系列目录

Secrets是Kubernetes中一种对象类型,用来保存密码、私钥、口令等敏感信息。与直接将敏感信息嵌入image、pod相比,Secrets更安全、更灵活,用户对敏感信息的控制力更强。同Docker对敏感信息的管理类似,首先用户创建Secrets将敏感信息加密后保存在集群中,创建pod时通过volume、环境变量引用Secrets。

创建Secrets

假设pod需要访问数据库。首先将用户名保存在文件./username.txt,将密码保存在./password.txt文件:

# Create files needed for rest of example.

$ echo -n 'admin' > ./username.txt

$ echo -n '1f2d1e2e67df' > ./password.txt

将两个文件作为参数运行如下命令创建Secret,此时敏感数据被保存在系统中:

$ kubectl create secret generic db-user-pass --from-file=./username.txt --from-file=./password.txt

secret "db-user-pass" created

用Secret名称查看创建Secret:

$ kubectl get secrets

NAME                  TYPE                                  DATA      AGE

db-user-pass          Opaque                                2         51s

$ kubectl describe secrets/db-user-pass

Name:            db-user-pass

Namespace:       default

Labels:          <none>

Annotations:     <none>

Type:            Opaque

Data

====

password.txt:    12 bytes

username.txt:    5 bytes

以上通过命令行创建Secret,需要首先将敏感内容保存在文件中,文件名作为Secret中单条条目的key。另外一种创建Secret的方法是声明对象。敏感信息可能包含任何控制字符、不可显示字符等,首先进行base64编码:

$ echo -n 'admin' | base64

YWRtaW4=

$ echo -n '1f2d1e2e67df' | base64

MWYyZDFlMmU2N2Rm

然后像下边这样声明Secret对象:

apiVersion: v1

kind: Secret

metadata:

  name: mysecret

type: Opaque

data:

  username: YWRtaW4=

  password: MWYyZDFlMmU2N2Rm

Kubernetes用map存储Secret中的data数据部分,合法的key由字母、数字、’-‘、’_’、’.’组成,value可以是任何值,但要base64编码。运行如下命令创建Secret:

通过如下方法查看Secret中key所对应的值,首先运行如下命令:

$ kubectl get secret mysecret -o yaml

apiVersion: v1

data:

  username: YWRtaW4=

  password: MWYyZDFlMmU2N2Rm

kind: Secret

metadata:

  creationTimestamp: 2016-01-22T18:41:56Z

  name: mysecret

  namespace: default

  resourceVersion: "164619"

  selfLink: /api/v1/namespaces/default/secrets/mysecret

  uid: cfee02d6-c137-11e5-8d73-42010af00002

type: Opaque

运行如下命令base64解码:

$ echo 'MWYyZDFlMmU2N2Rm' | base64 --decode

1f2d1e2e67df

使用Secrets

Pod使用Secret的两种方法:volume与环境变量。

通过volume使用Secret基于流程:

创建或者使用已存Secret,同一Secret可被多个pod引用。

修改pod定义,在.spec.volumes[]下增加新volume,名称随意。在相应的.spec.volumes[].secret.secretName指定Secret名称。

为使用Secret的容器添加.spec.containers[].volumeMounts[],同时指定.spec.containers[].volumeMounts[].readOnly = true。指定.spec.containers[].volumeMounts[].mountPath为未使用的目录名称。

在容器的image中,通过指定的目录与Secret中的key访问敏感内容。

apiVersion: v1

kind: Pod

metadata:

  name: mypod

spec:

  containers:

  - name: mypod

    image: redis

    volumeMounts:

    - name: foo

      mountPath: "/etc/foo"

      readOnly: true

  volumes:

  - name: foo

    secret:

      secretName: mysecret

如果需要引用多个Secret,需要为每个Secret在.spec.volumes[]添加相应的条目。如果单个容器需要引用多个Secret,则在.spec.containers[].volumeMounts[]中为每个Secret添加Mount。可以将多个文件添加到一个Secret中,或者为每个文件创建Secret。

默认情况下Secret中的所有key被映射到相同目录下,可以通过 .spec.volumes[].secret.items为key设定映射目录:

apiVersion: v1

kind: Pod

metadata:

  name: mypod

spec:

  containers:

  - name: mypod

    image: redis

    volumeMounts:

    - name: foo

      mountPath: "/etc/foo"

      readOnly: true

  volumes:

  - name: foo

    secret:

      secretName: mysecret

      items:

      - key: username

        path: my-group/my-username

以上配置导致的结果为username被映射到/etc/foo/my-group/my-username,而非默认的/etc/foo/username,并且password未被映射。 如果不使用.spec.volumes[].secret.items,Secret中所有key被映射到默认目录,如果在.spec.volumes[].secret.items指定了key与特定的映射目录,则只映射列出的key。如果打算使用.spec.volumes[].secret.items并且映射所有Secret的key,那么需要列出Secret中所有key。

可以在.spec.volumes[].secret.defaultMode中为Secret指定Permission,如果需要进一步在.spec.volumes[].secret.items[].mode为每个key单独指定permission。如果没有指定permission,默认为0644。示例如下:

apiVersion: v1

kind: Pod

metadata:

  name: mypod

spec:

  containers:

  - name: mypod

    image: redis

    volumeMounts:

    - name: foo

      mountPath: "/etc/foo"

  volumes:

  - name: foo

    secret:

      secretName: mysecret

      defaultMode: 256

上例中的256等于8进制的0400,在json\yaml配置文件中不可以使用八进制表示数字。单位为key指定permission:

apiVersion: v1

kind: Pod

metadata:

  name: mypod

spec:

  containers:

  - name: mypod

    image: redis

    volumeMounts:

    - name: foo

      mountPath: "/etc/foo"

  volumes:

  - name: foo

    secret:

      secretName: mysecret

      items:

      - key: username

        path: my-group/my-username

        mode: 511

当通过Secret通过volume形式被使用时,其中的key如果发生变更的话,由kubelet自动周期性监控变更并为pod更新,但是注意此特性并非实时,存在延迟。

通过环境使用Secret流程:

创建或者使用已存在Secrets,一个Secret可以被多个pod使用。

修改pod声明中使用Secret的容器配置,为其添加环境变量env[].valueFrom.secretKeyRef,每条key对应一个环境变量。

在容器的image中通过引用环境变量使用敏感数据。

示例:

apiVersion: v1

kind: Pod

metadata:

  name: secret-env-pod

spec:

  containers:

  - name: mycontainer

    image: redis

    env:

      - name: SECRET_USERNAME

        valueFrom:

          secretKeyRef:

            name: mysecret

            key: username

      - name: SECRET_PASSWORD

        valueFrom:

          secretKeyRef:

            name: mysecret

            key: password

  restartPolicy: Never

Secrets限制条件

  • 创建Pod时需要对其使用的Secret进行有效性检查,因此Secrets要先于pod创建。

  • Secrets寄居于namespace之下,只有处于同一namespace下的pod可以引用

  • 单个Secret的size不能超过1M,防止Secrets占用太多内存引起apiServer性能恶化。但过多的Secrets仍然会占用大量的内在,关于限制所有Secrets占用内存的特性正在计划中。

  • kubelet在不经过apiServer、控制器创建pod,如–manifest-url、–config时不能使用Secrets。

  • 如果在创建pod时Secret不存在或者key不存在,pod不能启动。通过环境变量引用Secret时,如果envFrom中指定的key的名称不合法,pod仍然能启动但会触发相应错误事件,如:

$ kubectl get events

LASTSEEN   FIRSTSEEN   COUNT     NAME            KIND      SUBOBJECT                         TYPE      REASON

0s         0s          1         dapi-test-pod   Pod                                         Warning   InvalidEnvironmentVariableNames   kubelet, 127.0.0.1      Keys [1badkey, 2alsobad] from the EnvFrom secret default/mysecret were skipped since they are considered invalid environment variable names.

kubernetes对象之secrets的更多相关文章

  1. Kubernetes对象之Service

    系列目录 通过ReplicaSet来创建一组Pod来提供具有高可用性的服务.虽然每个Pod都会分配一个单独的Pod IP,然而却存在如下两问题: Pod IP仅仅是集群内可见的虚拟IP,外部无法访问. ...

  2. Kubernetes对象

    Kubernetes对象 在之前的文章已经讲到了很多Kubernets对象,包括pod,service,deployment等等.Kubernets对象是一种持久化,表示集群状态的实体.它是一种声明式 ...

  3. Kubernetes 对象管理的三种方式

    Kubernetes 中文文档 1. Kubernetes 对象管理的三种方式对比 Kubernetes 中的对象管理方式,根据对象配置信息的位置不同可以分为两大类: 命令式:对象的参数通过命令指定 ...

  4. Kubernetes对象之Pod

    系列目录 Pod是Kubernetes调度的最小单元.一个Pod可以包含一个或多个容器,因此它可以被看作是内部容器的逻辑宿主机.Pod的设计理念是为了支持多个容器在一个Pod中共享网络和文件系统 因此 ...

  5. Kubernetes对象之ReplicaSet

    系列目录 说到ReplicaSet对象,得先说说ReplicationController(简称为RC).在旧版本的Kubernetes中,只有ReplicationController对象.它的主要 ...

  6. kubernetes对象之Volume

    系列目录 概述 Volume是对各种存储资源的抽象.虚拟化.为管理.控制.使用存储资源提供统一接口.Openstack中的volume为虚拟机提供存储,Docker中的volume为容器提供存储.因为 ...

  7. kubernetes对象之Ingress

    系列目录 概述 向外网暴露集群内服务,以使客户端能够访问,有以下几种方法,本文重点描述Ingress. LoadBalancer LoadBalancer一般由云服务供应商提供或者用户自定义,运行在集 ...

  8. Kubernetes对象中的PersistentVolume、PersistentVolumeClaim和StorageClass的概念关系

    Kubernetes容器要持久化数据,离不开volume,k8s的volume和Docker原生概念中的volume有一些差别,不过本次不讲这个,本次要明确的是k8s持久化数据用到的几个对象Persi ...

  9. kubernetes对象之deployment

    系列目录 简述 Deployment为Pod和ReplicaSet提供了一个声明式定义(declarative)方法,用来替代以前的ReplicationController来方便的管理应用.典型的应 ...

随机推荐

  1. Centos7系统rc.local不起作用问题

    Centos7系统rc.local不起作用问题 来源 https://www.cnblogs.com/xjz00/p/7729405.html Centos7已经写了要chmod +x /etc/rc ...

  2. spring的事务传播与隔离

    propagation 事务的传播属性: 1.PROPAGATION_REQUIRED(*-required):支持当前事务,如果当前没有事务,就新建一个事务.(最常见的选择) 2.PROPAGATI ...

  3. Android2.2源码init机制分析

    1 源码分析必备知识 1.1 linux内核链表 Linux内核链表的核心思想是:在用户自定义的结构A中声明list_head类型的成员p,这样每个结构类型为A的变量a中,都拥有同样的成员p,如下: ...

  4. gridview中的相关事件操作

    原文发布时间为:2008-07-27 -- 来源于本人的百度文章 [由搬家工具导入] using System;using System.Data;using System.Configuration ...

  5. css3 实现居中的9中方法

    <!DOCTYPE html> <html> <head lang="en"> <meta charset="UTF-8&quo ...

  6. PHP 几个常用的正则表达式

    记录几个PHP中比较常用的正则. , $max_len = 20){ if (empty($username)) { return false; } $match = '/^(?![0-9]+$)[\ ...

  7. 致命错误:ext/standard/php_smart_str.h:没有那个文件或目录

    致命错误:ext/standard/php_smart_str.h:没有那个文件或目录 参考文章:https://blog.csdn.net/jartins/article/details/80371 ...

  8. HRBUST 2078:糖果(模拟,贪心)

    题不难,但作为一道恶心到了我的题,我还是记录一下的好. 题意:n个人围一圈,要求:相邻两人,分数高的要比分数低的得到更多的糖果,若分数相同则必须得到相同数量的糖果.问满足要求的最少需要分配的糖果数.( ...

  9. chattr&chown&cat&cut&useradd&passwd&chage&usermod

    1.用chattr命令防止系统中某个关键文件被修改 chattr +i /etc/resolv.conf chattr -i /etc/resolv.conf 要想修改此文件就要把i属性去掉 lsat ...

  10. sed理论讲解、实战

    1.Sed是操作.过滤和转换文本内容的强大工具,常用功能有增删改查.过滤.取行. options(常用参数): -n:使用安静(silent)模式,在一般 sed 的用法中,所有来自 STDIN 的数 ...