【k8s】k8s存储配置之Secret

2024-01-08 11:32
文章标签 云原生 k8s secret 存储配置

本文主要是介绍【k8s】k8s存储配置之Secret,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

一、Secret

01_Secret简介

Secret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 将这些信息放在 secret 中比放在 Pod 的定义或者 容器镜像 中来说更加安全和灵活。 这样的信息可能会被放在 Pod 规约中或者镜像中。 用户可以创建 Secret,同时系统也创建了一些 Secret。

Kubernetes Secret 默认情况下存储为 base64-编码的、非加密的字符串。 默认情况下,能够访问 API 的任何人,或者能够访问 Kubernetes 下层数据存储(etcd) 的任何人都可以以明文形式读取这些数据。

Pod 可以用三种方式之一来使用 Secret:

  • 作为挂载到一个或多个容器上的 卷 中的文件。
  • 作为容器的环境变量
  • 由 kubelet 在为 Pod 拉取镜像时使用

data 和 stringData 字段都是可选的,data 字段中所有键值都必须是 base64 编码的字符串

1.2 Secret类型

  • Secret 资源的 type 字段
  • 类型默认为 Opaque
    在这里插入图片描述

二、创建 Opaque 类型的Secret

创建Secret官方文档

Opaque Secret其value为base64加密后的值
在这里插入图片描述

01_通过命令创建

在定义密码信息时,如果密码有特殊字符,则需要使用 \ 转义符对其进行转义,比如原密码为A!B\C*D则需要以下方式创建(–from-literal表示通过字符创建)

--from-literal=username=devuser --from-literal=password=A\!B\\C\*D
  • 创建用户名及密码文件
    mkdir secret
    cd secret/
    echo 'admin' > username.txt
    echo 'westos' > passwd.txt
  • 创建secret

kubectl create secret generic my-secret --from-file=username.txt --from-file=passwd.txt
generic:表示通用
my-secret:secret的名称
–from-file=:表示从文件中创建

  • 查询详细信息时看不到明文,只能看到被加密过的
    在这里插入图片描述

02_通过yaml文件创建Secret

  • 先将字符串转换为 base64
    echo -n 'admin' | base64
    echo -n 'westos' | base64
  • 编写yml文件

vim mysecret.yml

apiVersion: v1
kind: Secret
metadata:name: mysecret
type: Opaque
data:username: YWRtaW4=password: d2VzdG9z
  • 创建secret
    kubectl apply -f mysecret.yml
    在这里插入图片描述

03_将Secret挂载到Volume中

示例1:

编写yml文件创建pod,key与value都被挂载到pod中

vim pod1.yml

apiVersion: v1
kind: Pod
metadata:name: mysecret-pod
spec:containers:- name: demoimage: myapp:v1volumeMounts:- name: secretsmountPath: "/secret" # 挂载路径readOnly: truevolumes:- name: secretssecret:secretName: mysecret # 指定secret为依据创建好的

kubectl apply -f pod1.yml
在这里插入图片描述
示例2: 编写yml文件,将指定的key挂载到pod中

vim pod1.yml

apiVersion: v1
kind: Pod
metadata:name: mysecret-pod
spec:containers:- name: demoimage: myapp:v1volumeMounts:- name: secretsmountPath: "/secret"readOnly: truevolumes:- name: secretssecret:secretName: mysecretitems:- key: usernamepath: my-group/my-username
# path为相对路径
# 绝对路径为/secret/my-group/my-username

在这里插入图片描述
在这里插入图片描述
04_将Secret设置为环境变量

  • 环境变量读取Secret很方便,但无法支撑Secret动态更新

vim pod2.yml

apiVersion: v1
kind: Pod
metadata:name: secret-env
spec:containers:- name: nginximage: myapp:v1env:- name: SECRET_USERNAMEvalueFrom:secretKeyRef:name: mysecretkey: username- name: SECRET_PASSWORDvalueFrom:secretKeyRef:name: mysecretkey: password

在这里插入图片描述

三、创建 kubernetes.io/dockerconfigjson 类型

  • 用以存放访问 Docker 仓库 来下载镜像的凭据。
  • 类型 kubernetes.io/dockerconfigjson 被设计用来保存 JSON 数据的序列化形式, 该 JSON 也遵从
    ~/.docker/config.json 文件的格式规则,而后者是 ~/.dockercfg 的新版本格式。 使用此 Secret类型时,Secret 对象的 data 字段必须包含 .dockerconfigjson 键,其键值为 base64 编码的字符串包含 ~/.docker/config.json 文件的内容

创建一个类型为 kubernetes.io/dockerconfigjson 的 Secret

kubectl create secret docker-registry myregistrykey \--docker-server=reg.westos.org \--docker-username=admin \--docker-password=westos \--docker-email=963216757@qq.com

--docker-server:仓库服务器的地址
--docker-username:仓库认证用户
--docker-password:密码
--docker-email:出现问题会发信息到此邮箱
  • 查询信息,会产生一个 .dockerconfigjson 文件
    kubectl describe secrets myregistrykey
    在这里插入图片描述
  • 测试:设置一个只有该仓库私有的镜像,创建pod,若能运行成功,则认证成功
    vim pod3.yml
apiVersion: v1
kind: Pod
metadata:name: mypod
spec:containers:- name: game2048image: zy.westos.org/westos/game2048imagePullSecrets:- name: myregistrykey # secret名
  • 测试:发现mypod状态为Running,拉取私有仓库的镜像成功!!
    在这里插入图片描述
    kubectl describe pod mypod
    在这里插入图片描述

这篇关于【k8s】k8s存储配置之Secret的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/583312

相关文章

k8s按需创建PV和使用PVC详解

k8s按需创建PV和使用PVC详解

《k8s按需创建PV和使用PVC详解》Kubernetes中,PV和PVC用于管理持久存储,StorageClass实现动态PV分配,PVC声明存储需求并绑定PV,通过kubectl验证状态,注意回收... 目录1.按需创建 PV(使用 StorageClass)创建 StorageClass2.创建 PV
阅读更多...
k8s中实现mysql主备过程详解

k8s中实现mysql主备过程详解

《k8s中实现mysql主备过程详解》文章讲解了在K8s中使用StatefulSet部署MySQL主备架构,包含NFS安装、storageClass配置、MySQL部署及同步检查步骤,确保主备数据一致... 目录一、k8s中实现mysql主备1.1 环境信息1.2 部署nfs-provisioner1.2.
阅读更多...
k8s admin用户生成token方式

k8s admin用户生成token方式

《k8sadmin用户生成token方式》用户使用Kubernetes1.28创建admin命名空间并部署,通过ClusterRoleBinding为jenkins用户授权集群级权限,生成并获取其t... 目录k8s admin用户生成token创建一个admin的命名空间查看k8s namespace 的
阅读更多...
k8s搭建nfs共享存储实践

k8s搭建nfs共享存储实践

《k8s搭建nfs共享存储实践》本文介绍NFS服务端搭建与客户端配置,涵盖安装工具、目录设置及服务启动,随后讲解K8S中NFS动态存储部署,包括创建命名空间、ServiceAccount、RBAC权限... 目录1. NFS搭建1.1 部署NFS服务端1.1.1 下载nfs-utils和rpcbind1.1
阅读更多...
k8s容器放开锁内存限制问题

k8s容器放开锁内存限制问题

《k8s容器放开锁内存限制问题》nccl-test容器运行mpirun时因NCCL_BUFFSIZE过大导致OOM,需通过修改docker服务配置文件,将LimitMEMLOCK设为infinity并... 目录问题问题确认放开容器max locked memory限制总结参考:https://Access
阅读更多...
k8s上运行的mysql、mariadb数据库的备份记录(支持x86和arm两种架构)

k8s上运行的mysql、mariadb数据库的备份记录(支持x86和arm两种架构)

《k8s上运行的mysql、mariadb数据库的备份记录(支持x86和arm两种架构)》本文记录在K8s上运行的MySQL/MariaDB备份方案,通过工具容器执行mysqldump,结合定时任务实... 目录前言一、获取需要备份的数据库的信息二、备份步骤1.准备工作(X86)1.准备工作(arm)2.手
阅读更多...
k8s部署MongDB全过程

k8s部署MongDB全过程

《k8s部署MongDB全过程》文章介绍了如何在Kubernetes集群中部署MongoDB,包括环境准备、创建Secret、创建服务和Deployment,并通过Robo3T工具测试连接... 目录一、环境准备1.1 环境说明1.2 创建 namespace1.3 创建mongdb账号/密码二、创建Sec
阅读更多...
centos7基于keepalived+nginx部署k8s1.26.0高可用集群

centos7基于keepalived+nginx部署k8s1.26.0高可用集群

《centos7基于keepalived+nginx部署k8s1.26.0高可用集群》Kubernetes是一个开源的容器编排平台,用于自动化地部署、扩展和管理容器化应用程序,在生产环境中,为了确保集... 目录一、初始化(所有节点都执行)二、安装containerd(所有节点都执行)三、安装docker-
阅读更多...
90、k8s之secret+configMap

90、k8s之secret+configMap

一、secret配置管理 配置管理: 加密配置:保存密码,token,其他敏感信息的k8s资源 应用配置:我们需要定制化的给应用进行配置,我们需要把定制好的配置文件同步到pod当中容器 1.1、加密配置: secret: [root@master01 ~]# kubectl get secrets ##查看加密配置[root@master01 ~]# kubectl get se
阅读更多...
K8S(Kubernetes)开源的容器编排平台安装步骤详解

K8S(Kubernetes)开源的容器编排平台安装步骤详解

K8S(Kubernetes)是一个开源的容器编排平台,用于自动化部署、扩展和管理容器化应用程序。以下是K8S容器编排平台的安装步骤、使用方式及特点的概述: 安装步骤: 安装Docker:K8S需要基于Docker来运行容器化应用程序。首先要在所有节点上安装Docker引擎。 安装Kubernetes Master:在集群中选择一台主机作为Master节点,安装K8S的控制平面组件,如AP
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2