百度网盘链接:https://pan.baidu.com/s/15t_TSH5RRpCFXV-93JHpNw?pwd=8od3 提取码:8od3
16 Secret
16.1 Secret是什么?
上面我们学习的Configmap一般是用来存放明文数据的,如配置文件,对于一些敏感数据,如密码、私钥等数据时,要用secret类型。
Secret解决了密码、token、秘钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。
要使用 secret,pod 需要引用secret。Pod可以用两种方式使用secret:作为volume中的文件被挂载到pod中的一个或者多个容器里,或者当kubelet为pod拉取镜像时使用。
secret可选参数有三种:
generic: 通用类型,通常用于存储密码数据。
tls:此类型仅用于存储私钥和证书。
docker-registry: 若要保存docker仓库的认证信息的话,就必须使用此种类型来创建。
Secret类型:
Service Account:用于被serviceaccount引用。serviceaccout创建时Kubernetes会默认创建对应的secret。Pod 如果使用了serviceaccount,对应的secret会自动挂载到Pod的/run/secrets/kubernetes.io/serviceaccount目录中。
Opaque:base64编码格式的Secret,用来存储密码、秘钥等。可以通过base64 --decode解码获得原始数据,安全性弱。
kubernetes.io/dockerconfigjson:用来存储私有docker registry的认证信息。
16.2 使用Secret
16.2.1 通过环境变量引入Secret
把mysql的root用户的password创建成secret
[root@master1 ~]# kubectl create secret generic mysql-password --from-literal=password=pod**lucky66
[root@master1 ~]# kubectl get secret
NAME TYPE DATA AGE
mysql-password Opaque 1 30s
[root@master1 ~]# kubectl describe secret mysql-password
Name: mysql-password
Namespace: default
Labels: <none>
Annotations: <none>
Type: Opaque
Data
====
password: 12bytes #password的值是加密的,但secret的加密是一种伪加密,它仅仅是将数据做了base64的编码。
16.2.2 创建pod,引用secret
[root@master1 ~]# vim pod-secret.yaml
apiVersion: v1
kind: Pod
metadata:
name: pod-secret
labels:
app: myapp
spec:
containers:
- name: myapp
image: ikubernetes/myapp:v1
imagePullPolicy: IfNotPresent
ports:
- name: http
containerPort: 80
env:
- name: MYSQL_ROOT_PASSWORD #它是Pod启动成功后,Pod中容器的环境变量名
valueFrom:
secretKeyRef:
name: mysqlpassword #这是secret的对象名
key: password #它是secret中的key名
[root@master1 ~]# kubectl apply -f pod-secret.yaml
[root@master1 ~]# kubectl exec -it pod-secret -- /bin/sh
/ # printenv
MYSQL_ROOT_PASSWORD=pod**lucky66
16.2.3 通过volume挂载Secret
1)创建Secret
[root@master1 ~]# echo -n 'admin' | base64 //手动加密,基于base64加密
YWRtaW4=
[root@master1 ~]# echo -n '123456' | base64
MTIzNDU2
[root@master1 ~]# echo MTIzNDU2 | base64 -d //解码
2)创建yaml文件
[root@master1 ~]# vim secret.yaml
apiVersion: v1
kind: Secret
metadata:
name: mysecret
type: Opaque
data:
username: YWRtaW4=
password: MTIzNDU2
[root@master1 ~]# kubectl apply -f secret.yaml
[root@master1 ~]# kubectl describe secret mysecret
Name: mysecret
Namespace: default
Labels: <none>
Annotations: <none>
Type: Opaque
Data
====
password: 6 bytes
username: 5 bytes
3)将Secret挂载到Volume中
[root@master1 ~]# vim pod_secret_volume.yaml
apiVersion: v1
kind: Pod
metadata:
name: pod-secret-volume
spec:
containers:
- name: myapp
image: busybox:1.28
imagePullPolicy: IfNotPresent
command: ["/bin/sh","-c","sleep 3600"]
volumeMounts:
- name: secret-volume
mountPath: /etc/secret
readOnly: true
volumes:
- name: secret-volume
secret:
secretName: mysecret
[root@master1 ~]# kubectl apply -f pod_secret_volume.yaml
[root@master1 ~]# kubectl exec -it pod-secret-volume -- /bin/sh
/ # ls /etc/secret
password username
/ # cat /etc/secret/username
admin
/ # cat /etc/secret/password
123456
由上可见,在pod中的secret信息实际已经被解密。
标签:master1,secret,Secret,pod,password,root From: https://www.cnblogs.com/KrillLiszt/p/17007219.html