Kubernetes---存储--Secret

其他 2020-04-30 15:49:27 阅读次数: 0

在k8s中ConfigMap可以去保存配置文件以及一些数据,这些数据可以被导入到Pod内部成为环境变量或者文件,从而可以达到热更新的目的。但这些文件在k8s中是以明文的形式保存的。

密码文件、密钥文件这些类型的文件通过ConfigMap去保存就不是很合适,在k8s,还有一种保存机制,Secret。

⒈存在意义

  Secret解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec 中。Secret 可以以Volume或者环境变量的方式使用。

⒉Secret类型

  Secret有三种类型:

  1,Service Account

    用来访问Kubernetes API,由Kubernetes 自动创建,并且会自动挂载到Pod的 /run/secrets/kubernetes.io/serviceaccount 目录中

  2,Opaque

    base64编码格式的Secret,用来存储密码、密钥等,注意加密程度并不高。

  3,kubernetes.io/dockerconfigjson

    用来存储私有docker registry的认证信息

⒊Service Account

  Service Account用来访问Kubernetes API,由Kubernetes 自动创建,并且会自动挂载到Pod的 /run/secrets/kubernetes.io/serviceaccount 目录中,不需要我们手动去管理和创建。

  我们可以查看一下

  1.新建pod

kubectl run nginx --image nginx

  2.查看所有pod

kubectl get pods

  3.查看指定pod

kubectl exec nginx-3137573019-md1u2 ls /run/secrets/kubernetes.io/serviceaccount

⒋Opaque Secret

  1.创建说明

  Opaque类型的数据是一个 map类型,要求value是 base64 编码格式
  **输出指定字符的base64加密形式 
echo -n "coreqi" | base64

  **输出指定字符的base64解密形式

echo -n "MWYyZDF1MmU2N2Rm" | base64 -d

  2.secrets.yml

apiVersion: v1 
kind: Secret 
metadata:
  name: mysecret 
type: Opaque 
data:
  password: MWYyZDF1MmU2N2Rm 
  username: YWRtaW4=

  3.使用方式(两种)

    1、将Secret挂载到Volume中,保存成文件

apiVersion: v1 
kind: Pod 
metadata:
  labels:
    name: seret-test 
  name: seret-test 
spec:
  volumes:
  - name: secrets 
    secret:
      secretName: mysecret 
  containers:
  - image: hub.coreqi.cn/library/myapp:v1 
    name: db 
    volumeMounts:
    - name: secrets 
      mountPath: "/etc/secrets"
      readOnly: true

    2、将Secret导出到环境变量中

apiVersion: extensions/v1beta1 
kind: Deployment 
metadata:
  name: pod-deployment 
spec:
  replicas: 2 
  template:
    metadata:
      labels:
        app: pod-deployment 
    spec:
      containers:
      - name: pod-1 
        image: hub.coreqi.cn/library/myapp:v1 
        ports:
        - containerPort: 80 
        env:
        - name: TEST_USER 
          valueFrom:
            secretKeyRef:
              name: mysecret 
              key: username 
        - name: TEST_PASSWORD 
          valueFrom:
            secretKeyRef:
              name: mysecret 
              key: password

⒌kubernetes.io/dockerconfigjson

  1.使用Kuberctl 创建docker registry 认证的 secret 
kuberctl create secret docker-registry myregistrykey --docker-server=hub.coreqi.cn --docker-username=fanqi [email protected]

  2.在创建 Pod 的时候,通过 imagePullSecrets 来引用刚创建的`myregistrykey `

apiVersion: v1 
kind: Pod 
metadata:
  name: foo 
spec:
  containers:
    - name: foo 
      image: roc/coreqi:v1 
  imagePullSecrets:
    - name: myregistrykey
 

猜你喜欢

转载自www.cnblogs.com/fanqisoft/p/12809196.html
今日推荐
国产云输入法——仅华为无云端数据上传安全问题
开源日报 | 工业开源项目OGG 1.0;姐姐,你要和我一起配置火狐吗;苹果AI遥遥落后?Fedora 40
开放签电子签章:停止新增,优化体验,前进更进(五一假期前工作)
开源日报 | 中学生开源前端动画引擎;全球首个Llama3 8B中文版开源模型;联想电脑恐出局;Linus讽刺AI炒作
“百模大战”必有一战 | 2024中国“百模大战”竞争格局分析
最强开源大模型 Llama 3 上架 Gitee AI
周排行
自媒体文章如何提高原创度以及如何检测原创度
开启qq邮箱的smtp服务
Qt程序单次启动(QSingleApplication类)
国外的外包网站
更新IDEA主题——放飞代码风格
cocos2dx 实现搓牌效果(翻牌效果),包括铺平动画
dict和json之间的互相转换
angular的一些思考
. Fibonacci数列是这样定义的: F[0] = 0 F[1] = 1 for each i ≥ 2: F[i] = F[i-1] + F[i-2] 因此,Fibonacci数列就形如:0, 1
洛谷P1064 金明的预算方案
每日归档
更多
2024-04-25(22)
2024-04-24(36)
2024-04-23(26)
2024-04-22(39)
2024-04-21(0)
2024-04-20(6)
2024-04-19(5)
2024-04-18(0)
2024-04-17(5)
2024-04-16(70)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022