Secret介绍

Secret存在的意义

  Secret解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中,可以以Volume或者环境变量的方式使用

Secret有三种类型

   Service Account:用来访问Kubernetes API,由Kubernetes自动创建,并且会自动挂载到Pod的/run/secrets/kubernetes.io/serviceaccount目录中

  Opaque:base64编码格式的Secret,用来存储密码、秘钥等

  kubernetes.io/dockerconfigjson:用来存储私有 docker registry的认证信息

Service Account

只要与Kubernetes API有交互的Pod,都会自动拥有此种类型的Secret,例如kube-system名称空间下的Pod

### 随便进入kube-system下的Pod内查看是否有此类型

[root@Centos8 ~]# kubectl exec -it kube-proxy-76x2c -n kube-system -- /bin/sh

# cd /run/secrets/kubernetes.io/serviceaccount

# ls

ca.crt    namespace  token

### 可以看到,其中保存了crt、token等文件

Opaque

此种加密类型为base64,其特点就是将明文改为了密文,但是解密也非常简单,因为同一串字符串加密后的密文永远是相同的

## 加密

[root@Centos8 ~]# echo -n admin | base64

YWRtaW4=

[root@Centos8 ~]# echo -n vfan123 | base64

dmZhbjEyMw==

## 解密

[root@Centos8 ~]# echo -n dmZhbjEyMw== | base64 -d

vfan123

[root@Centos8 ~]# echo -n YWRtaW4= | base64 -d

admin

创建一个Opaque类型的Secret

vim secrets.yaml

...

apiVersion: v1

kind: Secret

metadata:

  name: mysecret

type: Opaque

data:

  password: dmZhbjEyMw==

  username: YWRtaW4=

...

kubectl create -f secrets.yaml

将此secret挂载到Pod中

[root@Centos8 secret]# vim s-volume.yaml

...

apiVersion: v1

kind: Pod

metadata:

  name: s-volume

  labels:

    type: opaque

spec:

  volumes:

  - name: secrets

    secret:

      secretName: mysecret

  containers:

  - name: db

    image: hub.vfancloud.com/test/myapp:v1

    imagePullPolicy: IfNotPresent

    volumeMounts:

    - name: secrets

      mountPath: /etc/secrets

      readOnly: true

...

[root@Centos8 secret]# kubectl create -f secrets.yaml

secret/mysecret created

## 进入container

[root@Centos8 secret]# kubectl exec -it s-volume -- /bin/sh

/etc/secrets # ls

password  username

/etc/secrets # cat password

vfan123

/etc/secrets # cat username

admin

### secret加密后的用户名和密码,传输到container中已是明文

将此secret定义到Pod的环境变量中

vim s-env.yaml

...

apiVersion: v1

kind: Pod

metadata:

  name: s-env

  labels:

    type: opaque

spec:

  containers:

  - name: pod-

    image: hub.vfancloud.com/test/myapp:v1

    imagePullPolicy: IfNotPresent

    ports:

    - containerPort:

    env:

    - name: DB_USER

      valueFrom:

        secretKeyRef:

          name: mysecret

          key: username

    - name: DB_PASSWD

      valueFrom:

        secretKeyRef:

          name: mysecret

          key: password

...

kubectl create -f s-env.yaml

## 查看环境变量

PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin

HOSTNAME=s-env

TERM=xterm

DB_USER=admin

DB_PASSWD=vfan123

kubernetes.io/dockerconfigjson

  保存docker仓库认证信息

  打开我们之前搭建的Harbor镜像仓库,设置一个私有仓库(若无搭建私有仓库可以参考本人其他随笔:https://www.cnblogs.com/v-fan/p/13034272.html)

  创建Pod,使Pod导入私有仓库的镜像文件hub.vfancloud.com/test/myapp:v2

vim s-configjson.yaml

...

apiVersion: v1

kind: Pod

metadata:

  name: s-configjson

spec:

  containers:

  - name: configjson

    image: hub.vfancloud.com/test/myapp:v2

...

[root@Centos8 secret]# kubectl create -f s-configjson.yaml

pod/s-configjson created

### 镜像导入失败,是因为私有仓库中的镜像必须登录后才可导入

[root@Centos8 secret]# kubectl get pod

NAME           READY   STATUS         RESTARTS   AGE

s-configjson   /     ErrImagePull             22s

### 详细信息中的报错信息

Failed to pull image "hub.vfancloud.com/test/myapp:v2": rpc error: code = Unknown desc = Error response from daemon: pull access denied for hub.vfancloud.com/test/myapp, repository does not exist or may require 'docker login': denied: requested access to the resource is denied

设置dockerconfigjson类型secret

## 创建secret

[root@Centos8 secret]# kubectl create secret docker-registry myregistrykey --docker-server=hub.vfancloud.com --docker-username=admin --docker-password=Harbor12345 --docker-email=vfan8991

secret/myregistrykey created

## 在资源清单中添加配置

[root@Centos8 secret]# vim s-configjson.yaml

...

apiVersion: v1

kind: Pod

metadata:

  name: s-configjson

spec:

  containers:

  - name: configjson

    image: hub.vfancloud.com/test/myapp:v2

  imagePullSecrets:

  - name: myregistrykey

...

[root@Centos8 secret]# kubectl create -f s-configjson.yaml

pod/s-configjson created

## 查看,导入成功

[root@Centos8 secret]# kubectl get pod

NAME           READY   STATUS    RESTARTS   AGE

s-configjson   /     Running             5s

Kubernetes-12:Secret介绍及演示的更多相关文章

  1. STC8H开发(三): 基于FwLib_STC8的模数转换ADC介绍和演示用例说明

    目录 STC8H开发(一): 在Keil5中配置和使用FwLib_STC8封装库(图文详解) STC8H开发(二): 在Linux VSCode中配置和使用FwLib_STC8封装库(图文详解) ST ...

  2. Kubernetes中StatefulSet介绍

    StatefulSet 是Kubernetes1.9版本中稳定的特性,本文使用的环境为 Kubernetes 1.11.如何搭建环境可以参考kubeadm安装kubernetes V1.11.1 集群 ...

  3. K8s - Kubernetes重要概念介绍(Cluster、Master、Node、Pod、Controller、Service、Namespace)

    K8s - Kubernetes重要概念介绍(Cluster.Master.Node.Pod.Controller.Service.Namespace)       Kubernetes 是目前发展最 ...

  4. Django 小实例S1 简易学生选课管理系统 0 初步介绍与演示

    Django 小实例S1 简易学生选课管理系统 第0章--初步介绍与演示 点击查看教程总目录 作者自我介绍:b站小UP主,时常直播编程+红警三,python1对1辅导老师. 1 初步介绍 先介绍下这个 ...

  5. 一、Kubernetes系列之介绍篇

      •Kubernetes介绍 1.背景介绍 云计算飞速发展 - IaaS - PaaS - SaaS Docker技术突飞猛进 - 一次构建,到处运行 - 容器的快速轻量 - 完整的生态环境 2.什 ...

  6. kubernetes资源类别介绍

    类别 名称 资源对象 Pod.ReplicaSet.ReplicationController.Deployment.StatefulSet.DaemonSet.Job.CronJob.Horizon ...

  7. kubernetes之secret

    Secret解决了密码.token.密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中.Secret可以以Volume或者环境变量的方式使用. Secret类型: Opa ...

  8. Cocos2d-x开发实例介绍特效演示

    下面我们通过一个实例介绍几个特效的使用,这个实例下图所示,下图是一个操作菜单场景,选择菜单可以进入到下图动作场景,在下图动作场景中点击Go按钮可以执行我们选择的特性动作,点击Back按钮可以返回到菜单 ...

  9. ArcSDE SDK For Java二次开发介绍、演示样例

    在一个工作中,遇到了须要java后台来查询ArcGIS 中用到的Oracle数据库空间数据,因为对ArcGIS空间数据首次接触,仅仅知道Oracle能够使用ST_GEOMETRY字段存储,例如以下图 ...

随机推荐

  1. Vue Slots

    子组件vue <template> <div> <slot v-if="slots.header" name="header"&g ...

  2. IDEA 非常重要的一些设置项 → 一连串的问题差点让我重新用回 Eclipse !

    开心一刻 建筑行业内,我看过的最凶残笑话(IT行业内好一致!) 上联:一天晚上两个甲方三更半夜四处催图只好周五加班到周六早上七点画好八点传完九点上床睡觉十分痛苦 下联:十点才过九分甲方八个短信七个电话 ...

  3. 【luogu1709】小B的询问 - 莫队

    题目描述 小B有一个序列,包含N个1~K之间的整数.他一共有M个询问,每个询问给定一个区间[L..R],求Sigma(c(i)^2)的值,其中i的值从1到K,其中c(i)表示数字i在[L..R]中的重 ...

  4. IDEA - 错误提示 Could not autowire. No beans of '' type found

    工具: IntelliJ IDEA 2019.3.4 x64 Ultimate,maven项目: 现象:如下图所示,出现Could not autowire. No beans of '' type ...

  5. VScode+PicGo+Github+jsdelivr使用图床书写Markdown

    本文讲述使用Github作为图床,VScode搭配Picgo插件书写Markdown,并使用jsdelivr进行CDN加速的配置流程. 准备阶段 首先进行以下准备工作,都很简单,不再赘述. 注册Git ...

  6. Redis取出中文乱码问题

    直接打开Redis客户端,如果存储了中文的内容,取出时会发生乱码: 解决办法很简单,打开客户端时加上 --raw,这样就可以了: 顺便说一下,-a后面跟的是密码,打码了,各位见谅!

  7. RSA加密算法和SSH远程连接服务器

    服务器端与客户端的密钥系统不一样,称为非对称式密钥系统 RSA算法的基础是模运算x mod n,事实上: [(a mod n) + (b mod n)] mod n = (a+b) mod n [(a ...

  8. HDU 6609 离散化+权值线段树

    题意 有一个长度为\(n\)的数组W; 对于每一个\(i\)(\(1<=i<=n\)),你可以选择中任意一些元素W[k] (\(1<=k<i\)),将他们的值改变为0,使得\( ...

  9. 从原理上理解MySQL的优化建议

    从原理上理解MySQL的优化建议 预备知识 B+树索引 mysql的默认存储引擎InnoDB使用B+树来存储数据的,所以在分析优化建议之前,了解一下B+树索引的基本原理. 上图是一个B+树索引示意图, ...

  10. Cassandra社区是怎么测试4.0的

    点击查看活动录像,获取更多技术细节. Cassandra社区是怎么测试4.0的 Cassandra 4.0的目标就是成为史上最稳定的版本.为了达到这个目的,我们需要用很多方法和工具进行测试.我今天主要 ...