理解Secret

什么是Secret

Secret对象类型用来保存敏感信息,例如密码、OAuth令牌和 SSH 密钥。 将这些信息放在secret中比放在Pod的定义或者 容器镜像中来说更加安全和灵活。

Secret是一种包含少量敏感信息例如密码、令牌或密钥的对象。 这样的信息可能会被放在Pod 规约中或者镜像中。 用户可以创建Secret,同时系统也创建了一些Secret

要使用Secret,Pod 需要引用SecretPod可以用三种方式之一来使用 Secret:

  • 作为挂载到一个或多个容器上的卷中的文件。

  • 作为容器的环境变量

  • 由kubelet在为Pod拉取镜像时使用

Secret的类型

Kubernetes提供若干种内置的类型,用于一些常见的使用场景。 针对这些类型,Kubernetes所执行的合法性检查操作以及对其所实施的限制各不相同。

内置类型 用法
Opaque 用户定义的任意数据
kubernetes.io/service-account-token 服务账号令牌
kubernetes.io/dockercfg ~/.dockercfg 文件的序列化形式
kubernetes.io/dockerconfigjson ~/.docker/config.json 文件的序列化形式
kubernetes.io/basic-auth 用于基本身份认证的凭据
kubernetes.io/ssh-auth 用于 SSH 身份认证的凭据
kubernetes.io/tls 用于 TLS 客户端或者服务器端的数据
bootstrap.kubernetes.io/token 启动引导令牌数据

Opaque Secret

Opaque类型的数据是一个map类型,要求valuebase64编码格式:

创建我们需要的两个base64账号信息

$ echo -n "root" | base64

  cm9vdA==

$ echo -n "123456" | base64

  MTIzNDU2

secrets.yml

apiVersion: v1

kind: Secret

metadata:

  name: secret-test

type: Opaque

data:

  password: MTIzNDU2

  username: cm9vdA==

创建 secret:kubectl create -f secrets.yml

$ kubectl get secret

  NAME                         TYPE                                  DATA   AGE

  secret-test                  Opaque                                2      8s

可以看到我们刚刚创建的secret

Opaque Secret的使用

创建好secret之后,有两种方式来使用它:

  • 以 Volume 方式

  • 以环境变量方式

将Secret挂载到Volume中

apiVersion: v1

kind: Pod

metadata:

  name: mypod

spec:

  containers:

  - name: mypod

    image: redis

    volumeMounts:

    - name: foo

      mountPath: "/etc/foo"

      readOnly: true

  volumes:

  - name: foo

    secret:

      secretName: secret-test

      items:

      - key: username

        path: my-group/my-username

成功运行之后,进入到pod中

root@mypod:/etc/foo/my-group# ls

my-username

root@mypod:/etc/foo/my-group# cat my-username

root

可以看到我们之前定义的secret的username已经被当前的pod引用,并成功挂载

挂载的Secret会被自动更新

当已经存储于卷中被使用的Secret被更新时,被映射的键也将终将被更新。 组件kubelet在周期性同步时检查被挂载的Secret是不是最新的。 但是,它会使用其本地缓存的数值作为Secret的当前值。

不过,使用Secret作为子路径卷挂载的容器 不会收到Secret更新。

将Secret导出到环境变量中

apiVersion: v1

kind: Pod

metadata:

  name: secret-env-pod

spec:

  containers:

  - name: mycontainer

    image: redis

    env:

      - name: SECRET_USERNAME

        valueFrom:

          secretKeyRef:

            name: secret-test

            key: username

      - name: SECRET_PASSWORD

        valueFrom:

          secretKeyRef:

            name: secret-test

            key: password

  restartPolicy: Never

启动pod,之后进入pod

root@secret-env-pod:/data# echo $SECRET_USERNAME

root

root@secret-env-pod:/data# echo $SECRET_PASSWORD

123456

可以看到secret的值已经成功写入到环境变量中了

Secret更新之后对应的环境变量不会被更新

如果某个容器已经在通过环境变量使用某Secret,对该Secret的更新不会被 容器马上看见,除非容器被重启。有一些第三方的解决方案能够在Secret发生变化时触发容器重启。

kubernetes.io/dockerconfigjson

类型kubernetes.io/dockerconfigjson被设计用来保存JSON数据的序列化形式, 该 JSON 也遵从~/.docker/config.json文件的格式规则,而后者是~/.dockercfg的新版本格式。 使用此Secret类型时,Secret对象的 data 字段必须包含.dockerconfigjson键,其键值为base64编码的字符串包含~/.docker/config.json文件的内容。

下面是一个kubernetes.io/dockercfg类型Secret的示例:

apiVersion: v1

kind: Secret

metadata:

  name: secret-dockercfg

type: kubernetes.io/dockercfg

data:

  .dockercfg: |

        "<base64 encoded ~/.dockercfg file>"

kubernetes.io/service-account-token

kubernetes.io/service-account-token: 用于被serviceaccount引用。serviceaccout创建时Kubernetes会默认创建对应的secret。Pod如果使用了serviceaccount,对应的 secret 会自动挂载到Pod的/run/secrets/kubernetes.io/serviceaccount目录中。

$ kubectl run nginx --image nginx

  pod/nginx created

$ kubectl get pods

  NAME             READY   STATUS              RESTARTS   AGE

  nginx            0/1     ContainerCreating   0          26s

$ kubectl exec nginx ls /run/secrets/kubernetes.io/serviceaccount

  ca.crt

  namespace

  token

Kubernetes在创建Pod时会自动创建一个服务账号Secret并自动修改你的Pod以使用该Secret。该服务账号令牌Secret中包含了访问Kubernetes API所需要的凭据。

不可更改的Secret

Kubernetes对于SecretConfigMap提供了一种不可变更的配置选择,对于大量使用Secret的集群(至少有成千上万各不相同的SecretPod挂载), 禁止变更它们的数据有下列好处:

  • 防止意外(或非预期的)更新导致应用程序中断

  • 通过将 Secret 标记为不可变来关闭 kube-apiserver 对其的监视,从而显著降低 kube-apiserver 的负载,提升集群性能。

Secretimmutable字段设置为true创建不可更改的Secret

apiVersion: v1

kind: Secret

metadata:

  ...

data:

  ...

immutable: true

1、当一个secret设置成不可更改,如果想要更改secret中的内容,就需要删除并且重新创建这个secret

2、对于引用老的secret的pod,需要删除并且重新创建

Secret与Pod生命周期的关系

通过API创建Pod时,不会检查引用的Secret是否存在。一旦Pod被调度,kubelet就会尝试获取该Secret的值。如果获取不到该Secret,或者暂时无法与API服务器建立连接,kubelet将会定期重试。kubelet将会报告关于 Pod 的事件,并解释它无法启动的原因。 一旦获取到Secret,kubelet将创建并挂载一个包含它的卷。在Pod的所有卷被挂载之前,Pod中的容器不会启动。

Secret与ConfigMap对比

相同点:

  • key/value 的形式

  • 属于某个特定的 namespace

  • 可以导出到环境变量

  • 可以通过目录 / 文件形式挂载 (支持挂载所有 key 和部分 key)

不同点:

  • Secret 可以被 ServerAccount 关联 (使用)

  • Secret 可以存储 register 的鉴权信息,用在 ImagePullSecret 参数中,用于拉取私有仓库的镜像

  • Secret 支持 Base64 加密

  • Secret 文件存储在 tmpfs 文件系统中,Pod 删除后 Secret 文件也会对应的删除。

参考

【Secret】https://feisky.gitbooks.io/kubernetes/content/concepts/secret.html

【k8s官方对Secret的描述】https://kubernetes.io/zh/docs/concepts/configuration/secret/

小白学k8s(11)-k8s中Secret理解的更多相关文章

  1. 跟我一起学WCF(11)——WCF中队列服务详解

    一.引言 在前面的WCF服务中,它都要求服务与客户端两端都必须启动并且运行,从而实现彼此间的交互.然而,还有相当多的情况希望一个面向服务的应用中拥有离线交互的能力.WCF通过服务队列的方法来支持客户端 ...

  2. 小白学k8s(7)helm[v3]使用了解

    helm使用 什么是helm 安装helm Helm V2 & V3 架构设计 配置kube config helm使用 添加仓库 helm安装nginx helm的核心概念 Chart Co ...

  3. 在k8s集群中安装rook-ceph 1.8版本步骤

    官方文档地址:https://rook.io/docs/rook/v1.8/quickstart.html Kubernetes 最小版本号 Kubernetes 最小版本号:Kubernetes v ...

  4. 小白学 Python(11):基础数据结构(元组)

    人生苦短,我选Python 前文传送门 小白学 Python(1):开篇 小白学 Python(2):基础数据类型(上) 小白学 Python(3):基础数据类型(下) 小白学 Python(4):变 ...

  5. 小白学 Python 爬虫(11):urllib 基础使用(一)

    人生苦短,我用 Python 前文传送门: 小白学 Python 爬虫(1):开篇 小白学 Python 爬虫(2):前置准备(一)基本类库的安装 小白学 Python 爬虫(3):前置准备(二)Li ...

  6. k8s之Configmap与Secret

    ConfigMap:k8s标准资源,将配置文件做成k8s资源,使其它资源可加载其中配置 Secret:实现加密功能的安全配置文件.由多个key:val中组成 创建configmap资源,可直接使用ku ...

  7. K8s之实践Pod深入理解

      K8s之实践Pod深入理解 1.同一pod下的nginx+php+mysql nginx+php+mysql.yaml文件 --- apiVersion: v1 kind: Secret meta ...

  8. k8s集群中遇到etcd集群故障的排查思路

    一次在k8s集群中创建实例发现etcd集群状态出现连接失败状况,导致创建实例失败.于是排查了一下原因. 问题来源 下面是etcd集群健康状态: 1 2 3 4 5 6 7 8 9 10 11 [roo ...

  9. k8s配置中心-configmap,Secret密码

    目录 k8s配置中心-configmap,Secret 创建ConfigMap 使用ConfigMap subPath参数 Secret 官方文档 编写secret清单 使用secret 在 Pod ...

  10. 使用kubeseal加密和管理k8s集群的secret

    使用kubeseal加密和管理k8s集群的secret 在k8s的管理过程中,像secret这种资源并不好维护,kubeseal提供了一种相对简单的方式来对原始secret资源进行加密,并通过控制器进 ...

随机推荐

  1. 盛科交换机和ovs交换机建立VxLAN隧道

    环境信息 盛科交换机信息: R3# show version CentecOS Software, E580, Version 5.3.6 Copyright (C) 2004-2017 Centec ...

  2. BBS项目(四):临时评论渲染 文章子评论功能 后台管理页面搭建 添加文章页面搭建

    目录 临时评论样式渲染 文章子评论业务逻辑 后台管理页面搭建 后台管理页面模板创建 添加文章页面搭建 富文本编辑器 添加文章初步实现 添加文章功能优化 beautifulsoup模块基本使用 临时评论 ...

  3. Go--记录下踩map的坑

    这两天新调个接口的时候,一直提示签名错误,但所需的时间,工号,token都是对的,完全没有头绪,卡了两天后,终于找到原因了 原因是我的校验信息,是要将时间,工号,token封装在一起成字符串,然后用m ...

  4. 一个含不少免费额度和数据下载的IP地址来源查询工具

    大家好,我是TJ君! 如今在国内运营的各种互联网应用都有接入IP来源显示的要求,现在相关API的供应商也很多.今天TJ刚好看到一个不错的,所以马上给大家推荐一下. 这款不错的产品名称为:IPInfo ...

  5. 42 干货系列从零用Rust编写负载均衡及代理,wmproxy中配置tcp转websocket

    wmproxy wmproxy已用Rust实现http/https代理, socks5代理, 反向代理, 静态文件服务器,四层TCP/UDP转发,七层负载均衡,内网穿透,后续将实现websocket代 ...

  6. 【计算机网络】WebSocket 是什么原理?为什么可以实现持久连接?

    一.WebSocket是HTML5出的东西(协议),也就是说HTTP协议没有变化,或者说没关系,但HTTP是不支持持久连接的(长连接),循环连接的不算) 首先HTTP有1.1和1.0之说,也就是所谓的 ...

  7. 通过 Homebrew 在 Mac OS X 上安装和配置 Redis

    通过使用 Homebrew,可以大大降低在 Mac OS X 上设置和配置开发环境的成本. 让我们安装 Redis. $ brew install redis 安装后,我们将看到一些有关配置注意事项的 ...

  8. AtCoder Educational DP Contest 刷题记录

    写在前面 深感自己 DP 很弱的 村人B 刷了点 DP 题,题集地址戳这里. 后记:刷完后感觉自己又行了 A - Frog 1 题意 给定 \(n\) 个石头,第 i 个石头的高度为 \(h_i\). ...

  9. POJ 2726、POJ3074 :数独(二进制DFS)

    题目链接:https://ac.nowcoder.com/acm/contest/1014/B 题目描述 In the game of Sudoku, you are given a large 9 ...

  10. OpenTSDB 数据存储详解

    本文首发于 vivo互联网技术 微信公众号链接: https://mp.weixin.qq.com/s/qayKiwk5QAIWI7-nyD3FVA作者:DuZhimin 随着互联网.尤其是物联网的发 ...