Secret介绍

Secret存在的意义

  Secret解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中,可以以Volume或者环境变量的方式使用

Secret有三种类型

   Service Account:用来访问Kubernetes API,由Kubernetes自动创建,并且会自动挂载到Pod的/run/secrets/kubernetes.io/serviceaccount目录中

  Opaque:base64编码格式的Secret,用来存储密码、秘钥等

  kubernetes.io/dockerconfigjson:用来存储私有 docker registry的认证信息

Service Account

只要与Kubernetes API有交互的Pod,都会自动拥有此种类型的Secret,例如kube-system名称空间下的Pod

### 随便进入kube-system下的Pod内查看是否有此类型

[root@Centos8 ~]# kubectl exec -it kube-proxy-76x2c -n kube-system -- /bin/sh

# cd /run/secrets/kubernetes.io/serviceaccount

# ls

ca.crt    namespace  token

### 可以看到,其中保存了crt、token等文件

Opaque

此种加密类型为base64,其特点就是将明文改为了密文,但是解密也非常简单,因为同一串字符串加密后的密文永远是相同的

## 加密

[root@Centos8 ~]# echo -n admin | base64

YWRtaW4=

[root@Centos8 ~]# echo -n vfan123 | base64

dmZhbjEyMw==

## 解密

[root@Centos8 ~]# echo -n dmZhbjEyMw== | base64 -d

vfan123

[root@Centos8 ~]# echo -n YWRtaW4= | base64 -d

admin

创建一个Opaque类型的Secret

vim secrets.yaml

...

apiVersion: v1

kind: Secret

metadata:

  name: mysecret

type: Opaque

data:

  password: dmZhbjEyMw==

  username: YWRtaW4=

...

kubectl create -f secrets.yaml

将此secret挂载到Pod中

[root@Centos8 secret]# vim s-volume.yaml

...

apiVersion: v1

kind: Pod

metadata:

  name: s-volume

  labels:

    type: opaque

spec:

  volumes:

  - name: secrets

    secret:

      secretName: mysecret

  containers:

  - name: db

    image: hub.vfancloud.com/test/myapp:v1

    imagePullPolicy: IfNotPresent

    volumeMounts:

    - name: secrets

      mountPath: /etc/secrets

      readOnly: true

...

[root@Centos8 secret]# kubectl create -f secrets.yaml

secret/mysecret created

## 进入container

[root@Centos8 secret]# kubectl exec -it s-volume -- /bin/sh

/etc/secrets # ls

password  username

/etc/secrets # cat password

vfan123

/etc/secrets # cat username

admin

### secret加密后的用户名和密码,传输到container中已是明文

将此secret定义到Pod的环境变量中

vim s-env.yaml

...

apiVersion: v1

kind: Pod

metadata:

  name: s-env

  labels:

    type: opaque

spec:

  containers:

  - name: pod-

    image: hub.vfancloud.com/test/myapp:v1

    imagePullPolicy: IfNotPresent

    ports:

    - containerPort:

    env:

    - name: DB_USER

      valueFrom:

        secretKeyRef:

          name: mysecret

          key: username

    - name: DB_PASSWD

      valueFrom:

        secretKeyRef:

          name: mysecret

          key: password

...

kubectl create -f s-env.yaml

## 查看环境变量

PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin

HOSTNAME=s-env

TERM=xterm

DB_USER=admin

DB_PASSWD=vfan123

kubernetes.io/dockerconfigjson

  保存docker仓库认证信息

  打开我们之前搭建的Harbor镜像仓库,设置一个私有仓库(若无搭建私有仓库可以参考本人其他随笔:https://www.cnblogs.com/v-fan/p/13034272.html)

  创建Pod,使Pod导入私有仓库的镜像文件hub.vfancloud.com/test/myapp:v2

vim s-configjson.yaml

...

apiVersion: v1

kind: Pod

metadata:

  name: s-configjson

spec:

  containers:

  - name: configjson

    image: hub.vfancloud.com/test/myapp:v2

...

[root@Centos8 secret]# kubectl create -f s-configjson.yaml

pod/s-configjson created

### 镜像导入失败,是因为私有仓库中的镜像必须登录后才可导入

[root@Centos8 secret]# kubectl get pod

NAME           READY   STATUS         RESTARTS   AGE

s-configjson   /     ErrImagePull             22s

### 详细信息中的报错信息

Failed to pull image "hub.vfancloud.com/test/myapp:v2": rpc error: code = Unknown desc = Error response from daemon: pull access denied for hub.vfancloud.com/test/myapp, repository does not exist or may require 'docker login': denied: requested access to the resource is denied

设置dockerconfigjson类型secret

## 创建secret

[root@Centos8 secret]# kubectl create secret docker-registry myregistrykey --docker-server=hub.vfancloud.com --docker-username=admin --docker-password=Harbor12345 --docker-email=vfan8991

secret/myregistrykey created

## 在资源清单中添加配置

[root@Centos8 secret]# vim s-configjson.yaml

...

apiVersion: v1

kind: Pod

metadata:

  name: s-configjson

spec:

  containers:

  - name: configjson

    image: hub.vfancloud.com/test/myapp:v2

  imagePullSecrets:

  - name: myregistrykey

...

[root@Centos8 secret]# kubectl create -f s-configjson.yaml

pod/s-configjson created

## 查看,导入成功

[root@Centos8 secret]# kubectl get pod

NAME           READY   STATUS    RESTARTS   AGE

s-configjson   /     Running             5s

Kubernetes-12:Secret介绍及演示的更多相关文章

  1. STC8H开发(三): 基于FwLib_STC8的模数转换ADC介绍和演示用例说明

    目录 STC8H开发(一): 在Keil5中配置和使用FwLib_STC8封装库(图文详解) STC8H开发(二): 在Linux VSCode中配置和使用FwLib_STC8封装库(图文详解) ST ...

  2. Kubernetes中StatefulSet介绍

    StatefulSet 是Kubernetes1.9版本中稳定的特性,本文使用的环境为 Kubernetes 1.11.如何搭建环境可以参考kubeadm安装kubernetes V1.11.1 集群 ...

  3. K8s - Kubernetes重要概念介绍(Cluster、Master、Node、Pod、Controller、Service、Namespace)

    K8s - Kubernetes重要概念介绍(Cluster.Master.Node.Pod.Controller.Service.Namespace)       Kubernetes 是目前发展最 ...

  4. Django 小实例S1 简易学生选课管理系统 0 初步介绍与演示

    Django 小实例S1 简易学生选课管理系统 第0章--初步介绍与演示 点击查看教程总目录 作者自我介绍:b站小UP主,时常直播编程+红警三,python1对1辅导老师. 1 初步介绍 先介绍下这个 ...

  5. 一、Kubernetes系列之介绍篇

      •Kubernetes介绍 1.背景介绍 云计算飞速发展 - IaaS - PaaS - SaaS Docker技术突飞猛进 - 一次构建,到处运行 - 容器的快速轻量 - 完整的生态环境 2.什 ...

  6. kubernetes资源类别介绍

    类别 名称 资源对象 Pod.ReplicaSet.ReplicationController.Deployment.StatefulSet.DaemonSet.Job.CronJob.Horizon ...

  7. kubernetes之secret

    Secret解决了密码.token.密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中.Secret可以以Volume或者环境变量的方式使用. Secret类型: Opa ...

  8. Cocos2d-x开发实例介绍特效演示

    下面我们通过一个实例介绍几个特效的使用,这个实例下图所示,下图是一个操作菜单场景,选择菜单可以进入到下图动作场景,在下图动作场景中点击Go按钮可以执行我们选择的特性动作,点击Back按钮可以返回到菜单 ...

  9. ArcSDE SDK For Java二次开发介绍、演示样例

    在一个工作中,遇到了须要java后台来查询ArcGIS 中用到的Oracle数据库空间数据,因为对ArcGIS空间数据首次接触,仅仅知道Oracle能够使用ST_GEOMETRY字段存储,例如以下图 ...

随机推荐

  1. 禁用 Spring Boot 中引入安全组件 spring-boot-starter-security 的方法

    1.当我们通过 maven 或 gradle 引入了 Spring boot 的安全组件 spring-boot-starter-security,Spring boot 默认开启安全组件,这样我们就 ...

  2. JS与React分别实现倒计时(天时分秒)

    JS方法 html部分 <div class="clock"> <i></i> 天 <i></i> : <i> ...

  3. JS学习第八天

    DOM访问列表框.下拉菜单的常用属性: form返回列表框.下拉菜单所在的表单对象; length返回列表框.下拉菜单的选项个数; options返回列表框.下拉菜单里所有选项组成的数组; defau ...

  4. tableau用户留存分析

    1.数据源 这是个母婴产品的购买流水数据 2.数据处理 字段拆分.创建购买点会员生命周期 3.分析不同省份的留存率情况 根据第12个月的留存率对省市进行分组 实际业务中也可以通过类似的方法对用户年龄组 ...

  5. C#LeetCode刷题之#521-最长特殊序列 Ⅰ​​​​​​​(Longest Uncommon Subsequence I)

    问题 该文章的最新版本已迁移至个人博客[比特飞],单击链接 https://www.byteflying.com/archives/3949 访问. 给定两个字符串,你需要从这两个字符串中找出最长的特 ...

  6. Deep learning-based personality recognition from text posts of online social networks 阅读笔记

    文章目录 一.摘要 二.模型过程 1.文本预处理 1.1 文本切分 1.2 文本统一 2. 基于统计的特征提取 2.1 提取特殊的语言统计特征 2.2 提取基于字典的语言特征 3. 基于深度学习的文本 ...

  7. c++排序二叉树的出现的私有函数讨论,以及二叉树的删除操作详解

    c++排序二叉树的出现的私有函数讨论, 以及二叉树的删除操作详解 标签(空格分隔): c++ 前言 我在c++学习的过程中, 最近打了一个排序二叉树的题目,题目中出现了私有函数成员,当时没有理解清楚这 ...

  8. Ubuntu 16.04 sudo免密码visudo sudoers设置

    使用sudo visudo调用nano对 /etc/sudoers 进行修改 $ sudo visudo 在想修改的对象最后加上 NOPASSWD: ALL 注意:在后面的设置会覆盖前面的设置

  9. python2.7用socks和socket设置代理

    接下来是最近遇到的一个代理问题. 背景:一个基于python2.7的自动化测试项目 目的:因调试需求,需要通过代理连接其他公司的前端网站,来检验项目运行所在的问题. 问题:RUN>等了1分钟没有 ...

  10. QT+VS环境配置中遇到的问题

    大体流程参考的别人的博客流程如下: QT安装: https://blog.csdn.net/qq_42907800/article/details/107370967?> QT+VS环境配置 h ...