k8s之Secret

Liusy01發表於2021-01-18

K8S

導讀

上一篇說了ServiceAccount，這一篇就來看一下Secret。

Secret

Secret的主要作用是保管私密資料，比如密碼、OAuth Tokens、SSH Keys等資訊。

上一篇說到，預設的Secret主要包含三個東西，分別是token、ca.crt、namespace

當然，也可以包含其他資訊，

例如：建立一個Secret

apiVersion: v1
kind: Secret
metadata:
  name: secret
type: Opaque
data:
  password: base64
  username: base64

在data域中的各子域的值必須是BASE64編碼值。

Secret被建立之後，可以通過下列三種方式使用它：

（1）為Pod指定Service Account來自動使用該Secret

apiVersion: v1
kind: Pod
metadata:
  name: pod
spec:
  containers:
  - name: pod
    image: image
  serviceAccountName: serviceaccount

（2）通過掛載該Secret到Pod來使用它

apiVersion: v1
kind: Pod
metadata:
  name: pod
spec:
  containers:
  - name: pod
    image: image
    volumeMounts:
    - name: foo
      mountPath: "/data"
      readOnly: true
  volumes:
  - name: foo
    secret:
      secretName: secretname

（3）在Docker映象下載時使用，通過設定spec.imagePullSecrets來引用

1、docker登陸私有倉庫

docker login localhost:5000

輸入使用者名稱和密碼，如果是第一次登陸，則會建立使用者，相關資訊會被寫入~/.docker/config.json檔案中

2、用BASE64編碼~/.docker/config.json的內容

cat ~/.docker/config.json | base64

3、將第二步的輸出結果作為secret的data.dockercfg域的內容，由此建立一個Secret

apiVersion: v1
kind: Secret
metadata:
  name: base64secret
data:
  .dockercfg: ewoJImF1dGhzIjogewoJCSJsb2NhbGhvc3Q6NTAwMCI6IHsKCQkJImF1dGgiOiAiYkdsMWMzazZNVEl6TkRVMiIKCQl9Cgl9LAoJIkh0dHBIZWFkZXJzIjogewoJCSJVc2VyLUFnZW50IjogIkRvY2tlci1DbGllbnQvMTkuMDMuMTIgKGxpbnV4KSIKCX0KfQ==
type: kubernetes.io/dockercfg

4、在建立Pod時引用該Secret

apiVersion: v1
kind: Pod
metadata:
  name: k8sdemo
spec:
  containers:
  - name: k8sdemo
    image: cnode-1:5000/k8sdemo:v1.3
    imagePullPolicy: IfNotPresent
    ports:
    - containerPort: 8080
  imagePullSecrets:
  - name: base64secret

在使用Mount方式掛載Secret時，Container中Secret的data域的各個域的key值作為目錄的檔案，Value值被BASE64編碼後存在相應的檔案中

該Container中可通過相應的查詢命令檢視所生成的檔案和檔案中的內容，如下所示：

可以通過Secret保管敏感資訊，並以Mount方式將Secret掛載到Container中，然後通過訪問目錄中檔案的方式獲取資訊。

當Pod被API Server建立時，API Server不會檢驗該Pod引用的Secret是否存在，一旦這個Pod被排程，則kubelet將試著去獲取Secret的值，如果Secret不存在或暫時無法連線到API Server，則kubelet將按時間間隔定期重試獲取該Secret，併傳送一個Event來解釋Pod沒有啟動的原因，一旦Secret被Pod獲取，則kubelet將建立並掛載包含Secret的Volume。只有所有Volume都掛載成功，Pod中的Container才會被啟動，在kubelet啟動Pod中的Container後，Container中和Secret相關的Volume將不會被改變，即使Secret本身被修改。為了使用更新後的Secret，必須刪除舊Pod，並重新建立一個新Pod

k8s入門之Secret(十)
2022-05-08
K8S
容器編排系統K8s之ConfigMap、Secret資源
2020-12-27
K8S
Kubernetes(k8s)密碼管理：Secret
2023-02-01
K8S密碼
k8s使用secret從私有倉庫拉取映象
2020-12-02
K8S
k8s配置中心-configmap,Secret密碼
2021-12-09
K8S密碼
使用kubeseal加密和管理k8s叢集的secret
2022-06-10
加密K8S
k8s叢集ConfigMap和Secret儲存卷
2019-10-26
K8S
k8s env、configmap、secret外部資料載入配置
2022-01-07
K8S
kubernetes系列(十二) - 儲存之Secret
2020-07-07
Secret Sport
2024-03-10
kubernetes實踐之六十二：Secret 使用
2018-06-21
kubernetes實踐之十四：Service Account與Secret
2018-04-11
Css Secret 案例全套
2018-03-11
CSS
Android Secret Code
2014-09-23
Android
3.k8s儲存之ConfigMap、Secret
2021-01-11
K8S
k8s 部署 custom-metrics-apiserver 時使用 secret 儲存 ca 證書遇到的問題
2020-01-13
K8SAPIServer
The Cryptography API, or How to Keep a Secret(四) (轉)
2007-10-04
API
k8s之deployment詳解
2021-07-19
K8S
k8s之pod排程
2021-07-14
K8S
k8s之叢集管理
2021-01-31
K8S
k8s重器之Service
2020-12-28
K8S
k8s之pod講解
2022-02-27
K8S
k8s之minikube搭建
2018-01-23
K8S
laravel 獲取token 'secret' of non-object
2021-06-07
LaravelObject
Mac的秘密資料夾:Secret Folder
2021-02-22
Mac
Secret Data Cage防洩密軟體
2016-06-29
The Secret Mixed-Signal Life of PWM Peripherals
2015-09-14
k8s入門之pod(四)
2022-04-19
K8S
k8s入門之Deployment(五)
2022-04-20
K8S
k8s入門之Service(六)
2022-04-21
K8S
k8s 日誌收集之 EFK
2021-03-14
K8S
k8s之深入解剖Pod（一）
2020-12-20
K8S
k8s之深入解剖Pod（二）
2020-12-21
K8S
k8s之API Server認證
2021-01-10
K8SAPIServer
k8s之深入解剖Pod（三）
2020-12-23
K8S
k8s之RBAC授權模式
2021-01-13
K8S模式
K8S之Volume儲存
2020-10-02
K8S
Android 程式設計下的 Secret Code
2014-12-17
Android程式設計

k8s之Secret

導讀

Secret

相關文章