https://www.kubernetes.org.cn/secret

secret 主要解决密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中

Secret可以以Volume或者环境变量的方式使用(共两种方式)

Secret有三种类型:

  • Service Account:用来访问Kubernetes API,由Kubernetes自动创建,并且会自动挂载到Pod的/run/secrets/kubernetes.io/serviceaccount目录中;
  • Opaque:base64编码格式的Secret,用来存储密码、密钥等;
  • kubernetes.io/dockerconfigjson:用来存储私有docker registry的认证信息;

实验 (Opaque)

第一步:加密用户及密码

╭─root@node1 ~

╰─➤  echo "123" | base64

MTIzCg==

╭─root@node1 ~

╰─➤  echo "node1" | base64

bm9kZTEK

第二步:编写secret的yml文件

apiVersion: v1

kind: Secret

metadata:

   name: mysecret

data:

   hostname: bm9kZTEK

   password: MTIzCg==

第三步:执行secret文件

╭─root@node1 ~

╰─➤  kubectl apply -f secret.yml

secret/mysecret created

第四步:查看

╭─root@node1 ~

╰─➤  kubectl get secret

NAME                  TYPE                                  DATA   AGE

default-token-ngn4n   kubernetes.io/service-account-token   3      10d

mysecret              Opaque                                2      2m4s

╭─root@node1 ~

╰─➤  kubectl describe secret mysecret

Name:         mysecret

Namespace:    default

Labels:       <none>

Annotations:

Type:         Opaque

Data

====

hostname:  6 bytes

password:  4 bytes

第五步:获取加密数据

╭─root@node1 ~

╰─➤  kubectl edit secret mysecret

# Please edit the object below. Lines beginning with a '#' will be ignored,

# and an empty file will abort the edit. If an error occurs while saving this file will be

# reopened with the relevant failures.

#

apiVersion: v1

data:

  hostname: bm9kZTEK    # 加密数据

  password: MTIzCg==    # 加密数据

kind: Secret

metadata:

  annotations:

    kubectl.kubernetes.io/last-applied-configuration: |

      {"apiVersion":"v1","data":{"hostname":"bm9kZTEK","password":"MTIzCg=="},"kind":"Secret","metadata":{"annotations":{},"name":"mysecret","namespace":"default"}}

  creationTimestamp: "2019-08-30T08:00:24Z"

  name: mysecret

  namespace: default

  resourceVersion: "244709"

  selfLink: /api/v1/namespaces/default/secrets/mysecret

  uid: f8a21f4c-18ce-4b13-814a-c20ee5efbe23

type: Opaque

第六步:解码

╭─root@node1 ~

╰─➤  echo "MTIzCg==" | base64 --decode

123

╭─root@node1 ~

╰─➤  echo "bm9kZTEK" | base64 --decode

node1

使用secret

以volume的形式挂载到pod

第一步:编写pod的yml文件

apiVersion: v1

kind: Pod

metadata:

   name: pod-secret

spec:

   containers:

   - name: busybox

     image: busybox

     imagePullPolicy: IfNotPresent

     command: ["/bin/sh","-c","touch test;sleep 60000"]

     volumeMounts:

     - name: du

       mountPath: /tmp

   volumes:

   - name: du

     secret:

        secretName: mysecret

第二步:执行

╭─root@node1 ~

╰─➤  kubectl apply -f busybox-secret.yml

pod/pod-secret created

第三步:进入pod查看

╭─root@node1 ~

╰─➤  kubectl exec -it pod-secret /bin/sh

/ # ls

bin   dev   etc   home  proc  root  sys   test  tmp   usr   var

/ # cd tmp

/tmp # ls

hostname  password

/tmp # cat hostname

node1

/tmp # cat password

123

/tmp #

第四步:动态更新密码

1、生成新密码

╭─root@node1 ~

╰─➤  echo 1234 | base64

MTIzNAo=

2、修改secret文件

apiVersion: v1

kind: Secret

metadata:

   name: mysecret

data:

   hostname: bm9kZTEK

   password: MTIzNAo=

3、重新执行secret的yml文件

╭─root@node1 ~

╰─➤  kubectl apply -f secret.yml

secret/mysecret configured

第五步:查看密码

╭─root@node1 ~

╰─➤  kubectl exec -it pod-secret /bin/sh

/ # cd tmp

/tmp # ls

hostname  password

/tmp # cat password

1234

以环境变量的方式使用secret

第一步:编写yml文件

apiVersion: v1

kind: Pod

metadata:

   name: pod-mysql

spec:

   containers:

   - name: mysql

     image: mysql

     imagePullPolicy: IfNotPresent

     env:

     - name: MYSQL_ROOT_PASSWORD

       valueFrom:

          secretKeyRef:

            name: mysecret

            key: password

第二步:执行

╭─root@node1 ~

╰─➤  kubectl apply -f mysql-secret.yml

pod/pod-mysql created

第三步:查看

╭─root@node1 ~

╰─➤  kubectl get pod

NAME        READY   STATUS    RESTARTS   AGE

pod-mysql   1/1     Running   0          8s

╭─root@node1 ~

╰─➤  kubectl exec -it pod-mysql bash

root@pod-mysql:/# env

...

MYSQL_ROOT_PASSWORD=1234

...

root@pod-mysql:/#

Kubernetes -- secret (敏感数据管理)的更多相关文章

  1. Kubernetes Secret(机密存储)

    Kubernetes Secret(机密存储) 官方文档:https://kubernetes.io/docs/concepts/configuration/secret/ 加密数据并存放Etcd中, ...

  2. 【kubernetes secret 和 aws ecr helper】kubernetes从docker拉取image,kubernetes docker私服认证(argo docker私服认证),no basic auth credentials错误解决

    aws ecr helper: https://aws.amazon.com/blogs/compute/authenticating-amazon-ecr-repositories-for-dock ...

  3. kubernetes secret 和 serviceaccount删除

    背景 今天通过配置创建了一个serviceaccounts和secret,后面由于某种原因想再次创建发现已存在一个serviceaccounts和rolebindings.rbac.authoriza ...

  4. 【k8s secret token 删掉自动重建】kubernetes secret 和 serviceaccount

    https://stackoverflow.com/questions/54354243/kubernetes-secret-is-persisting-through-deletes

  5. kubernetes Configmap secret的使用

    kubernetes configmap 核心作用是让配置信息和镜像解耦,pod可以使用configmap的数据生成配置文件.如果后端的pod配置文件要改变时,只需要更改下configmap里面的数据 ...

  6. Kubernetes 存储系统 Storage 介绍:PV,PVC,SC

    要求:先了解数据docker容器中数据卷的挂载等知识 参考网址: https://www.cnblogs.com/sanduzxcvbnm/p/13176938.html https://www.cn ...

  7. Kubernetes 配置管理

    ConfigMap(可变配置管理) 对于应用的可变配置在 Kubernetes 中是通过一个 ConfigMap 资源对象来实现的,我们知道许多应用经常会有从配置文件.命令行参数或者环境变量中读取一些 ...

  8. Secret概述

    Secret 概述 Kubernetes Secret 对象可以用来储存敏感信息,例如:密码.OAuth token.ssh 密钥等.如果不使用 Secret,此类信息可能被放置在 Pod 定义中或者 ...

  9. 在Kubernetes中部署GlusterFS+Heketi

    目录 简介 Gluster-Kubernetes 部署 环境准备 下载相关文件 部署glusterfs 部署heketi server端 配置heketi client 简介 在上一篇<独立部署 ...

随机推荐

  1. 在Docker下进行MyCAT管理双主双从MySQL集群

    前言 在Docker下双主双从MySQL集群模拟 https://www.cnblogs.com/yumq/p/14259964.html 本文实验配置文件 Docker拉取MyCAT镜像 如果没启动 ...

  2. 【Git】命令行操作

    Git 命令行操作 1 本地库初始化 git init:初始化本地仓库 效果 注意:.git目录中存放的是本地库相关的子目录和文件,不要删除,也不要胡乱修改. 2 设置签名 形式: 用户名:tom E ...

  3. 【Java基础】Java10 新特性

    Java10 新特性 局部变量类型推断 局部变量的显示类型声明,常常被认为是不必须的. 场景一:类实例化时.在声明一个变量时,总是习惯了敲打两次变量类型,第一次用于声明变量类型,第二次用于构造器. 场 ...

  4. 静默(命令行)安装oracle 11g

    CentOS 6 静默安装oracle 11g 我参考的这个,他非常详细:https://blog.csdn.net/JIANG123456T/article/details/77745892 我只是 ...

  5. 在CentOS上安装Singularity高性能容器

    什么是singularity容器 Singularity是劳伦斯伯克利国家实验室专门为大规模.跨节点HPC和DL工作负载而开发的容器化技术.具备轻量级.快速部署.方便迁移等诸多优势,且支持从Docke ...

  6. 跟我一起学Redis之加个哨兵让主从复制更加高可用

    前言 主从复制的实现在上一篇已经分享过,虽然主从复制本身的确让读写分离更加高效,但是对于整体高可用存在很大的劣势:当主节点宕机了之后还需要人为重新进行主从关系配置:这不是开玩笑嘛,这样人为干预,故障恢 ...

  7. Java安全之Weblogic 2018-3248分析

    Java安全之Weblogic 2018-3248分析 0x00 前言 基于前面的分析,后面的还是主要看补丁的绕过方式,这里就来简单的记录一下. 0x01 补丁分析 先来看看补丁细节 private ...

  8. Junit测试和反射

    Junit单元测试 测试分类 黑盒测试:不需要写代码,给输入值,看程序能否得到输出期望值. 白盒测试:需要些代码,关注程序具体的执行流程. Junit的使用 步骤 定义一个测试类(测试用例). 定义测 ...

  9. Java并发包源码学习系列:阻塞队列BlockingQueue及实现原理分析

    目录 本篇要点 什么是阻塞队列 阻塞队列提供的方法 阻塞队列的七种实现 TransferQueue和BlockingQueue的区别 1.ArrayBlockingQueue 2.LinkedBloc ...

  10. Oracle 常用命令大全(持续更新)

    数据库 ----数据库启动 & 关闭 启动数据库 SQL> startup nomount; SQL> alter database mount; SQL> alter da ...