一、启动应用安全信息的保护

1、Secret介绍

  应用启动过程中可能需要一些敏感信息,比如访问数据库的用户名密码或者秘钥。将这些信息直接保存在容器镜像中显然不妥,Kubernetes 提供的解决方案是 Secret。

  Secret 会以密文的方式存储数据,避免了直接在配置文件中保存敏感信息Secret 会以 Volume 的形式被 mount 到 Pod,容器可通过文件的方式使用 Secret 中的敏感数据;此外,容器也可以环境变量的方式使用这些数据。

  Secret 可通过命令行或 YAML 创建。比如希望 Secret 中包含如下信息:

    1)用户名 admin
    2)密码 123456

2、创建 Secret

  有四种方法创建 Secret:

(1)通过 --from-literal:

[root@ren7 ~]# kubectl create secret generic mysecret --from-literal=username=admin --from-literal=password=123

secret/mysecret created

[root@ren7 ~]# kubectl get secret

NAME                  TYPE                                  DATA   AGE

default-token-qvqql   kubernetes.io/service-account-token   3      4d23h

mysecret              Opaque                                2      9s

[root@ren7 ~]# kubectl get secret mysecret

NAME       TYPE     DATA   AGE

mysecret   Opaque   2      25s

  每个 --from-literal 对应一个信息条目。

(2)通过 --from-file:

echo -n admin > ./username

echo -n 123456 > ./password

kubectl create secret generic mysecret --from-file=./username --from-file=./password

  每个文件内容对应一个信息条目。

(3)通过 --from-env-file:

cat << EOF > env.txt

username=admin

password=123456

EOF

kubectl create secret generic mysecret --from-env-file=env.txt

  文件 env.txt 中每行 Key=Value 对应一个信息条目。

(4)通过 YAML 配置文件:

apiVersion: v1

kind: Secret

metadata:

  name: mysecret

data:

  username: YWRtaW4=

  password: MTIzNDU2

  文件中的敏感数据必须是通过 base64 编码后的结果。(-n 不换行)

[root@ren7 ~]# echo -n admin | base64

YWRtaW4=

[root@ren7 ~]# echo -n 123456 | base64

MTIzNDU2

  执行 kubectl apply 创建 Secret:

[root@ren7 yaml]# kubectl apply -f secret.yml

secret/mysecret created

[root@ren7 yaml]# kubectl get secret mysecret

NAME       TYPE     DATA   AGE

mysecret   Opaque   2      17s

  显示有两个数据条目,kubectl describe secret 查看条目的 Key:

[root@ren7 yaml]# kubectl describe secret mysecret

Name:         mysecret

Namespace:    default

Labels:       <none>

Annotations:

Type:         Opaque

Data

====

password:  6 bytes

username:  5 bytes

  如果还想查看 Value,可以用 kubectl edit secret mysecret

[root@ren7 yaml]# kubectl describe secret mysecret

Name:         mysecret

Namespace:    default

Labels:       <none>

Annotations:

Type:         Opaque

Data

====

password:  6 bytes

username:  5 bytes

[root@ren7 yaml]# kubectl edit secret mysecret

# Please edit the object below. Lines beginning with a '#' will be ignored,

# and an empty file will abort the edit. If an error occurs while saving this file will be

# reopened with the relevant failures.

#

apiVersion: v1

data:

  password: MTIzNDU2

  username: YWRtaW4=

kind: Secret

metadata:

  annotations:

    kubectl.kubernetes.io/last-applied-configuration: |

      {"apiVersion":"v1","data":{"password":"MTIzNDU2","username":"YWRtaW4="},"kind":"Secret","metadata":{"annotations":{},"name":"mysecret","namespace":"default"}}

  creationTimestamp: "2019-10-28T11:06:44Z"

  name: mysecret

  namespace: default

  resourceVersion: "206718"

  selfLink: /api/v1/namespaces/default/secrets/mysecret

  uid: 070c7284-f973-11e9-8d3b-000c297d011c

type: Opaque

  然后通过 base64 将 Value 反编码:

[root@ren7 ~]# echo -n YWRtaW4= | base64 --decode

admin[root@ren7 ~]#

[root@ren7 ~]# echo -n MTIzNDU2 | base64 --decode

123456[root@ren7 ~]#

二、secret在pod中的应用

1、volume 方式使用 Secret

  Pod 可以通过 Volume 或者环境变量的方式使用 Secret,先学习 Volume 方式。

(1)Pod 的配置文件如下所示:

[root@ren7 yaml]# cat pod2.yaml

apiVersion: v1

kind: Pod

metadata:

  name: mypod

spec:

  containers:

    - name: mypod

      image: reg.yunwei.com/learn/busybox:latest

      args:

      - /bin/sh

      - -c

      - sleep 10; touch /tmp/healthy; sleep 30000

      volumeMounts:

      - mountPath: "/etc/foo"

        name: foo

        readOnly: true

  volumes:

    - name: foo

      secret:

        secretName: mysecret

  ① 定义 volume foo,来源为 secret mysecret
  ② 将 foo mount 到容器路径 /etc/foo,可指定读写权限为 readOnly

  创建 Pod 并在容器中读取 Secret:

[root@ren7 yaml]# kubectl get secret

NAME                  TYPE                                  DATA   AGE

default-token-qvqql   kubernetes.io/service-account-token   3      4d23h

[root@ren7 yaml]# kubectl create secret generic mysecret --from-literal=username=admin --from-literal=password=123

secret/mysecret created

[root@ren7 yaml]# kubectl get secret

NAME                  TYPE                                  DATA   AGE

default-token-qvqql   kubernetes.io/service-account-token   3      4d23h

mysecret              Opaque                                2      2s

[root@ren7 yaml]# kubectl apply -f pod2.yaml

pod/mypod created

[root@ren7 yaml]#

[root@ren7 yaml]# kubectl exec -it mypod sh

/ #

/ # ls /etc/foo

password  username

/ #  cat /etc/foo/password

123/ #

/ # cat /etc/foo/username

admin/ #

/ # exit

  可以看到,Kubernetes 会在指定的路径 /etc/foo 下为每条敏感数据创建一个文件,文件名就是数据条目的 Key,这里是 /etc/foo/username 和 /etc/foo/password,Value 则以明文存放在文件中。

(2)我们也可以自定义存放数据的文件名,比如将配置文件改为:

[root@ren7 yaml]# cat pod4.yaml

apiVersion: v1

kind: Pod

metadata:

  name: mypod2

spec:

  containers:

    - name: mypod2

      image: reg.yunwei.com/learn/busybox:latest

      args:

      - /bin/sh

      - -c

      - sleep 10; touch /tmp/healthy; sleep 30000

      volumeMounts:

      - mountPath: "/etc/foo"

        name: foo

        readOnly: true

  volumes:

    - name: foo

      secret:

        secretName: mysecret

        items:

        - key: username

          path: my-group/my-username

        - key: password

          path: my-group/my-password

  这时数据将分别存放在 /etc/foo/my-group/my-username 和 /etc/foo/my-group/my-password 中。

  以 Volume 方式使用的 Secret 支持动态更新:Secret 更新后,容器中的数据也会更新。

  将 password 更新为 abcdef,base64 编码为 YWJjZGVm

[root@ren7 ~]# echo -n abcdef |base64

YWJjZGVm

  更新 Secret。

[root@ren7 yaml]# cat secret.yml

apiVersion: v1

kind: Secret

metadata:

  name: mysecret

data:

  username: YWRtaW4=

  password: YWJjZGVm
[root@ren7 yaml]# kubectl apply -f secret.yml

secret/mysecret configured

  几秒钟或,新的 password 会同步到容器。

[root@ren7 yaml]# kubectl exec -it mypod sh

/ # cat /etc/foo/password

abcdef/ #

/ # cat /etc/foo/username

admin/ #

/ # exit

[root@ren7 yaml]# kubectl exec -it mypod2 /bin/sh

/ #

/ # cd /etc/foo/

/etc/foo # ls

my-group

/etc/foo # cat my-group/my-username

admin/etc/foo #

/etc/foo # cat my-group/my-password

abcdef/etc/foo #

/etc/foo # exit

2、环境变量方式使用 Secret

  通过 Volume 使用 Secret,容器必须从文件读取数据,会稍显麻烦,Kubernetes 还支持通过环境变量使用 Secret。

  Pod 配置文件示例如下:

[root@ren7 yaml]# cat pod3.yml

apiVersion: v1

kind: Pod

metadata:

  name: mypod3

spec:

  containers:

    - name: mypod3

      image: reg.yunwei.com/learn/busybox:latest

      args:

      - /bin/sh

      - -c

      - sleep 10; touch /tmp/healthy; sleep 30000

      env:

      - name: SECRET_USERNAME

        valueFrom:

          secretKeyRef:

            name: mysecret

            key: username

      - name: SECRET_PASSWORD

        valueFrom:

          secretKeyRef:

            name: mysecret

            key: password

  创建 Pod 并读取 Secret。

[root@ren7 yaml]# kubectl apply -f pod3.yml

pod/mypod3 created

[root@ren7 yaml]# kubectl exec -it mypod3 /bin/sh

/ #

/ # ls /etc/foo

ls: /etc/foo: No such file or directory

/ # echo $SECRET_USERNAME

admin

/ # echo $SECRET_PASSWORD

abcdef

/ # exit

  通过环境变量 SECRET_USERNAME 和 SECRET_PASSWORD 成功读取到 Secret 的数据。

  需要注意的是,环境变量读取 Secret 很方便,但无法支撑 Secret 动态更新。

  Secret 可以为 Pod 提供密码、Token、私钥等敏感数据。

k8s管理机密信息(12)的更多相关文章

  1. 用 k8s 管理机密信息 - 每天5分钟玩转 Docker 容器技术(155)

    应用启动过程中可能需要一些敏感信息,比如访问数据库的用户名密码或者秘钥.将这些信息直接保存在容器镜像中显然不妥,Kubernetes 提供的解决方案是 Secret. Secret 会以密文的方式存储 ...

  2. K8s管理机密信息

    1. 启动应用安全信息的保护 Secret介绍 应用启动过程中可能需要一些敏感信息,比如访问数据库的用户名密码或者秘钥.将这些信息直接保存在容器镜像中显然不妥,Kubernetes 提供的解决方案是 ...

  3. k8s管理机密信息(9)

    一.启动应用安全信息的保护: Secret介绍: 应用启动过程中可能需要一些敏感信息,比如访问数据库的用户名密码或者秘钥.将这些信息直接保存在容器镜像中显然不妥,Kubernetes 提供的解决方案是 ...

  4. k8s 管理机密信息

    一.启动应用安全信息的保护: Secret介绍: 应用启动过程中可能需要一些敏感信息,比如访问数据库的用户名密码或者秘钥.将这些信息直接保存在容器镜像中显然不妥,Kubernetes 提供的解决方案是 ...

  5. 用 k8s 管理机密信息【转】

    应用启动过程中可能需要一些敏感信息,比如访问数据库的用户名密码或者秘钥.将这些信息直接保存在容器镜像中显然不妥,Kubernetes 提供的解决方案是 Secret. Secret 会以密文的方式存储 ...

  6. ASP.NET MVC+EF框架+EasyUI实现权限管理系列(12)-实现用户异步登录和T4模板

    原文:ASP.NET MVC+EF框架+EasyUI实现权限管理系列(12)-实现用户异步登录和T4模板 ASP.NET MVC+EF框架+EasyUI实现权限管系列 (开篇)   (1):框架搭建  ...

  7. CentOS7安装CDH 第六章:CDH的管理-CDH5.12

    相关文章链接 CentOS7安装CDH 第一章:CentOS7系统安装 CentOS7安装CDH 第二章:CentOS7各个软件安装和启动 CentOS7安装CDH 第三章:CDH中的问题和解决方法 ...

  8. Kubernetes(k8s)1.12.2集群搭建

    本博客搭建k8s集群1.12.2版本 1. 准备2台以上最低2核4G的服务器 2. 关闭机器的防火墙 12 systemctl disable firewalldsystemctl stop fire ...

  9. k8s管理存储资源

    1. Kubernetes 如何管理存储资源 理解volume 首先我们学习 Volume,以及 Kubernetes 如何通过 Volume 为集群中的容器提供存储:然后我们会实践几种常用的 Vol ...

随机推荐

  1. 轻松理解 Java 静态代理/动态代理

    目录 什么是代理模式 定义 代理模式的主要角色 优点 缺点 静态代理 动态代理 JDK原生动态代理 例子 分析 小结 CGLIB动态代理 例子 分析 final类型 其他方案 尾声 理解Java动态代 ...

  2. Java(81-93)【数组】

    1.省略格式 静态初始化的时候格式还可以省略一下 int[ ] arrayA={10,20,30}; 静态和动态都可以拆 int[] arrayB; arrayB=new int[ ]{11,21,3 ...

  3. kali,创建/修改root密码,进入单元模式

    第一次发博客,从入门开始,从爱好变为工作 本人学习渗透不到一个月,如果有大佬看到此文章请不要喷,毕竟萌新不懂事,哈哈~ kali是一种非常强大的渗透工具 先说一下kali中的三个符号把   ~    ...

  4. Day14_75_反射(reflect)

    反射 反射的基本概念 反射是由Smith在1982年首次提出,主要是指程序可以访问,检测,修改它本身状态或行为的一种能力.并且能够根据自身行为的状态或结果,调整和修改所描述行为的状态和相关语义. ja ...

  5. ORM 创新解放劳动力 -SqlSugar 新功能介绍

    介绍 SqlSugar是一款 老牌 .NET 开源ORM框架,由果糖大数据科技团队维护和更新 ,Github star数仅次于EF 和 Dapper 优点: 简单易用.功能齐全.高性能.轻量级.服务齐 ...

  6. JMeter 结果处理常见问题

    1. 前言 2. 结果处理常见问题 1)在察看结果树中只看失败情况 2)如何把日志放入文件查看 3)cvs 文件中文读取乱码 4)失败请求数据的采集 5)结果树响应数据中文乱码解决办法 1. 前言 工 ...

  7. 粗浅聊聊Python装饰器

    浅析装饰器 通常情况下,给一个对象添加新功能有三种方式: 直接给对象所属的类添加方法: 使用组合:(在新类中创建原有类的对象,重复利用已有类的功能) 使用继承:(可以使用现有类的,无需重复编写原有类进 ...

  8. 基于MATLAB的手写公式识别(10)

    2公式分割 2.1投影分割法 12:23:00 完成水平和垂直两个方向上的投影 15:32:23 水平投影只投到水平方向的影,垂直投影只投到垂直方向上的影. 16:51:38  17:37:08 终其 ...

  9. 077 Kuchiguse

    The Japanese language is notorious for its sentence ending particles. Personal preference of such pa ...

  10. ES系列(四):http请求分发框架解析

    上一篇讲解了es的网络通信模块实现过程,大致明白其工作原理.再总结一下,就是基于netty编程范式,形成es通信基础.从而,最终我们得到几个重要的handler: Netty4HttpPipelini ...