一緒に書く習慣をつけましょう!「ナゲッツデイリーニュープラン・4月アップデートチャレンジ」に参加して5日目です。クリックしてイベントの詳細をご覧ください。
I.はじめに
ConfigMap機密データを渡す必要がありSecretます。
Secretオブジェクトは、、、、などの機密情報を保存および管理できpasswordsます。OAuth tokensssh keys機密情報をSecretオブジェクトPodは、定義ファイルやコンテナイメージよりも安全で柔軟性があります。Secretオブジェクトを使用すると、データの使用方法をより適切に制御し、偶発的な開示のリスクを減らすことができます。
ユーザーはSecretオブジェクト、kubernetesシステムはいくつかのSecretオブジェクト。
Secret作成したら、次の3つの方法で作成できます。
Pod作成時に、Podを指定することでService Account自動的にSecret- に取り付け
SecretてPod使用してください Dockerミラーのダウンロード時に使用します。指定Podして参照してください。spc.ImagePullSecrets
データを保存するときConfigMapとSecretか?
- 機密性の低い構成情報を
ConfigMap保存ます - 機密性の高い構成情報を
Secret保存ます - 構成ファイルに機密情報と非機密情報の両方が含まれている場合でも、保存することを選択
Secretし
SecretConfigMapと比較すると、類似点と相違点の両方があります。リストは次のとおりです。 類似点:
- 存储数据都属于
key-value键值对形式 - 属于某个特定的
namespace - 可以导出到环境变量
- 可以通过目录/文件形式挂载(支持挂载所有
key和部分key)
不同点:
Secret可以被ServerAccount关联使用Secret可以存储Register的鉴权信息,用于ImagePullSecret参数中,用于拉取私有仓库的镜像Secret支持Base64加密Secret分为Opaque、kubernetes.io/Service Account、kubernetes.io/dockerconfigjson三种类型,ConfigMap不区分类型Secret文件存储在tmpfs文件系统中,Pod删除后Secret文件也会对应被删除
二、默认令牌Secret
Service Accounts使用API证书自动创建并且绑定Secret。
kubernetes系统可以自动创建用于访问API证书的Secret,并且可以自动绑定到Pod中使用这种类型的Secret。
可以根据需要禁用或覆盖重写这类 Secret,但是通常情况下如果考虑到安全性,更加推荐使用系统默认创建的 Secret。
-
查看系统默认创建的
Secret:kubectl get secrets -
查看
Secrets详细信息:kubectl describe secrets -
新建
yaml
apiVersion: v1
kind: Pod
metadata:
name: nginx-manual
spec:
containers:
- image: registry.cn-hangzhou.aliyuncs.com/chenshi-kubernetes/nginx:1.9.1
name: nginx
ports:
- containerPort: 80
protocol: TCP
复制代码- 执行创建
$ kubectl create -f nginx-manual.yaml
pod/nginx-manual created
复制代码- 查看详细信息
$ kubectl describe pod nginx-manual
# 这里显示了 default-token-sz72t Secret 被挂载到了容器中的 /var/run/secrets/kubernetes.io/serviceaccount 目录下
Mounts:
/var/run/secrets/kubernetes.io/serviceaccount from default-token-sz72t (ro)
复制代码- 查看容器该目录下的文件名是否符合
$ kubectl exec nginx-manual ls /var/run/secrets/kubernetes.io/serviceaccount
ca.crt
namespace
token
复制代码**Tips: **
-
当
pod被API Service创建时,API Service不会校验该pod引用的Secret是否存在 -
これ
podがディスパッチさkubeletれると、次Secretの値を取得しようとします -
Secret存在しないか、一時的に接続できないAPI Secret場合kubeletは定期的に再試行して一定間隔で取得し、起動しなかった理由を説明するためにSecret送信します。Eventpod -
取得すると、含まれているものが
Secret作成およびマウントされ、すべてがにのみ開始されます。PodkubeletSecretVolumeVolumePodContainer
3.作成Secret
Secret3つの方法を作成します。
kubectlyaml構成ファイル- ジェネレーターの作成
secret
(1)kubectl作成に使用secret
- アカウントとパスワードを定義する
echo -n 'admin' > /home/donald/username.txt
echo -n '1f2d1e2e67df' > /home/donald/password.txt
复制代码- 作成
$ kubectl create secret generic db-user-pass --from-file=/home/donald/username.txt --from-file=/home/donald/password.txt
secret/db-user-pass created
复制代码- 小切手
Secret
kubectl get secrets
复制代码(2)yaml構成ファイル
ファイルはjsonまたはyaml
定義されSecretているフィールドには2つのタイプがあります。
data:Base64エンコード後のデータstringData:プレーンテキストにすることができます
- アカウントとパスワードを定義する
echo -n 'admin' | base64
YWRtaW4=
$ echo -n '123' | base64
MTIz
复制代码- 作成
secret.yaml
apiVersion: v1
kind: Secret
metadata:
name: mysecret
type: Opaque
data:
username: YWRtaW4=
password: MTIz
复制代码- 作成を実行します
$ kubeclt create -f secre.yaml
secret/mysecret created
复制代码(3)ジェネレーターの作成Secret
kubectlv1.14バージョンはKustomize管理ます
kustomization.yamlビルダーフィールドを作成するsecretGenerator
cat <<EOF >/home/donald/kustomization.yaml
secretGenerator:
- name: db-user-pass
files:
- username.txt
- password.txt
EOF
复制代码またはkey-valueフォーム
cat <<EOF >/home/donald/kustomization.yaml
secretGenerator:
- name: db-user-pass
literals:
- username=admin
- password=secret
EOF
复制代码- 作成を実行します
kubectl apply -k .
复制代码- 小切手
kubectl get secrets
复制代码