https://www.kubernetes.org.cn/secret

secret 主要解决密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中

Secret可以以Volume或者环境变量的方式使用(共两种方式)

Secret有三种类型:

  • Service Account:用来访问Kubernetes API,由Kubernetes自动创建,并且会自动挂载到Pod的/run/secrets/kubernetes.io/serviceaccount目录中;
  • Opaque:base64编码格式的Secret,用来存储密码、密钥等;
  • kubernetes.io/dockerconfigjson:用来存储私有docker registry的认证信息;

实验 (Opaque)

第一步:加密用户及密码

╭─root@node1 ~

╰─➤  echo "123" | base64

MTIzCg==

╭─root@node1 ~

╰─➤  echo "node1" | base64

bm9kZTEK

第二步:编写secret的yml文件

apiVersion: v1

kind: Secret

metadata:

   name: mysecret

data:

   hostname: bm9kZTEK

   password: MTIzCg==

第三步:执行secret文件

╭─root@node1 ~

╰─➤  kubectl apply -f secret.yml

secret/mysecret created

第四步:查看

╭─root@node1 ~

╰─➤  kubectl get secret

NAME                  TYPE                                  DATA   AGE

default-token-ngn4n   kubernetes.io/service-account-token   3      10d

mysecret              Opaque                                2      2m4s

╭─root@node1 ~

╰─➤  kubectl describe secret mysecret

Name:         mysecret

Namespace:    default

Labels:       <none>

Annotations:

Type:         Opaque

Data

====

hostname:  6 bytes

password:  4 bytes

第五步:获取加密数据

╭─root@node1 ~

╰─➤  kubectl edit secret mysecret

# Please edit the object below. Lines beginning with a '#' will be ignored,

# and an empty file will abort the edit. If an error occurs while saving this file will be

# reopened with the relevant failures.

#

apiVersion: v1

data:

  hostname: bm9kZTEK    # 加密数据

  password: MTIzCg==    # 加密数据

kind: Secret

metadata:

  annotations:

    kubectl.kubernetes.io/last-applied-configuration: |

      {"apiVersion":"v1","data":{"hostname":"bm9kZTEK","password":"MTIzCg=="},"kind":"Secret","metadata":{"annotations":{},"name":"mysecret","namespace":"default"}}

  creationTimestamp: "2019-08-30T08:00:24Z"

  name: mysecret

  namespace: default

  resourceVersion: "244709"

  selfLink: /api/v1/namespaces/default/secrets/mysecret

  uid: f8a21f4c-18ce-4b13-814a-c20ee5efbe23

type: Opaque

第六步:解码

╭─root@node1 ~

╰─➤  echo "MTIzCg==" | base64 --decode

123

╭─root@node1 ~

╰─➤  echo "bm9kZTEK" | base64 --decode

node1

使用secret

以volume的形式挂载到pod

第一步:编写pod的yml文件

apiVersion: v1

kind: Pod

metadata:

   name: pod-secret

spec:

   containers:

   - name: busybox

     image: busybox

     imagePullPolicy: IfNotPresent

     command: ["/bin/sh","-c","touch test;sleep 60000"]

     volumeMounts:

     - name: du

       mountPath: /tmp

   volumes:

   - name: du

     secret:

        secretName: mysecret

第二步:执行

╭─root@node1 ~

╰─➤  kubectl apply -f busybox-secret.yml

pod/pod-secret created

第三步:进入pod查看

╭─root@node1 ~

╰─➤  kubectl exec -it pod-secret /bin/sh

/ # ls

bin   dev   etc   home  proc  root  sys   test  tmp   usr   var

/ # cd tmp

/tmp # ls

hostname  password

/tmp # cat hostname

node1

/tmp # cat password

123

/tmp #

第四步:动态更新密码

1、生成新密码

╭─root@node1 ~

╰─➤  echo 1234 | base64

MTIzNAo=

2、修改secret文件

apiVersion: v1

kind: Secret

metadata:

   name: mysecret

data:

   hostname: bm9kZTEK

   password: MTIzNAo=

3、重新执行secret的yml文件

╭─root@node1 ~

╰─➤  kubectl apply -f secret.yml

secret/mysecret configured

第五步:查看密码

╭─root@node1 ~

╰─➤  kubectl exec -it pod-secret /bin/sh

/ # cd tmp

/tmp # ls

hostname  password

/tmp # cat password

1234

以环境变量的方式使用secret

第一步:编写yml文件

apiVersion: v1

kind: Pod

metadata:

   name: pod-mysql

spec:

   containers:

   - name: mysql

     image: mysql

     imagePullPolicy: IfNotPresent

     env:

     - name: MYSQL_ROOT_PASSWORD

       valueFrom:

          secretKeyRef:

            name: mysecret

            key: password

第二步:执行

╭─root@node1 ~

╰─➤  kubectl apply -f mysql-secret.yml

pod/pod-mysql created

第三步:查看

╭─root@node1 ~

╰─➤  kubectl get pod

NAME        READY   STATUS    RESTARTS   AGE

pod-mysql   1/1     Running   0          8s

╭─root@node1 ~

╰─➤  kubectl exec -it pod-mysql bash

root@pod-mysql:/# env

...

MYSQL_ROOT_PASSWORD=1234

...

root@pod-mysql:/#

Kubernetes -- secret (敏感数据管理)的更多相关文章

  1. Kubernetes Secret(机密存储)

    Kubernetes Secret(机密存储) 官方文档:https://kubernetes.io/docs/concepts/configuration/secret/ 加密数据并存放Etcd中, ...

  2. 【kubernetes secret 和 aws ecr helper】kubernetes从docker拉取image,kubernetes docker私服认证(argo docker私服认证),no basic auth credentials错误解决

    aws ecr helper: https://aws.amazon.com/blogs/compute/authenticating-amazon-ecr-repositories-for-dock ...

  3. kubernetes secret 和 serviceaccount删除

    背景 今天通过配置创建了一个serviceaccounts和secret,后面由于某种原因想再次创建发现已存在一个serviceaccounts和rolebindings.rbac.authoriza ...

  4. 【k8s secret token 删掉自动重建】kubernetes secret 和 serviceaccount

    https://stackoverflow.com/questions/54354243/kubernetes-secret-is-persisting-through-deletes

  5. kubernetes Configmap secret的使用

    kubernetes configmap 核心作用是让配置信息和镜像解耦,pod可以使用configmap的数据生成配置文件.如果后端的pod配置文件要改变时,只需要更改下configmap里面的数据 ...

  6. Kubernetes 存储系统 Storage 介绍:PV,PVC,SC

    要求:先了解数据docker容器中数据卷的挂载等知识 参考网址: https://www.cnblogs.com/sanduzxcvbnm/p/13176938.html https://www.cn ...

  7. Kubernetes 配置管理

    ConfigMap(可变配置管理) 对于应用的可变配置在 Kubernetes 中是通过一个 ConfigMap 资源对象来实现的,我们知道许多应用经常会有从配置文件.命令行参数或者环境变量中读取一些 ...

  8. Secret概述

    Secret 概述 Kubernetes Secret 对象可以用来储存敏感信息,例如:密码.OAuth token.ssh 密钥等.如果不使用 Secret,此类信息可能被放置在 Pod 定义中或者 ...

  9. 在Kubernetes中部署GlusterFS+Heketi

    目录 简介 Gluster-Kubernetes 部署 环境准备 下载相关文件 部署glusterfs 部署heketi server端 配置heketi client 简介 在上一篇<独立部署 ...

随机推荐

  1. java的多线程:线程安全问题

    什么是线程安全? 为什么有线程安全问题? 当多个线程同时共享,同一个全局变量或静态变量,做写的操作时,可能会发生数据冲突问题,也就是线程安全问题.但是做读操作是不会发生数据冲突问题. 抢火车的例子: ...

  2. 风炫安全web安全学习第三十四节课 文件包含漏洞防御

    风炫安全web安全学习第三十四节课 文件包含漏洞防御 文件包含防御 在功能设计上不要把文件包含的对应文件放到前台去操作 过滤各种../,https://, http:// 配置php.ini文件 al ...

  3. 风炫安全WEB安全学习第十八节课 使用SQLMAP自动化注入(二)

    风炫安全WEB安全学习第十八节课 使用SQLMAP自动化注入(二) –is-dba 当前用户权限(是否为root权限) –dbs 所有数据库 –current-db 网站当前数据库 –users 所有 ...

  4. Kubernetes官方java客户端之六:OpenAPI基本操作

    欢迎访问我的GitHub https://github.com/zq2599/blog_demos 内容:所有原创文章分类汇总及配套源码,涉及Java.Docker.Kubernetes.DevOPS ...

  5. 微信小程序API交互的自定义封装

    目录 1,起因 2,优化成果 3,实现思路 4,完整代码 1,起因 哪天,正在蚂蚁森林疯狂偷能量的我被boss叫过去,告知我司要做一个线上直播公开课功能的微信小程序,博主第一次写小程序,复习了下文档, ...

  6. InheritableThreadlocal使用问题排查

    背景 在做一个微服务系统的时候,我们的参数一般都是接在通过方法定义来进行传递的,类似这样 public void xxx(Param p, ...){ // do something } 然后这时有个 ...

  7. Azure Terraform(五)利用Azure DevOps 实现自动化部署基础资源

    一,引言 上一篇我们结合学习 Azure Traffic Manger 的内容,做了一个负载均衡的基础设施架构.通过 Terraform 部署执行计划,将整个 Azure Traffic Manage ...

  8. 飞机大战(1)--添加logo和加载动画

    注:以下代码都是用scratch 3.0版本编写 素材链接: 链接:https://pan.baidu.com/s/1sXqeZVuFgVTYT0OtqxXilw 提取码:1126 一.背景添加 导入 ...

  9. windows上传ipa到苹果开发者中(app store)的方法

    假如你已经使用过苹果开发者中心上架app,你肯定知道在苹果开发者中心的web界面,无法直接提交ipa文件,而是需要使用第三方工具,将ipa文件上传到构建版本,开发者中心才能在构建版本里选择构建版本上架 ...

  10. ovs-ofctl命令

    用于监控和管理 OpenFlow 交换机. 1. 交换机管理命令 查看交换机信息: ovs-ofctl show s1  查看交换机流表: ovs-ofctl dump-tables s1 查看端口信 ...