一、启动应用安全信息的保护

1、Secret介绍

  应用启动过程中可能需要一些敏感信息,比如访问数据库的用户名密码或者秘钥。将这些信息直接保存在容器镜像中显然不妥,Kubernetes 提供的解决方案是 Secret。

  Secret 会以密文的方式存储数据,避免了直接在配置文件中保存敏感信息Secret 会以 Volume 的形式被 mount 到 Pod,容器可通过文件的方式使用 Secret 中的敏感数据;此外,容器也可以环境变量的方式使用这些数据。

  Secret 可通过命令行或 YAML 创建。比如希望 Secret 中包含如下信息:

    1)用户名 admin
    2)密码 123456

2、创建 Secret

  有四种方法创建 Secret:

(1)通过 --from-literal:

[root@ren7 ~]# kubectl create secret generic mysecret --from-literal=username=admin --from-literal=password=123

secret/mysecret created

[root@ren7 ~]# kubectl get secret

NAME                  TYPE                                  DATA   AGE

default-token-qvqql   kubernetes.io/service-account-token   3      4d23h

mysecret              Opaque                                2      9s

[root@ren7 ~]# kubectl get secret mysecret

NAME       TYPE     DATA   AGE

mysecret   Opaque   2      25s

  每个 --from-literal 对应一个信息条目。

(2)通过 --from-file:

echo -n admin > ./username

echo -n 123456 > ./password

kubectl create secret generic mysecret --from-file=./username --from-file=./password

  每个文件内容对应一个信息条目。

(3)通过 --from-env-file:

cat << EOF > env.txt

username=admin

password=123456

EOF

kubectl create secret generic mysecret --from-env-file=env.txt

  文件 env.txt 中每行 Key=Value 对应一个信息条目。

(4)通过 YAML 配置文件:

apiVersion: v1

kind: Secret

metadata:

  name: mysecret

data:

  username: YWRtaW4=

  password: MTIzNDU2

  文件中的敏感数据必须是通过 base64 编码后的结果。(-n 不换行)

[root@ren7 ~]# echo -n admin | base64

YWRtaW4=

[root@ren7 ~]# echo -n 123456 | base64

MTIzNDU2

  执行 kubectl apply 创建 Secret:

[root@ren7 yaml]# kubectl apply -f secret.yml

secret/mysecret created

[root@ren7 yaml]# kubectl get secret mysecret

NAME       TYPE     DATA   AGE

mysecret   Opaque   2      17s

  显示有两个数据条目,kubectl describe secret 查看条目的 Key:

[root@ren7 yaml]# kubectl describe secret mysecret

Name:         mysecret

Namespace:    default

Labels:       <none>

Annotations:

Type:         Opaque

Data

====

password:  6 bytes

username:  5 bytes

  如果还想查看 Value,可以用 kubectl edit secret mysecret

[root@ren7 yaml]# kubectl describe secret mysecret

Name:         mysecret

Namespace:    default

Labels:       <none>

Annotations:

Type:         Opaque

Data

====

password:  6 bytes

username:  5 bytes

[root@ren7 yaml]# kubectl edit secret mysecret

# Please edit the object below. Lines beginning with a '#' will be ignored,

# and an empty file will abort the edit. If an error occurs while saving this file will be

# reopened with the relevant failures.

#

apiVersion: v1

data:

  password: MTIzNDU2

  username: YWRtaW4=

kind: Secret

metadata:

  annotations:

    kubectl.kubernetes.io/last-applied-configuration: |

      {"apiVersion":"v1","data":{"password":"MTIzNDU2","username":"YWRtaW4="},"kind":"Secret","metadata":{"annotations":{},"name":"mysecret","namespace":"default"}}

  creationTimestamp: "2019-10-28T11:06:44Z"

  name: mysecret

  namespace: default

  resourceVersion: "206718"

  selfLink: /api/v1/namespaces/default/secrets/mysecret

  uid: 070c7284-f973-11e9-8d3b-000c297d011c

type: Opaque

  然后通过 base64 将 Value 反编码:

[root@ren7 ~]# echo -n YWRtaW4= | base64 --decode

admin[root@ren7 ~]#

[root@ren7 ~]# echo -n MTIzNDU2 | base64 --decode

123456[root@ren7 ~]#

二、secret在pod中的应用

1、volume 方式使用 Secret

  Pod 可以通过 Volume 或者环境变量的方式使用 Secret,先学习 Volume 方式。

(1)Pod 的配置文件如下所示:

[root@ren7 yaml]# cat pod2.yaml

apiVersion: v1

kind: Pod

metadata:

  name: mypod

spec:

  containers:

    - name: mypod

      image: reg.yunwei.com/learn/busybox:latest

      args:

      - /bin/sh

      - -c

      - sleep 10; touch /tmp/healthy; sleep 30000

      volumeMounts:

      - mountPath: "/etc/foo"

        name: foo

        readOnly: true

  volumes:

    - name: foo

      secret:

        secretName: mysecret

  ① 定义 volume foo,来源为 secret mysecret
  ② 将 foo mount 到容器路径 /etc/foo,可指定读写权限为 readOnly

  创建 Pod 并在容器中读取 Secret:

[root@ren7 yaml]# kubectl get secret

NAME                  TYPE                                  DATA   AGE

default-token-qvqql   kubernetes.io/service-account-token   3      4d23h

[root@ren7 yaml]# kubectl create secret generic mysecret --from-literal=username=admin --from-literal=password=123

secret/mysecret created

[root@ren7 yaml]# kubectl get secret

NAME                  TYPE                                  DATA   AGE

default-token-qvqql   kubernetes.io/service-account-token   3      4d23h

mysecret              Opaque                                2      2s

[root@ren7 yaml]# kubectl apply -f pod2.yaml

pod/mypod created

[root@ren7 yaml]#

[root@ren7 yaml]# kubectl exec -it mypod sh

/ #

/ # ls /etc/foo

password  username

/ #  cat /etc/foo/password

123/ #

/ # cat /etc/foo/username

admin/ #

/ # exit

  可以看到,Kubernetes 会在指定的路径 /etc/foo 下为每条敏感数据创建一个文件,文件名就是数据条目的 Key,这里是 /etc/foo/username 和 /etc/foo/password,Value 则以明文存放在文件中。

(2)我们也可以自定义存放数据的文件名,比如将配置文件改为:

[root@ren7 yaml]# cat pod4.yaml

apiVersion: v1

kind: Pod

metadata:

  name: mypod2

spec:

  containers:

    - name: mypod2

      image: reg.yunwei.com/learn/busybox:latest

      args:

      - /bin/sh

      - -c

      - sleep 10; touch /tmp/healthy; sleep 30000

      volumeMounts:

      - mountPath: "/etc/foo"

        name: foo

        readOnly: true

  volumes:

    - name: foo

      secret:

        secretName: mysecret

        items:

        - key: username

          path: my-group/my-username

        - key: password

          path: my-group/my-password

  这时数据将分别存放在 /etc/foo/my-group/my-username 和 /etc/foo/my-group/my-password 中。

  以 Volume 方式使用的 Secret 支持动态更新:Secret 更新后,容器中的数据也会更新。

  将 password 更新为 abcdef,base64 编码为 YWJjZGVm

[root@ren7 ~]# echo -n abcdef |base64

YWJjZGVm

  更新 Secret。

[root@ren7 yaml]# cat secret.yml

apiVersion: v1

kind: Secret

metadata:

  name: mysecret

data:

  username: YWRtaW4=

  password: YWJjZGVm
[root@ren7 yaml]# kubectl apply -f secret.yml

secret/mysecret configured

  几秒钟或,新的 password 会同步到容器。

[root@ren7 yaml]# kubectl exec -it mypod sh

/ # cat /etc/foo/password

abcdef/ #

/ # cat /etc/foo/username

admin/ #

/ # exit

[root@ren7 yaml]# kubectl exec -it mypod2 /bin/sh

/ #

/ # cd /etc/foo/

/etc/foo # ls

my-group

/etc/foo # cat my-group/my-username

admin/etc/foo #

/etc/foo # cat my-group/my-password

abcdef/etc/foo #

/etc/foo # exit

2、环境变量方式使用 Secret

  通过 Volume 使用 Secret,容器必须从文件读取数据,会稍显麻烦,Kubernetes 还支持通过环境变量使用 Secret。

  Pod 配置文件示例如下:

[root@ren7 yaml]# cat pod3.yml

apiVersion: v1

kind: Pod

metadata:

  name: mypod3

spec:

  containers:

    - name: mypod3

      image: reg.yunwei.com/learn/busybox:latest

      args:

      - /bin/sh

      - -c

      - sleep 10; touch /tmp/healthy; sleep 30000

      env:

      - name: SECRET_USERNAME

        valueFrom:

          secretKeyRef:

            name: mysecret

            key: username

      - name: SECRET_PASSWORD

        valueFrom:

          secretKeyRef:

            name: mysecret

            key: password

  创建 Pod 并读取 Secret。

[root@ren7 yaml]# kubectl apply -f pod3.yml

pod/mypod3 created

[root@ren7 yaml]# kubectl exec -it mypod3 /bin/sh

/ #

/ # ls /etc/foo

ls: /etc/foo: No such file or directory

/ # echo $SECRET_USERNAME

admin

/ # echo $SECRET_PASSWORD

abcdef

/ # exit

  通过环境变量 SECRET_USERNAME 和 SECRET_PASSWORD 成功读取到 Secret 的数据。

  需要注意的是,环境变量读取 Secret 很方便,但无法支撑 Secret 动态更新。

  Secret 可以为 Pod 提供密码、Token、私钥等敏感数据。

k8s管理机密信息(12)的更多相关文章

  1. 用 k8s 管理机密信息 - 每天5分钟玩转 Docker 容器技术(155)

    应用启动过程中可能需要一些敏感信息,比如访问数据库的用户名密码或者秘钥.将这些信息直接保存在容器镜像中显然不妥,Kubernetes 提供的解决方案是 Secret. Secret 会以密文的方式存储 ...

  2. K8s管理机密信息

    1. 启动应用安全信息的保护 Secret介绍 应用启动过程中可能需要一些敏感信息,比如访问数据库的用户名密码或者秘钥.将这些信息直接保存在容器镜像中显然不妥,Kubernetes 提供的解决方案是 ...

  3. k8s管理机密信息(9)

    一.启动应用安全信息的保护: Secret介绍: 应用启动过程中可能需要一些敏感信息,比如访问数据库的用户名密码或者秘钥.将这些信息直接保存在容器镜像中显然不妥,Kubernetes 提供的解决方案是 ...

  4. k8s 管理机密信息

    一.启动应用安全信息的保护: Secret介绍: 应用启动过程中可能需要一些敏感信息,比如访问数据库的用户名密码或者秘钥.将这些信息直接保存在容器镜像中显然不妥,Kubernetes 提供的解决方案是 ...

  5. 用 k8s 管理机密信息【转】

    应用启动过程中可能需要一些敏感信息,比如访问数据库的用户名密码或者秘钥.将这些信息直接保存在容器镜像中显然不妥,Kubernetes 提供的解决方案是 Secret. Secret 会以密文的方式存储 ...

  6. ASP.NET MVC+EF框架+EasyUI实现权限管理系列(12)-实现用户异步登录和T4模板

    原文:ASP.NET MVC+EF框架+EasyUI实现权限管理系列(12)-实现用户异步登录和T4模板 ASP.NET MVC+EF框架+EasyUI实现权限管系列 (开篇)   (1):框架搭建  ...

  7. CentOS7安装CDH 第六章:CDH的管理-CDH5.12

    相关文章链接 CentOS7安装CDH 第一章:CentOS7系统安装 CentOS7安装CDH 第二章:CentOS7各个软件安装和启动 CentOS7安装CDH 第三章:CDH中的问题和解决方法 ...

  8. Kubernetes(k8s)1.12.2集群搭建

    本博客搭建k8s集群1.12.2版本 1. 准备2台以上最低2核4G的服务器 2. 关闭机器的防火墙 12 systemctl disable firewalldsystemctl stop fire ...

  9. k8s管理存储资源

    1. Kubernetes 如何管理存储资源 理解volume 首先我们学习 Volume,以及 Kubernetes 如何通过 Volume 为集群中的容器提供存储:然后我们会实践几种常用的 Vol ...

随机推荐

  1. 如何快速在odoo中创建自己的菜单

    上一篇内容:如何快速创建odoo模块,使用脚手架快速创建自己的odoo应用app 前言 在上一个教程中,我们已经实现了对模块的创建,现在我们要对创建的模块添加内容,这个教程将教你如何在odoo菜单中创 ...

  2. Elasticsearch核心技术与实战,性能是真牛

    Elasticsearch 是一款非常强大的开源搜索及分析引擎.结合 Kibana.Logstash和Beats,Elasticsearch 还被广泛运用在大数据近实时分析,包括日志分析.指标监控.信 ...

  3. python3使用myqr生成链接二维码

    技术背景 二维码技术在各个领域中都已经有非常成熟的应用,比如随处可见的二维码支付,比如疫情期间的绿码,再比如工业领域中,可以使用二维码作为定位的标签,大大提升了室内定位技术的精确度.二维码的格式内容大 ...

  4. Go-22-方法

    方法 Go语言同时有函数和方法,方法的本质是函数,但是方法和函数又有所不同. 函数(function)是一段具有独立功能的代码,可以被反复多次调用,从而实现代码复用. 方法(method)是一个类的行 ...

  5. Day17_102_IO_BufferedReader

    BufferedReader 带有缓冲区的字符输入流 * 带有缓冲区的流 - java.io.Reader - java.io.BufferedReader - BufferedReader 字符流 ...

  6. 大一那会,我用QQ远程帮同学考过计算机二级

    考证 大一那会儿流行考证,什么普通话.教师资格证.计算机.商务英语各种证五花八门的. 我们非计算机专业(我是通信工程)的基本上都会去考一个叫计算机二级的证书,说是找工作有用,大一新生,哪懂这些,一窝蜂 ...

  7. 1151 LCA in a Binary Tree (30point(s))

    The lowest common ancestor (LCA) of two nodes U and V in a tree is the deepest node that has both U ...

  8. 技术分享|JavaScript的前世今生

    目录 一.什么是JavaScript 二.JavaScript的功能 三.JavaScript可以做什么 四.JavaScript框架 五.HTML,CSS和JavaScript 六.JavaScri ...

  9. 病毒木马查杀实战第010篇:QQ盗号木马之十六进制代码分析

    前言 按照我的个人习惯,在运用诸如IDA Pro与OllyDBG对病毒进行逆向分析之前,我都会利用一些自动化的工具,通过静态或动态的分析方法(参见<病毒木马查杀第008篇:熊猫烧香之病毒查杀总结 ...

  10. (2) arm 指令条件码

    条件码助记符 标志 含义 EQ Z=1 相等 NE Z=0 不相等 CS/HS C=1 无符号数大于或等于 CC/LO C=0 无符号数小于 MI N=1 负数 PL N=0 正数或0 VS V=1 ...