— Kubernetes 简单入门

[摘要]Kubernetes是Google开源的Docker容器集群管理系统,为容器化的应用提供资源调度.部署运行.服务发现.扩容缩容等整一套功能.本文介绍了kubernetes的重要概念,并通过实例的示例解释了如何应用kubernetes管理docker集群. 因操作系统不同.应用场景不同kubernetes的使用方法有不同,本文只介绍其中一种笔者实践过的切实可行的方法,旨在使读者快速了解Kubernetes,对其有直观的感受.本文以单机版举例,下面的例子都在同一台物理结点上执行,多结点的情况