2023年7月6日发(作者:)
Kubernetessecret使⽤详解Secret 存在意义K8s configmap可以注⼊pod之内成为环境变量或者是配置⽂件,这些都是以明⽂⽅式保存,如果碰到密码这种的以明⽂⽅式保存就不⾏了,Secret更加倾向于保存要加密的⽂件。
Secret 解决了密码、token、密钥等敏感数据的配置问题,⽽不需要把这些敏感数据暴露到镜像或者 Pod Spec中。Secret 可以以Volume 或者环境变量的⽅式使⽤。密码这种可以先存储到secret⾥⾯,然后挂载到Pod⾥⾯即可。Secret 有三种类型:Service Account:⽤来访问 Kubernetes API,由 Kubernetes ⾃动创建,并且会⾃动挂载到 Pod的/run/secrets//serviceaccount⽬录中Opaque:base64编码格式的Secret,⽤来存储密码、密钥等/dockerconfigjson:⽤来存储私有 docker registry 的认证信息Service Account:对于有些pod来说需要和apiserver进⾏交互,⽐如flanned,coredns这些需要和api进⾏交互,kube api不是谁都可以过来访问的,因为它是⼀切访问的⼊⼝。所以pod的访问⽅式就是挂载Service AccountOpaque:这种⽅式就是加密的⽅式存储,加密程度并不⾼,很容易就进⾏解密/dockerconfigjson: 如果有私有仓库那么下载的时候需要认证,这些认证⽅案是由docker仓库去完成的,这个可以保存私有仓库认证的⽤户名密码信息
Service AccountService Account ⽤来访问 Kubernetes API,由 Kubernetes ⾃动创建,并且会⾃动挂载到 Pod的/run/secrets//serviceaccount⽬录中$ kubectl run nginx --image nginxdeployment "nginx" created$ kubectlget podsNAME READY STATUS RESTARTS AGEnginx-3137573019-md1u2 1/1 Running 0 13s$ kubectl exec nginx-3137573019-md1u2 ls /run/secrets//serviceaccount
namespace tokenSa是不需要我们去创建管理的,是由k8s⾃动创建的[root@k8s-master ~]# kubectl exec kube-flannel-ds-amd64-lb6vm -it -n kube-system -- /bin/sh/ # cd /run/secrets//serviceaccount//run/secrets//serviceaccount # (证书信息,双向认证) namespace token(认证的密钥信息)/run/secrets//serviceaccount # cat namespace
kube-system上⾯这三个组成了sa,这三个使得flanneld可以访问api达成⼀致
Opaque Secret1.创建说明Opaque 类型的数据是⼀个 map 类型,要求 value 是 base64 编码格式,如果要进⾏⽤户名密码的保存,那么先要将其以base64位加密,再将加密的值保存在⽂件当中[root@k8s-master ~]# echo -n "admin" | base64YWRtaW4=[root@k8s-master ~]# echo -n "1f2d1e2e67df" | base64MWYyZDFlMmU2N2Rm只要字符串⼀样加密的结果就是⼀样的[root@k8s-master ~]# echo -n "YWRtaW4=" | base64 -dAdmin解密创建⼀个secret[root@k8s-master secret]# cat
apiVersion: v1kind: Secretmetadata: name: mysecrettype: Opaquedata: password: MWYyZDFlMmU2N2Rm username: YWRtaW4=[root@k8s-master secret]# kubectl get secretNAME TYPE DATA AGEdefault-token-dfmvc /service-account-token 3 42dmysecret Opaque 2 48s[root@k8s-master ~]# kubectl describe secret mysecretName: mysecretNamespace: defaultLabels:
- name: busybox image: busybox command: ["/bin/sh","-c","sleep 3600s"] volumeMounts:
- name: secrets
mountPath: "/etc/secrets"
readOnly: true[root@k8s-master secret]# kubectl exec -it secret-test -- /bin/sh/ # cd /etc/secrets//etc/secrets # lspassword username/etc/secrets # cat password
1f2d1e2e67df/etc/secrets # cat username
Admin可以看到在创建的时候是加密保存的,在使⽤的时候会⾃动完成解密2、将 Secret 导出到环境变量中[root@k8s-master secret]# kubectl apply -f
pod/secret-test-env created[root@k8s-master secret]# cat
apiVersion: v1kind: Podmetadata: name: secret-test-envspec: containers:
- name: busybox image: busybox command: ["/bin/sh","-c","sleep 3600s"] env: - name: TEST_USER valueFrom: secretKeyRef: name: mysecret key: username - name: TEST_PASSWORD valueFrom: secretKeyRef: name: mysecret key: password[root@k8s-master secret]# kubectl exec -it secret-test-env -- /bin/sh/ # echo $TEST_USERadmin/ # echo $TEST_PASSWORD1f2d1e2e67df
Secret保存docker仓库认证信息 harbor对于公司内部的项⽬, 我们不可能使⽤公有开放的镜像仓库, ⼀般情况可能会花钱买 docker私仓服务, 或者说⾃⼰在服务器上搭建⾃⼰的私仓,但不管怎样, 我们如何让k8s能够拉取私有仓库的镜像
使⽤ Kuberctl 创建 docker registry 认证的 secret,格式如下kubectl create secret docker-registry myregistrykey --docker-server=DOCKER_REGISTRY_SERVER --docker-username=DOCKER_USER --docker-password=DO[root@k8s-master ~]# kubectl create secret docker-registry myregistrykey --docker-server= --docker-username=admin --docker-password=Harbor12secret/myregistrykey created[root@k8s-master ~]# kubectl describe secret myregistrykey
Name: myregistrykeyNamespace: defaultLabels:
name: foospec:
containers:
- name: foo
image: /library:v1
imagePullSecrets:
- name: myregistrykey其中imagePullSecrets是声明拉取镜像时需要指定密钥, myregistrykey 必须和上⾯⽣成密钥的键名⼀致, 另外检查⼀下pod和密钥是否在同⼀个namespace, 之后k8s便可以拉取镜像
发布者:admin,转转请注明出处:http://www.yc00.com/xiaochengxu/1688593176a153161.html
评论列表(0条)