K8S之Secret的介绍和使用

news2024/11/24 1:11:49

Secret

Secret的介绍
Secret的使用
- 通过环境变量引入Secret
- 通过volume挂载Secret

Secret的介绍

Secret是一种保护敏感数据的资源对象。例如：密码、token、秘钥等，而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。

Pod 可以用两种方式使用 secret：作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里，或者当 kubelet 为 pod 拉取镜像时使用。

secret可选参数有三种:

generic: 通用类型，通常用于存储密码数据。
tls：此类型仅用于存储私钥和证书。
docker-registry: 若要保存docker仓库的认证信息的话，就必须使用此种类型来创建。

Secret类型：

Service Account：用于被 serviceaccount 引用。serviceaccout 创建时 Kubernetes 会默认创建对应的 secret。Pod 如果使用了 serviceaccount，对应的 secret 会自动挂载到 Pod 的/run/secrets/kubernetes.io/serviceaccount 目录中。
Opaque：base64编码格式的Secret，用来存储密码、秘钥等。可以通过base64 --decode解码获得原始数据，因此安全性弱
kubernetes.io/dockerconfigjson：用来存储私有docker registry的认证信息。

Secret的使用

通过环境变量引入Secret

1、把mysql的root用户的password创建成secret

kubectl create secret generic mysql-password --from-literal=password=admin**lucky66

kubectl get secret

在这里插入图片描述

kubectl describe secret mysql-password

在这里插入图片描述

password的值是加密的，但secret的加密是一种伪加密，它仅仅是将数据做了base64的编码

2、创建pod，引用secret

vim pod-secret.yaml

apiVersion: v1
kind: Pod
metadata:
  name: pod-secret
  labels:
     app: myapp
spec:
  containers:
  - name: myapp
    image: myapp:v1
    imagePullPolicy: IfNotPresent
    ports:
    - name: http
      containerPort: 80
    env:
     - name: MYSQL_ROOT_PASSWORD   #Pod启动成功后,Pod中容器的环境变量名.
       valueFrom:
          secretKeyRef:
            name: mysql-password  # secret的对象名
            key: password         # secret中的key名

更新资源清单文件

kubectl apply -f pod-secret.yaml

kubectl exec -it pod-secret -- /bin/sh

printenv

在这里插入图片描述

通过volume挂载Secret

1、创建Secret，并手动加密（基于base64加密）

echo -n 'admin' | base64

YWRtaW4=
在这里插入图片描述

echo -n 'admin123456' | base64

YWRtaW4xMjM0NTY=
在这里插入图片描述

解码：

echo YWRtaW4xMjM0NTY=  | base64 -d

在这里插入图片描述

2、创建yaml文件

vim secret.yaml

apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  username: YWRtaW4=
  password: YWRtaW4xMjM0NTY=

更新资源清单文件

kubectl apply -f secret.yaml

kubectl describe secret mysecret

在这里插入图片描述

3、将Secret挂载到Volume中

vim pod_secret_volume.yaml

apiVersion: v1
kind: Pod
metadata:
  name: pod-secret-volume
spec:
  containers:
  - name: myapp
    image: myapp:v1
    volumeMounts:
    - name: secret-volume
      mountPath: /etc/secret
      readOnly: true
  volumes:
  - name: secret-volume
    secret:
      secretName: mysecret

更新资源清单文件

kubectl apply -f pod_secret_volume.yaml

kubectl exec -it pod-secret-volume -- /bin/sh

ls /etc/secret

cat /etc/secret/username

cat /etc/secret/password

在这里插入图片描述

由上可见，在pod中的secret信息实际已经被解密

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.coloradmin.cn/o/1559702.html

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈，一经查实，立即删除！