Kubernetes中的secrets存储

news2024/11/5 16:34:19

华子目录

  • 2.secrets
    • 2.1secrets功能介绍
    • 2.2secrets的创建
      • 2.2.1从文件创建
      • 2.2.2编写yaml文件
    • 2.3secret的使用案例
      • 2.3.1将secret挂载到volume中
      • 2.3.2设置`子目录`映射`secret`密钥
      • 2.3.3将secret设置为环境变量
      • 2.3.4存储`docker register`的认证信息`spec.imagePullSecrets[]`

2.secrets

2.1secrets功能介绍

  • secret对象类型用来保存敏感信息,如密码Oauth令牌ssh key

  • 敏感信息放在secret中比放在Pod定义或者容器镜像中来说更加安全灵活

  • Pod可以用两种方式使用secret

    • 作为volume中的文件挂载pod中的一个或者多个容器
    • kubeletpod拉取镜像时使用
  • secret类型

    • Service AccountKubernetes自动创建包含访问api凭据secret,并自动修改pod以使用此类型secret
    • Opaque:使用base64编码存储信息,可以通过base64 --decode解码获得原始数据,因此安全性弱
    • kubernetes.io/dockerconfigjson:用于存储docker registry认证信息
[root@k8s-master ~]# mkdir secret
[root@k8s-master ~]# cd secret/

2.2secrets的创建

在创建secrets时,我们可以使用create命令的方式创建或者yaml文件的方式创建

#secret有3中类型
[root@k8s-master secret]# kubectl create secret
docker-registry  (创建一个给 Docker registry 使用的 Secret)
generic          (Create a secret from a local file, directory, or literal value)
tls              (创建一个 TLS secret)

2.2.1从文件创建

先创建文件

#-n取消换行
[root@k8s-master secret]# echo -n huazi > username.txt
[root@k8s-master secret]# echo -n 12345 > password.txt
[root@k8s-master secret]# ls
password.txt  username.txt
#创建一个名为userlist的generic类型的secret资源
[root@k8s-master secret]# kubectl create secret generic userlist --from-file username.txt --from-file password.txt
secret/userlist created
#查看
[root@k8s-master secret]# kubectl get secrets
NAME             TYPE                DATA   AGE
userlist         Opaque              2      3m13s


[root@k8s-master secret]# kubectl describe secrets userlist
Name:         userlist
Namespace:    default
Labels:       <none>
Annotations:  <none>

Type:  Opaque

Data
====
password.txt:  5 bytes
username.txt:  5 bytes
#以yaml格式查看,我们发现文件名作为了键,文件内容作为了值
[root@k8s-master secret]# kubectl get secrets userlist -o yaml
apiVersion: v1
data:
  password.txt: MTIzNDU=
  username.txt: aHVhemk=
kind: Secret
metadata:
  creationTimestamp: "2024-11-02T10:40:13Z"
  name: userlist
  namespace: default
  resourceVersion: "811492"
  uid: 198d8aae-b738-4289-bb67-3d23c94ba909
type: Opaque

2.2.2编写yaml文件

#先将内容做base64编码
[root@k8s-master secret]# echo -n huazi | base64
aHVhemk=
[root@k8s-master secret]# echo -n 12345 | base64
MTIzNDU=
#创建一个名为userlist1的generic类型的secret资源
[root@k8s-master secret]# kubectl create secret generic userlist1 --dry-run=client -o yaml > secret-generic.yml

[root@k8s-master secret]# vim secret-generic.yml
[root@k8s-master secret]# cat secret-generic.yml
apiVersion: v1
kind: Secret
metadata:
  name: userlist1
type: Opaque
data:
  username: aHVhemk=
  password: MTIzNDU=
[root@k8s-master secret]# kubectl apply -f secret-generic.yml
secret/userlist1 created
[root@k8s-master secret]# kubectl get secrets
NAME        TYPE     DATA   AGE
userlist    Opaque   2      11m
userlist1   Opaque   2      56s
[root@k8s-master secret]# kubectl describe secrets userlist1
Name:         userlist1
Namespace:    default
Labels:       <none>
Annotations:  <none>

Type:  Opaque

Data
====
password:  5 bytes
username:  5 bytes
[root@k8s-master secret]# kubectl get secrets userlist1 -o yaml
apiVersion: v1
data:
  password: MTIzNDU=
  username: aHVhemk=
kind: Secret
metadata:
  annotations:
    kubectl.kubernetes.io/last-applied-configuration: |
      {"apiVersion":"v1","data":{"password":"MTIzNDU=","username":"aHVhemk="},"kind":"Secret","metadata":{"annotations":{},"name":"userlist1","namespace":"default"},"type":"Opaque"}
  creationTimestamp: "2024-11-02T10:50:32Z"
  name: userlist1
  namespace: default
  resourceVersion: "812512"
  uid: b29dc86a-d8f6-4eb3-88ea-11eb3fb707e0
type: Opaque

2.3secret的使用案例

#查看名为userlist1的secret类型
[root@k8s-master ~]# kubectl describe secrets userlist1
Name:         userlist1
Namespace:    default
Labels:       <none>
Annotations:  <none>

Type:  Opaque

Data
====
password:  5 bytes
username:  5 bytes
#发现有两个键值对,一个password,一个username

2.3.1将secret挂载到volume中

#创建自主式pod,去使用userlist1
[root@k8s-master secret]# vim pod1.yml
[root@k8s-master secret]# cat pod1.yml
apiVersion: v1
kind: Pod
metadata:
  labels:
    run: testpod
  name: testpod
spec:
  containers:
  - image: busyboxplus
    name: busyboxplus
    command: ["/bin/sh","-c","sleep 10000"]
    volumeMounts:   ##这是一个列表,定义了Pod中容器要挂载的卷。
    - name: secret-volume   # #指定了要挂载的卷的名称,这个名称必须与volumes列表中定义的某个卷的名称相匹配。
      mountPath: /secret   ##卷在容器内的挂载路径。
      readOnly: true    #/secret这个目录只读权限
  volumes:   #定义了Pod中可以使用的卷
  - name: secret-volume   #定义了卷的名称,这个名称将在volumeMounts中被引用
    secret:   #表示这个卷是由一个secrets支持的
      secretName: userlist1   #指定了secrets的名称为userlist1
[root@k8s-master secret]# kubectl apply -f pod1.yml
pod/testpod created
[root@k8s-master secret]# kubectl describe pods testpod

在这里插入图片描述

[root@k8s-master secret]# kubectl exec -it pods/testpod -- /bin/sh
/ # ls
bin      etc      lib      linuxrc  mnt      proc     run      secret   tmp      var
dev      home     lib64    media    opt      root     sbin     sys      usr
/ # cd secret/
/secret # ls
password  username
/secret # ls -l
total 0
lrwxrwxrwx    1 root     root            15 Nov  3 02:29 password -> ..data/password
lrwxrwxrwx    1 root     root            15 Nov  3 02:29 username -> ..data/username
/secret # cat username
huazi
/secret # cat password
12345

我们发现userlist1中的变成了文件名变成了文件内容,其中文件是一个软连接文件

#回收
[root@k8s-master secret]# kubectl delete -f pod1.yml
pod "testpod" deleted

2.3.2设置子目录映射secret密钥

[root@k8s-master secret]# vim pod2.yml
[root@k8s-master secret]# cat pod2.yml
apiVersion: v1
kind: Pod
metadata:
  labels:
    run: testpod
  name: testpod
spec:
  containers:
  - image: busyboxplus
    name: busyboxplus
    command: ["/bin/sh","-c","sleep 10000"]
    volumeMounts:   #Pod中容器要挂载的卷
    - name: secret-volume   #挂载的卷的名称,这个名称必须与volumes列表中定义的某个卷的名称相匹配。
      mountPath: /secret   #容器中的挂载目录
      readOnly: true   #只读
  volumes:   #声明pod的数据卷
  - name: secret-volume  #数据卷的名字为secret-volume
    secret:   #表示这个卷是由一个secrets支持的
      secretName: userlist1   #指定了secrets的名称为userlist1
      items:
      - key: username1
        path: users/username   #username为userlist1中的键,会变为文件名,值会变为文件内容
      - key: password1
        path: auth/password   #password为userlist1中的键,会变为文件名,值会变为文件内容

usersauth/secret下的子目录子目录下分别有名为usernamepassword文本文件

[root@k8s-master secret]# kubectl apply -f pod2.yml
pod/testpod created
[root@k8s-master secret]# kubectl describe pods testpod

在这里插入图片描述

[root@k8s-master secret]# kubectl exec -it pods/testpod -- /bin/sh
/ # ls
bin      etc      lib      linuxrc  mnt      proc     run      secret   tmp      var
dev      home     lib64    media    opt      root     sbin     sys      usr
/ # cd secret/
/secret # ls
auth   users
/secret # cd auth/
/secret/..2024_11_03_02_57_47.438164553/auth # ls
password
/secret/..2024_11_03_02_57_47.438164553/auth # ls -l
total 4
-rw-r--r--    1 root     root             5 Nov  3 02:57 password
/secret/..2024_11_03_02_57_47.438164553/auth # cat password
12345

/secret/..2024_11_03_02_57_47.438164553/users # cat username
huazi
#回收
[root@k8s-master secret]# kubectl delete -f pod2.yml
pod "testpod" deleted

2.3.3将secret设置为环境变量

[root@k8s-master secret]# vim pod3.yml
[root@k8s-master secret]# cat pod3.yml
apiVersion: v1
kind: Pod
metadata:
  labels:
    run: testpod
  name: testpod
spec:
  containers:
  - image: busyboxplus
    name: busyboxplus
    command: ["/bin/sh","-c","env"]
    env:
    - name: Username   #容器中的环境变量名
      valueFrom:   #指定环境变量值的来源
        secretKeyRef:  #表示环境变量的值是从一个secret中获取的
          name: userlist1   #secret资源的名字
          key: username   #在指定的secret中,username键对应的值将用作环境变量Username的值
    - name: Password   #容器中的环境变量名
      valueFrom:    #指定环境变量值的来源
        secretKeyRef:  #表示环境变量的值是从一个secret中获取的
          name: userlist1  #secret资源的名字
          key: password  #在指定的secret中,password键对应的值将被用作环境变量Password的值
  restartPolicy: Never
[root@k8s-master secret]# kubectl apply -f pod3.yml
pod/testpod created
[root@k8s-master secret]# kubectl get pods
NAME      READY   STATUS      RESTARTS   AGE
testpod   0/1     Completed   0          7s
[root@k8s-master secret]# kubectl logs pods/testpod -c busyboxplus
KUBERNETES_SERVICE_PORT=443
KUBERNETES_PORT=tcp://10.96.0.1:443
HOSTNAME=testpod
SHLVL=1
HOME=/
Username=huazi     #我们发现了创建的环境变量 
KUBERNETES_PORT_443_TCP_ADDR=10.96.0.1
PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
KUBERNETES_PORT_443_TCP_PORT=443
KUBERNETES_PORT_443_TCP_PROTO=tcp
Password=12345     #我们发现了创建的环境变量
KUBERNETES_PORT_443_TCP=tcp://10.96.0.1:443
KUBERNETES_SERVICE_PORT_HTTPS=443
PWD=/
KUBERNETES_SERVICE_HOST=10.96.0.1
#回收
[root@k8s-master secret]# kubectl delete -f pod3.yml --force

2.3.4存储docker register的认证信息spec.imagePullSecrets[]

在做这个案例之前,我们先介绍一下docker公有仓库私有仓库

  • 公有仓库上传镜像需要认证下载镜像不需要认证
  • 私有仓库上传下载都需要认证

先在harbor上创建一个私有仓库
在这里插入图片描述
因为node1主机上,我们之前做过认证,这里我们先退出登录

[root@k8s-node1 ~]# docker logout harbor.huazi.org
Removing login credentials for harbor.huazi.org

node2做过认证,在node2上传myapp:v1镜像到huazi这个私有仓库

[root@k8s-node2 ~]# docker images
myapp                                         v1                d4a5e0eaa84f   6 years ago     15.5MB

[root@k8s-node2 ~]# docker tag myapp:v1 harbor.huazi.org/huazi/myapp:v1
[root@k8s-node2 ~]# docker push harbor.huazi.org/huazi/myapp:v1
The push refers to repository [harbor.huazi.org/huazi/myapp]
a0d2c4392b06: Pushed
05a9e65e2d53: Pushed
68695a6cfd7d: Pushed
c1dc81a64903: Pushed
8460a579ab63: Pushed
d39d92664027: Pushed
v1: digest: sha256:9eeca44ba2d410e54fccc54cbe9c021802aa8b9836a0bcf3d3229354e4c8870e size: 1569

验证node1上是否退出成功

#发现下载私有仓库中的myapp:v1镜像失败,说明退出成功
[root@k8s-node1 ~]# docker pull harbor.huazi.org/huazi/myapp:v1
Error response from daemon: unauthorized: unauthorized to access repository: huazi/myapp, action: pull: unauthorized to access repository: huazi/myapp, action: pull

创建名为docker-auth的类型为docker-registrysecret资源

#创建名为docker-auth的类型为docker-registry的secret资源
[root@k8s-master secret]# kubectl create secret docker-registry \
> docker-auth \    #secret名字
> --docker-server harbor.huazi.org \ 
> --docker-username admin \
> --docker-password 123456 \
> --docker-email huazi@huazi.org
secret/docker-auth created
#查看创建的docker-auth
[root@k8s-master secret]# kubectl get secrets
NAME          TYPE                             DATA   AGE
docker-auth   kubernetes.io/dockerconfigjson   1      112s
userlist      Opaque                           2      17h
userlist1     Opaque                           2      17h

[root@k8s-master secret]# kubectl describe secrets docker-auth
Name:         docker-auth
Namespace:    default
Labels:       <none>
Annotations:  <none>

Type:  kubernetes.io/dockerconfigjson

Data
====
.dockerconfigjson:  123 bytes

创建pod去使用名为docker-authsecret资源

[root@k8s-master secret]# vim pod4.yml
[root@k8s-master secret]# cat pod4.yml
apiVersion: v1
kind: Pod
metadata:
  labels:
    run: testpod
  name: testpod
spec:
  nodeSelector:
    kubernetes.io/hostname: k8s-node1.org    #指定让它在node1上运行
  containers:
  - image: harbor.huazi.org/huazi/myapp:v1  #指定拉取的镜像是huazi这个私有仓库的
    name: myappv1
#  imagePullSecrets:  #我们先把这里注释了
#  - name: docker-auth
[root@k8s-master secret]# kubectl apply -f pod4.yml
pod/testpod created

#我们发现这里的状态是ErrImagePull,表示镜像拉取失败
[root@k8s-master secret]# kubectl get pods -o wide
NAME      READY   STATUS         RESTARTS   AGE   IP            NODE            NOMINATED NODE   READINESS GATES
testpod   0/1     ErrImagePull   0          6s    10.244.1.13   k8s-node1.org   <none>           <none>

#回收
[root@k8s-master secret]# kubectl delete -f pod4.yml
pod "testpod" deleted

再去掉注释

[root@k8s-master secret]# vim pod4.yml
[root@k8s-master secret]# cat pod4.yml
apiVersion: v1
kind: Pod
metadata:
  labels:
    run: testpod
  name: testpod
spec:
  nodeSelector:
    kubernetes.io/hostname: k8s-node1.org
  containers:
  - image: harbor.huazi.org/huazi/myapp:v1  #指定拉取的镜像是huazi这个仓库的
    name: myappv1
  imagePullSecrets:
  - name: docker-auth
#发现运行成功,说明node1上已经成功拉取了私有
[root@k8s-master secret]# kubectl get pods -o wide
NAME      READY   STATUS    RESTARTS   AGE   IP            NODE            NOMINATED NODE   READINESS GATES
testpod   1/1     Running   0          7s    10.244.1.14   k8s-node1.org   <none>           <none>
#我们发现node1已经成功拉取了私有仓库中myapp:v1这个镜像
[root@k8s-node1 ~]# docker images
harbor.huazi.org/huazi/myapp                  v1                d4a5e0eaa84f   6 years ago     15.5MB
  • imagePullSecrets是一个在Kubernetes中用于配置Pod以拉取私有Docker镜像字段。当你在Kubernetes集群中部署应用时,如果应用依赖于存储在私有Docker仓库中的镜像,你就需要配置imagePullSecrets来确保Kubernetes能够访问这些私有镜像

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2231266.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

软件设计师笔记-数据结构

数据结构 数据元素的集合及元素间的相互关系和构造方法。 线性表的存储结构 顺序存储链式存储 单链表节点 typedef struct node { int data; struct node *link; }NODE, *LinkList; 双向链表 每个节点有两个指针&#xff0c;分别指出直接前驱和直接后继。 循环链表 尾…

「Mac畅玩鸿蒙与硬件22」鸿蒙UI组件篇12 - Canvas 组件的动态进阶应用

在鸿蒙应用中,Canvas 组件可以实现丰富的动态效果,适合用于动画和实时更新的场景。本篇将介绍如何在 Canvas 中实现动画循环、动态进度条、旋转和缩放动画,以及性能优化策略。 关键词 Canvas 组件动态绘制动画效果动态进度条旋转和缩放性能优化一、使用定时器实现动画循环 …

通俗易懂的理解递归 回溯 DFS

文章目录 递归概念递归例子1&#xff1a;递归打印链表递归例子2&#xff1a;求n数之和 回溯概念回溯例子1&#xff1a;组合问题 DFS概念DFS例子1&#xff1a;不同路径DFS例子2&#xff1a;岛屿数量总结 递归 概念 “方法自己调用自己&#xff0c;每一次调用都会更加接近递归的…

【AD】1-7 AD24软件扩展插件的设置与安装

1.如图所示打开扩展 2.点击齿轮后&#xff0c;确保离线安装位置关联了软件安装包的路径位置后&#xff0c;进行勾选选择后&#xff0c;点击应用即可安装。 注意&#xff1a;如果位置关联错误&#xff0c;则显示如图

Window on ARM解锁所有的TTS语音包供python调用

Window on ARM解锁所有的TTS语音包供python调用 可用的语音包查看查看TTS可用的语音包解锁语音包设置升级系统打开注册表导出注册表修改注册表导入新的注册表可用的语音包查看 微软的Windows 10操作系统为设备上安装的每种语言提供了一套语音。但只有部分已安装的语音能在整个…

pandas数据处理高级系列003---什么是交叉表(Cross Tabulation)以及pandas如何生成

做ab测试的时候遇到了一个新的知识点&#xff0c;交叉表以及如何用pandas生成交叉表 交叉表&#xff08;Cross Tabulation&#xff09;&#xff0c;也称为列联表&#xff08;Contingency Table&#xff09;&#xff0c;是一种用于统计分析的表格&#xff0c;用于显示两个或多个…

MySQL数据库之存储过程的创建与应用

存储过程 procedure 一.存储过程 作用&#xff1a;将经常使用的功能写成存储过程&#xff0c;方便后续重复使用。 二.创建存储过程 三.调用存储过程 call在计算机中是调用的意思 案例1&#xff1a;查看MySQL用户数 如上图所示&#xff0c;这是查看MySQL数据库中的user个数…

手搓简易shell

1.打印命令行 &#xff0c;接受命令行输入 命令行就是&#xff0c;“[用户名主机名 当前目录]$"获取这些信息都存储在Linux内核中的环境变量中&#xff0c;用getenv()函数取出 #include <stdio.h>2 #include <stdlib.h>3 #include <string.h>4 #include…

多个JDK版本之间的切换

首先电脑上可以同时安装多个版本的 JDK&#xff08;Java Development Kit),因为不同的应用程序可能需要不同 Java 版本的支持,安装多个 JDK 版本并不会导致冲突&#xff0c;只要设置好即可,在不同的情况下切换不同的jdk版本保证程序正常工作 很多程序jdk8 已经不支持,所以下载…

鸿蒙生态下开发挑战-鸿蒙低代码开发工具展望及优势

鸿蒙生态下开发挑战 在鸿蒙生态下开发时&#xff0c;开发者可能会遇到多方面的挑战&#xff0c;这些挑战主要涉及开发工具、技术难度、生态竞争以及市场定位等方面。以下是对这些挑战的详细分析&#xff1a; 一、开发工具不完善 尽管鸿蒙系统的开发工具DevEco Studio在逐步完…

celery在django项目中实现并发任务和定时任务

创建一个django项目 django-admin startproject celeryDemo进入项目目录 cd celeryDemo在你的 Django 项目中&#xff0c;创建一个 celery_.py 文件&#xff0c;通常放在项目的根目录&#xff08;与 settings.py 同级&#xff09;&#xff1a; from __future__ import absol…

ST算法解RMQ问题

题目 代码 #include <bits/stdc.h> using namespace std; const int N 2e510, M 20; int st[N][M]; int n, m; int main() {ios::sync_with_stdio(0);cin.tie(0);cin >> n;for(int i 1; i < n; i)cin >> st[i][0];for(int i 1; (1 << i) < …

国内版Sketchfab平台 - CG美术之家(3D编辑发布篇)

CG美术之家为您提供了一个简便的模型上传流程&#xff0c;让发布您的3D模型变得轻而易举。只需准备好通用的3D模型格式&#xff0c;如OBJ、FBX或STL&#xff0c;您就可以轻松上传并分享您的创作。我们的平台支持在线3D渲染&#xff0c;您只需花费不到一分钟的时间&#xff0c;就…

Rocky Linux 9安装后无法远程ssh密码登录解决

在Rocky Linux 9版本中&#xff0c;为了增加安全性&#xff0c;默认情况下禁用SSH root密码登录。这是系统默认设定的规则&#xff0c;我们同样也可以更改它。   允许Rocky Linux 9 root用户通过ssh登录方法&#xff1a; 1.编辑SSH配置文件 2.找到以下内容 PermitRootLogin …

C语言教程——操作符详解(1)

目录 前言 1.操作符的分类&#xff1a; 2.算数操作符 2.1除法 2.2取模 3.移位操作符 3.1二进制相关知识 3.2左移操作符 3.2.1正数 3.2.2负数 3.2.3结论 3.3右移操作符 4.位操作符 4.1 按位与 4.2按位或 4.3按位异或 ​编辑 5.赋值操作符 6.复合赋值符 7.单目操…

mfc140u.dll丢失怎么办? mfc140u.dll文件缺失的修复技巧

mfc140u.dll 是 Microsoft Foundation Classes (MFC) 库的一部分&#xff0c;它是 Visual Studio 2015 的组件之一&#xff0c;主要服务于使用 C 编写的 Windows 应用程序。这个动态链接库文件包含了 MFC 14.0 Unicode 版本的实现代码&#xff0c;为应用程序提供运行时支持。当…

Golang | Leetcode Golang题解之第520题检测大写字母

题目&#xff1a; 题解&#xff1a; func detectCapitalUse(word string) bool {// 若第 1 个字母为小写&#xff0c;则需额外判断第 2 个字母是否为小写if len(word) > 2 && unicode.IsLower(rune(word[0])) && unicode.IsUpper(rune(word[1])) {return f…

专题九——哈希表

目录 0简介 1两数之和 2判定是否互为字符重排 3存在重复元素 4存在重复元素 II 5字母异位词分组 0简介 1两数之和 oj链接&#xff1a;两数之和 解法1 class Solution { public:vector<int> twoSum(vector<int>& nums, int target) {int nnums.size()…

unet中的attn_processor的修改(用于设计新的注意力模块)

参考资料 文章目录 unet中的一些变量的数据情况attn_processorunet.configunet_sd 自己定义自己的attn Processor &#xff0c;对原始的attn Processor进行修改 IP-adapter中设置attn的方法 参考的代码&#xff1a; 腾讯ailabipadapter 的官方训练代码 unet中的一些变量的数据…