溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
Secret :用來保存一些敏感信息,比如數據庫的用戶名密碼或者秘鑰。
Secret是用來保存小片敏感數據的k8s資源,例如密碼,token,或者秘鑰。這類數據當然也可以存放在Pod或者鏡像中,但是放在Secret中是為了更方便的控制如何使用數據,并減少暴露的風險。
用戶可以創建自己的secret,系統也會有自己的secret。
Pod需要先引用才能使用某個secret,Pod有2種方式來使用secret:作為volume的一個域被一個或多個容器掛載;在拉取鏡像的時候被kubelet引用。
由ServiceAccount創建的API證書附加的秘鑰
k8s自動生成的用來訪問apiserver的Secret,所有Pod會默認使用這個Secret與apiserver通信
Secret有三種類型:
*** Opaque:使用base64編碼存儲信息,可以通過base64 --decode解碼獲得原始數據,因此安全性弱。
用戶名: root
密碼: 123.com
[root@master secret]# kubectl create secret generic mysecret1 --from-literal=username=root --from-literal=pasword=123.com
generic:通用的,一般的加密方式
[root@master secret]# kubectl get secrets 
類型是Opaque(不透明的)
[root@master secret]# echo root > username
[root@master secret]# echo 123.com > password[root@master secret]# kubectl create secret generic mysecret2 --from-file=username --from-file=password [root@master secret]# kubectl get secrets
[root@master secret]#vim env.txt
username=root
password=123.com[root@master secret]# kubectl create secret generic mysecret3 --from-env-file=env.txt [root@master secret]# kubectl get secrets 
[root@master secret]# echo root | base64
cm9vdAo=
[root@master secret]# echo 123.com | base64
MTIzLmNvbQo=解碼:
[root@master secret]# echo -n cm9vdAo | base64 --decode root [root@master secret]# echo -n MTIzLmNvbQo | base64 --decode 123.com
[root@master secret]# vim secret4.yaml
apiVersion: v1
kind: Secret
metadata:
name: mysecret4
data:
username: cm9vdAo=
password: MTIzLmNvbQo=[root@master secret]# kubectl apply -f secret4.yaml [root@master secret]# kubectl get secrets 
secret可以作為數據卷掛載或者作為環境變量暴露給Pod中的容器使用,也可以被系統中的其他資源使用。比如可以用secret導入與外部系統交互需要的證書文件等。
在Pod中以文件的形式使用secret
- 創建一個Secret,多個Pod可以引用同一個Secret
- 修改Pod的定義,在spec.volumes[]加一個volume,給這個volume起個名字,spec.volumes[].secret.secretName記錄的是要引用的Secret名字
- 在每個需要使用Secret的容器中添加一項spec.containers[].volumeMounts[],指定spec.containers[].volumeMounts[].readOnly = true,spec.containers[].volumeMounts[].mountPath要指向一個未被使用的系統路徑。
- 修改鏡像或者命令行使系統可以找到上一步指定的路徑。此時Secret中data字段的每一個key都是指定路徑下面的一個文件名
[root@master secret]# vim pod.yaml
apiVersion: v1
kind: Pod
metadata:
name: mypod
spec:
containers:
- name: mypod
image: busybox
args:
- /bin/sh
- -c
- sleep 300000
volumeMounts:
- name: secret-test
mountPath: "/etc/secret-test" #pod中的路徑
readOnly: true #是否只讀
volumes:
- name: secret-test
secret:
secretName: mysecret1每一個被引用的Secret都要在spec.volumes中定義
如果Pod中的多個容器都要引用這個Secret那么每一個容器定義中都要指定自己的volumeMounts,但是Pod定義中聲明一次spec.volumes就好了。
映射secret key到指定的路徑
可以控制secret key被映射到容器內的路徑,利用spec.volumes[].secret.items來修改被映射的具體路徑
[root@master secret]# kubectl apply -f pod.yaml 可以指定secret文件的權限,類似linux系統文件權限,如果不指定默認權限是0644,等同于linux文件的-rw-r--r--權限
[root@master secret]# kubectl exec -it mypod /bin/sh
/ # cd /etc/secret-test/
/etc/secret-test # ls
pasword username/etc/secret-test # cat username
root
/etc/secret-test # cat pasword
123.com123.com/etc/secret-test # echo admin > username
/bin/sh: can't create username: Read-only file system[root@master yaml]# vim pod.yaml
apiVersion: v1
kind: Pod
metadata:
name: mypod
spec:
containers:
- name: mypod
image: busybox
args:
- /bin/sh
- -c
- sleep 300000
volumeMounts:
- name: secret-test
mountPath: "/etc/secret-test" #pod中的路徑
readOnly: true #是否只讀
volumes:
- name: secret-test
secret:
secretName: mysecret1
items:
- key: username
path: my-group/my-username #自定義的容器中的目錄
- key: password
path: my-group/my-password #自定義的容器中的目錄[root@master yaml]# kubectl apply -f pod.yaml[root@master secret]# kubectl exec -it mypod /bin/sh
//進入容器查看
cat /etc/secret-test/my-group/my-password
123.com
cat /etc/secret-test/my-group/my-username
root會實時更新(這里引用數據,是以volumes掛 載使用數據的方式)。
更新mysecret1的數據: password ---> admin YWRtaW4K (base64)
可以通過edit 命令,直接修改。
[root@master secret]# kubectl edit secrets mysecret1
[root@master secret]# kubectl exec -it mypod /bin/sh
//進入容器查看
cat /etc/secret-test/my-group/my-password
admin
cat /etc/secret-test/my-group/my-username
root數據已經成功更新了
創建一個Secret,多個Pod可以引用同一個Secret
修改pod的定義,定義環境變量并使用env[].valueFrom.secretKeyRef指定secret和相應的key
修改鏡像或命令行,讓它們可以讀到環境變量
編寫pod的yaml文件
[root@master secret]# vim pod-env.yaml
apiVersion: v1
kind: Pod
metadata:
name: mypod2
spec:
containers:
- name: mypod
image: busybox
args:
- /bin/sh
- -c
- sleep 300000
env:
- name: SECRET_USERNAME
valueFrom:
secretKeyRef:
name: mysecret2
key: username
- name: SECRET_PASSWORD
valueFrom:
secretKeyRef:
name: mysecret2
key: password[root@master secret]# kubectl apply -f pod-env.yaml [root@master secret]# kubectl get pod
[root@master secret]# kubectl exec -it mypod2 /bin/sh
/ # echo $SECRET_USERNAME
root
/ # echo $SECRET_PASSWORD
123.com [root@master yaml]# kubectl edit secrets mysecret2
//修改保存文件的內容
[root@master secret]# kubectl exec -it mypod2 /bin/sh
/ # echo $SECRET_USERNAME
root
/ # echo $SECRET_PASSWORD
123.com等待了一定時間后,可以看到這個數據并沒有沒有改變
如果引用secret數據的應用, 要求會隨著secret資源對象內保存的數據的更新,而實時更新,那么應該使用volumes掛載的方式引用資源因為用環境變量的方式引用不會實時更新數據。
上面提到的Secret可以為Pod提供機密數據的存儲,而對于一些非機密敏感的數據,像一些應用的配置信息啊神馬的,則可以使用Configmap。
Configmap的創建與使用方式與Secret非常類似,不同點只在于數據以明文形式存放(不過,我覺得Secret的密文形式也并不密文,只能算得上是簡單編碼)。
和Secret資源類似,不同之處在于,secret 資源保存的是敏感信息,而Configmap保存的是以明文方式存放的數據。
username:adam
age:18
[root@master yaml]# kubectl create configmap myconfigmap1 --from-literal=username=adam --from-literal=age=18[root@master yaml]# kubectl get cm
[root@master yaml]# kubectl describe cm
[root@master yaml]# echo adam > username
[root@master yaml]# echo 18 > age[root@master yaml]# kubectl create configmap myconfigmap2 --from-file=username --from-file=age [root@master yaml]# kubectl describe cm
[root@master yaml]# vim env.txt
username=adam
age=18[root@master yaml]# kubectl create configmap myconfigmap3 --from-env-file=env.txt[root@master configmap]# kubectl describe cm
[root@master yaml]# vim configmap.yaml
apiVersion: v1
kind: ConfigMap
metadata:
name: myconfigmap4
data:
username: 'adam'
age: '18'[root@master yaml]# kubectl apply -f configmap.yaml [root@master yaml]# kubectl describe cm
[root@master yaml]# vim v-pod.yaml
apiVersion: v1
kind: Pod
metadata:
name: pod1
spec:
containers:
- name: mypod
image: busybox
args:
- /bin/sh
- -c
- sleep 300000
volumeMounts:
- name: cmp-test
mountPath: "/etc/cmp-test"
readOnly: true
volumes:
- name: cmp-test
configMap:
name: myconfigmap1[root@master configmap]# kubectl apply -f v-pod.yaml [root@master configmap]# kubectl exec -it pod1 /bin/sh
//進入容器查看一下
> cat /etc/cmp-test/age
18/
> cat /etc/cmp-test/username
adam/ [root@master configmap]# vim v-pod2.yaml
apiVersion: v1
kind: Pod
metadata:
name: pod3
spec:
containers:
- name: mypod
image: busybox
args:
- /bin/sh
- -c
- sleep 300000
volumeMounts:
- name: cmp-test
mountPath: "/etc/cmp-test"
readOnly: true
volumes:
- name: cmp-test
configMap:
name: myconfigmap1
items:
- key: username
path: my-group/my-username #自定義的容器中的目錄
- key: age
path: my-group/my-age #自定義的容器中的目錄 [root@master configmap]# kubectl apply -f v-pod2.yaml[root@master configmap]# kubectl exec -it pod3 /bin/sh
//進入容器查看
> cat /etc/cmp-test/my-group/my-username
adam/
> cat /etc/cmp-test/my-group/my-age
18/ [root@master configmap]# kubectl edit cm myconfigmap1
[root@master configmap]# kubectl exec -it pod3 /bin/sh
//進入容器查看
> cat /etc/cmp-test/my-group/my-username
adam/
> cat /etc/cmp-test/my-group/my-age
10可以看到更新成功
[root@master configmap]# vim e-pod.yaml
apiVersion: v1
kind: Pod
metadata:
name: pod2
spec:
containers:
- name: mypod
image: busybox
args:
- /bin/sh
- -c
- sleep 300000
env:
- name: CONFIGMAP_NAME
valueFrom:
configMapKeyRef:
name: myconfigmap2
key: username
- name: CONFIGMAP_AGE
valueFrom:
configMapKeyRef:
name: myconfigmap2
key: age[root@master configmap]# kubectl apply -f e-pod.yaml [root@master configmap]# kubectl exec -it pod2 /bin/sh
//進入容器查看一下
> echo $CONFIGMAP_NAME
adam
> echo $CONFIGMAP_AGE
18[root@master configmap]# kubectl edit cm myconfigmap2
//修改保存文件的內容
[root@master configmap]# kubectl exec -it pod2 /bin/sh
//進入容器查看一下
> echo $CONFIGMAP_NAME
adam
> echo $CONFIGMAP_AGE
18等待了一定時間后,可以看到這個數據并沒有沒有改變
可以看出這個configmap和secret的更新效果基本沒有區別。
相同點:
key/value的形式
屬于某個特定的namespace
可以導出到環境變量
可以通過目錄/文件形式掛載
通過 volume 掛載的配置信息均可熱更新
不同點:
Secret 可以被 ServerAccount 關聯
Secret 可以存儲 docker register 的鑒權信息,用在 ImagePullSecret 參數中,用于拉取私有倉庫的鏡像
Secret 支持 Base64 加密
Secret 分為 kubernetes.io/service-account-token、kubernetes.io/dockerconfigjson、Opaque 三種類型,而 Configmap 不區分類型
volumes掛載(可根據更改數據更新):引用自己創建的secret(密文)或configmap(明文),掛載到容器中指定的目錄下。查看保存的文件時,根據自己所填路徑和secret或configmap創建的文件,進行查看。
環境變量(不因更改數據更新):引用自己創建的secret(密文)或configmap(明文),掛載到容器中指定的目錄下。查看保存的文件時,根據自己環境變量,進行查看。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
