https://www.kubernetes.org.cn/secret

secret 主要解决密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中

Secret可以以Volume或者环境变量的方式使用(共两种方式)

Secret有三种类型:

  • Service Account:用来访问Kubernetes API,由Kubernetes自动创建,并且会自动挂载到Pod的/run/secrets/kubernetes.io/serviceaccount目录中;
  • Opaque:base64编码格式的Secret,用来存储密码、密钥等;
  • kubernetes.io/dockerconfigjson:用来存储私有docker registry的认证信息;

实验 (Opaque)

第一步:加密用户及密码

╭─root@node1 ~

╰─➤  echo "123" | base64

MTIzCg==

╭─root@node1 ~

╰─➤  echo "node1" | base64

bm9kZTEK

第二步:编写secret的yml文件

apiVersion: v1

kind: Secret

metadata:

   name: mysecret

data:

   hostname: bm9kZTEK

   password: MTIzCg==

第三步:执行secret文件

╭─root@node1 ~

╰─➤  kubectl apply -f secret.yml

secret/mysecret created

第四步:查看

╭─root@node1 ~

╰─➤  kubectl get secret

NAME                  TYPE                                  DATA   AGE

default-token-ngn4n   kubernetes.io/service-account-token   3      10d

mysecret              Opaque                                2      2m4s

╭─root@node1 ~

╰─➤  kubectl describe secret mysecret

Name:         mysecret

Namespace:    default

Labels:       <none>

Annotations:

Type:         Opaque

Data

====

hostname:  6 bytes

password:  4 bytes

第五步:获取加密数据

╭─root@node1 ~

╰─➤  kubectl edit secret mysecret

# Please edit the object below. Lines beginning with a '#' will be ignored,

# and an empty file will abort the edit. If an error occurs while saving this file will be

# reopened with the relevant failures.

#

apiVersion: v1

data:

  hostname: bm9kZTEK    # 加密数据

  password: MTIzCg==    # 加密数据

kind: Secret

metadata:

  annotations:

    kubectl.kubernetes.io/last-applied-configuration: |

      {"apiVersion":"v1","data":{"hostname":"bm9kZTEK","password":"MTIzCg=="},"kind":"Secret","metadata":{"annotations":{},"name":"mysecret","namespace":"default"}}

  creationTimestamp: "2019-08-30T08:00:24Z"

  name: mysecret

  namespace: default

  resourceVersion: "244709"

  selfLink: /api/v1/namespaces/default/secrets/mysecret

  uid: f8a21f4c-18ce-4b13-814a-c20ee5efbe23

type: Opaque

第六步:解码

╭─root@node1 ~

╰─➤  echo "MTIzCg==" | base64 --decode

123

╭─root@node1 ~

╰─➤  echo "bm9kZTEK" | base64 --decode

node1

使用secret

以volume的形式挂载到pod

第一步:编写pod的yml文件

apiVersion: v1

kind: Pod

metadata:

   name: pod-secret

spec:

   containers:

   - name: busybox

     image: busybox

     imagePullPolicy: IfNotPresent

     command: ["/bin/sh","-c","touch test;sleep 60000"]

     volumeMounts:

     - name: du

       mountPath: /tmp

   volumes:

   - name: du

     secret:

        secretName: mysecret

第二步:执行

╭─root@node1 ~

╰─➤  kubectl apply -f busybox-secret.yml

pod/pod-secret created

第三步:进入pod查看

╭─root@node1 ~

╰─➤  kubectl exec -it pod-secret /bin/sh

/ # ls

bin   dev   etc   home  proc  root  sys   test  tmp   usr   var

/ # cd tmp

/tmp # ls

hostname  password

/tmp # cat hostname

node1

/tmp # cat password

123

/tmp #

第四步:动态更新密码

1、生成新密码

╭─root@node1 ~

╰─➤  echo 1234 | base64

MTIzNAo=

2、修改secret文件

apiVersion: v1

kind: Secret

metadata:

   name: mysecret

data:

   hostname: bm9kZTEK

   password: MTIzNAo=

3、重新执行secret的yml文件

╭─root@node1 ~

╰─➤  kubectl apply -f secret.yml

secret/mysecret configured

第五步:查看密码

╭─root@node1 ~

╰─➤  kubectl exec -it pod-secret /bin/sh

/ # cd tmp

/tmp # ls

hostname  password

/tmp # cat password

1234

以环境变量的方式使用secret

第一步:编写yml文件

apiVersion: v1

kind: Pod

metadata:

   name: pod-mysql

spec:

   containers:

   - name: mysql

     image: mysql

     imagePullPolicy: IfNotPresent

     env:

     - name: MYSQL_ROOT_PASSWORD

       valueFrom:

          secretKeyRef:

            name: mysecret

            key: password

第二步:执行

╭─root@node1 ~

╰─➤  kubectl apply -f mysql-secret.yml

pod/pod-mysql created

第三步:查看

╭─root@node1 ~

╰─➤  kubectl get pod

NAME        READY   STATUS    RESTARTS   AGE

pod-mysql   1/1     Running   0          8s

╭─root@node1 ~

╰─➤  kubectl exec -it pod-mysql bash

root@pod-mysql:/# env

...

MYSQL_ROOT_PASSWORD=1234

...

root@pod-mysql:/#

Kubernetes -- secret (敏感数据管理)的更多相关文章

  1. Kubernetes Secret(机密存储)

    Kubernetes Secret(机密存储) 官方文档:https://kubernetes.io/docs/concepts/configuration/secret/ 加密数据并存放Etcd中, ...

  2. 【kubernetes secret 和 aws ecr helper】kubernetes从docker拉取image,kubernetes docker私服认证(argo docker私服认证),no basic auth credentials错误解决

    aws ecr helper: https://aws.amazon.com/blogs/compute/authenticating-amazon-ecr-repositories-for-dock ...

  3. kubernetes secret 和 serviceaccount删除

    背景 今天通过配置创建了一个serviceaccounts和secret,后面由于某种原因想再次创建发现已存在一个serviceaccounts和rolebindings.rbac.authoriza ...

  4. 【k8s secret token 删掉自动重建】kubernetes secret 和 serviceaccount

    https://stackoverflow.com/questions/54354243/kubernetes-secret-is-persisting-through-deletes

  5. kubernetes Configmap secret的使用

    kubernetes configmap 核心作用是让配置信息和镜像解耦,pod可以使用configmap的数据生成配置文件.如果后端的pod配置文件要改变时,只需要更改下configmap里面的数据 ...

  6. Kubernetes 存储系统 Storage 介绍:PV,PVC,SC

    要求:先了解数据docker容器中数据卷的挂载等知识 参考网址: https://www.cnblogs.com/sanduzxcvbnm/p/13176938.html https://www.cn ...

  7. Kubernetes 配置管理

    ConfigMap(可变配置管理) 对于应用的可变配置在 Kubernetes 中是通过一个 ConfigMap 资源对象来实现的,我们知道许多应用经常会有从配置文件.命令行参数或者环境变量中读取一些 ...

  8. Secret概述

    Secret 概述 Kubernetes Secret 对象可以用来储存敏感信息,例如:密码.OAuth token.ssh 密钥等.如果不使用 Secret,此类信息可能被放置在 Pod 定义中或者 ...

  9. 在Kubernetes中部署GlusterFS+Heketi

    目录 简介 Gluster-Kubernetes 部署 环境准备 下载相关文件 部署glusterfs 部署heketi server端 配置heketi client 简介 在上一篇<独立部署 ...

随机推荐

  1. HystrixRequestContext实现Request级别的上下文

    一.简介 在微服务架构中,我们会有这样的需求,A服务调用B服务,B服务调用C服务,ABC服务都需要用到当前用户上下文信息(userId.orgId等),那么如何实现呢? 方案一: 拦截器加上Threa ...

  2. 入门oj 5499: 讲话模式

    Description 每个人说话都有口头禅,现给出一个字符串,请求出其中出现次数最多的单词(不区分大小写). Input 输入一行,长度小于等于1048576的字符串输入至少包含一个字母或数字 Ou ...

  3. 通过python的socket库实现简易即时通讯小程序

    前言 最近学习了一下有关tcp协议和socket有关的知识,看到许多socket实战都喜欢教如何做一个聊天程序,于是想着试试能不能不看教程自己写一个.当然我没太多时间做一个像qq一样的ui界面,所以做 ...

  4. 多线程应用之调用start()方法和run()方法的区别

    今天在做项目的时候,遇到一个问题,两个一模一样的demo,运行出来的效果却一点也不一样,找了半天,就是有一行代码不同,一个是thread.start();一个是thread.run();和我预计的一样 ...

  5. kafka的概念

    1.生产者: 生产者发送消息到broker,有三种确认方式(request.required.acks)acks = 0: producer不会等待broker(leader)发送ack .因为发送消 ...

  6. 如何快速搭建hadoop集群

    安装好虚拟机,重命名为master 配置网卡 命令:vi /etc/sysconfig/network-scripts/ifcfg-en(按tab键) 这里要配置ip,网关,域名解析 例如我的 IPA ...

  7. phpstorm 注册码破解

    激活码1 812LFWMRSH-eyJsaWNlbnNlSWQiOiI4MTJMRldNUlNIIiwibGljZW5zZWVOYW1lIjoi5q2j54mIIOaOiOadgyIsImFzc2ln ...

  8. JAVA开发手册-Markdown

    前言 前 言 <Java 开发手册>是技术团队的集体智慧结晶和经验总结,经历了多次大规模一线实战的检验及不断完善.现代软件行业的高速发展对开发者的综合素质要求越来越高,因为不仅是编程知识点 ...

  9. 【EXP】exp-00091解决办法

    如果遇到exp的话一般都是因为字符集的问题 解决办法: 1.在oracle中查看数据库的字符集 SQL> select userenv('language') from dual; USEREN ...

  10. Jmeter(三十六) - 从入门到精通进阶篇 - 设置负载阶梯式压测场景(详解教程)

    1.简介 在性能测试中,有时需要模拟一种实际生产中经常出现的情况,即:从某个值开始不断增加压力,直至达到某个值,然后持续运行一段时间,然后继续加压达到某个值持续运行,如此循环直到达到预期的峰值,运行一 ...