Secret介绍

Secret存在的意义

  Secret解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中,可以以Volume或者环境变量的方式使用

Secret有三种类型

   Service Account:用来访问Kubernetes API,由Kubernetes自动创建,并且会自动挂载到Pod的/run/secrets/kubernetes.io/serviceaccount目录中

  Opaque:base64编码格式的Secret,用来存储密码、秘钥等

  kubernetes.io/dockerconfigjson:用来存储私有 docker registry的认证信息

Service Account

只要与Kubernetes API有交互的Pod,都会自动拥有此种类型的Secret,例如kube-system名称空间下的Pod

### 随便进入kube-system下的Pod内查看是否有此类型

[root@Centos8 ~]# kubectl exec -it kube-proxy-76x2c -n kube-system -- /bin/sh

# cd /run/secrets/kubernetes.io/serviceaccount

# ls

ca.crt    namespace  token

### 可以看到,其中保存了crt、token等文件

Opaque

此种加密类型为base64,其特点就是将明文改为了密文,但是解密也非常简单,因为同一串字符串加密后的密文永远是相同的

## 加密

[root@Centos8 ~]# echo -n admin | base64

YWRtaW4=

[root@Centos8 ~]# echo -n vfan123 | base64

dmZhbjEyMw==

## 解密

[root@Centos8 ~]# echo -n dmZhbjEyMw== | base64 -d

vfan123

[root@Centos8 ~]# echo -n YWRtaW4= | base64 -d

admin

创建一个Opaque类型的Secret

vim secrets.yaml

...

apiVersion: v1

kind: Secret

metadata:

  name: mysecret

type: Opaque

data:

  password: dmZhbjEyMw==

  username: YWRtaW4=

...

kubectl create -f secrets.yaml

将此secret挂载到Pod中

[root@Centos8 secret]# vim s-volume.yaml

...

apiVersion: v1

kind: Pod

metadata:

  name: s-volume

  labels:

    type: opaque

spec:

  volumes:

  - name: secrets

    secret:

      secretName: mysecret

  containers:

  - name: db

    image: hub.vfancloud.com/test/myapp:v1

    imagePullPolicy: IfNotPresent

    volumeMounts:

    - name: secrets

      mountPath: /etc/secrets

      readOnly: true

...

[root@Centos8 secret]# kubectl create -f secrets.yaml

secret/mysecret created

## 进入container

[root@Centos8 secret]# kubectl exec -it s-volume -- /bin/sh

/etc/secrets # ls

password  username

/etc/secrets # cat password

vfan123

/etc/secrets # cat username

admin

### secret加密后的用户名和密码,传输到container中已是明文

将此secret定义到Pod的环境变量中

vim s-env.yaml

...

apiVersion: v1

kind: Pod

metadata:

  name: s-env

  labels:

    type: opaque

spec:

  containers:

  - name: pod-

    image: hub.vfancloud.com/test/myapp:v1

    imagePullPolicy: IfNotPresent

    ports:

    - containerPort:

    env:

    - name: DB_USER

      valueFrom:

        secretKeyRef:

          name: mysecret

          key: username

    - name: DB_PASSWD

      valueFrom:

        secretKeyRef:

          name: mysecret

          key: password

...

kubectl create -f s-env.yaml

## 查看环境变量

PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin

HOSTNAME=s-env

TERM=xterm

DB_USER=admin

DB_PASSWD=vfan123

kubernetes.io/dockerconfigjson

  保存docker仓库认证信息

  打开我们之前搭建的Harbor镜像仓库,设置一个私有仓库(若无搭建私有仓库可以参考本人其他随笔:https://www.cnblogs.com/v-fan/p/13034272.html)

  创建Pod,使Pod导入私有仓库的镜像文件hub.vfancloud.com/test/myapp:v2

vim s-configjson.yaml

...

apiVersion: v1

kind: Pod

metadata:

  name: s-configjson

spec:

  containers:

  - name: configjson

    image: hub.vfancloud.com/test/myapp:v2

...

[root@Centos8 secret]# kubectl create -f s-configjson.yaml

pod/s-configjson created

### 镜像导入失败,是因为私有仓库中的镜像必须登录后才可导入

[root@Centos8 secret]# kubectl get pod

NAME           READY   STATUS         RESTARTS   AGE

s-configjson   /     ErrImagePull             22s

### 详细信息中的报错信息

Failed to pull image "hub.vfancloud.com/test/myapp:v2": rpc error: code = Unknown desc = Error response from daemon: pull access denied for hub.vfancloud.com/test/myapp, repository does not exist or may require 'docker login': denied: requested access to the resource is denied

设置dockerconfigjson类型secret

## 创建secret

[root@Centos8 secret]# kubectl create secret docker-registry myregistrykey --docker-server=hub.vfancloud.com --docker-username=admin --docker-password=Harbor12345 --docker-email=vfan8991

secret/myregistrykey created

## 在资源清单中添加配置

[root@Centos8 secret]# vim s-configjson.yaml

...

apiVersion: v1

kind: Pod

metadata:

  name: s-configjson

spec:

  containers:

  - name: configjson

    image: hub.vfancloud.com/test/myapp:v2

  imagePullSecrets:

  - name: myregistrykey

...

[root@Centos8 secret]# kubectl create -f s-configjson.yaml

pod/s-configjson created

## 查看,导入成功

[root@Centos8 secret]# kubectl get pod

NAME           READY   STATUS    RESTARTS   AGE

s-configjson   /     Running             5s

Kubernetes-12:Secret介绍及演示的更多相关文章

  1. STC8H开发(三): 基于FwLib_STC8的模数转换ADC介绍和演示用例说明

    目录 STC8H开发(一): 在Keil5中配置和使用FwLib_STC8封装库(图文详解) STC8H开发(二): 在Linux VSCode中配置和使用FwLib_STC8封装库(图文详解) ST ...

  2. Kubernetes中StatefulSet介绍

    StatefulSet 是Kubernetes1.9版本中稳定的特性,本文使用的环境为 Kubernetes 1.11.如何搭建环境可以参考kubeadm安装kubernetes V1.11.1 集群 ...

  3. K8s - Kubernetes重要概念介绍(Cluster、Master、Node、Pod、Controller、Service、Namespace)

    K8s - Kubernetes重要概念介绍(Cluster.Master.Node.Pod.Controller.Service.Namespace)       Kubernetes 是目前发展最 ...

  4. Django 小实例S1 简易学生选课管理系统 0 初步介绍与演示

    Django 小实例S1 简易学生选课管理系统 第0章--初步介绍与演示 点击查看教程总目录 作者自我介绍:b站小UP主,时常直播编程+红警三,python1对1辅导老师. 1 初步介绍 先介绍下这个 ...

  5. 一、Kubernetes系列之介绍篇

      •Kubernetes介绍 1.背景介绍 云计算飞速发展 - IaaS - PaaS - SaaS Docker技术突飞猛进 - 一次构建,到处运行 - 容器的快速轻量 - 完整的生态环境 2.什 ...

  6. kubernetes资源类别介绍

    类别 名称 资源对象 Pod.ReplicaSet.ReplicationController.Deployment.StatefulSet.DaemonSet.Job.CronJob.Horizon ...

  7. kubernetes之secret

    Secret解决了密码.token.密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中.Secret可以以Volume或者环境变量的方式使用. Secret类型: Opa ...

  8. Cocos2d-x开发实例介绍特效演示

    下面我们通过一个实例介绍几个特效的使用,这个实例下图所示,下图是一个操作菜单场景,选择菜单可以进入到下图动作场景,在下图动作场景中点击Go按钮可以执行我们选择的特性动作,点击Back按钮可以返回到菜单 ...

  9. ArcSDE SDK For Java二次开发介绍、演示样例

    在一个工作中,遇到了须要java后台来查询ArcGIS 中用到的Oracle数据库空间数据,因为对ArcGIS空间数据首次接触,仅仅知道Oracle能够使用ST_GEOMETRY字段存储,例如以下图 ...

随机推荐

  1. jquary常见问题总结

    如何调用本地json 1. 调用 <script src="solution.json?cb=readData"></script> 2. json 修改 ...

  2. 三、HelloWorld

    1.创建Hello.java 文件, 2.输入内容 public class Hello{ //公共类 Hello public static void main(String[] args){ // ...

  3. 学习java的第五周

    java流程控制 顺序结构 语句与语句之间,框与框之间是按从上到下的顺序进行的,它是由若干个依次执的处理步骤组成的,它是任何-一个算法都离不开的一种基本算法结构. 选择结构 if结构 if(布尔表达式 ...

  4. 【期外】(三)Linux下集成开发环境Geany

    今天小编发现了一个很好的软件,它的名字就叫做Geany. 这是Linux系统中的开发工具,相当的好用. Linux与windows最大的不同正是不是集成开发环境,所以写起代码来总是用文档写好后,然后再 ...

  5. mysql 1215错误 外键建立失败

    在Mysql中创建数据表时,经常会遇到问题而失败,其中建立外键有很多细节需要我们去留意,主要有以下几种常见原因. 1.  两个字段的类型或者大小不严格匹配.例如,如果一个是int(10),那么外键也必 ...

  6. 思索-js 页面ID识别及数据缓存

    思索-页面ID识别及数据缓存 页面 ID 识别的思路 多页应用在移动端是较为常见的一种架构,它可以和APP 内的 webview 配合,达到类似原生的体验,这一点是单页应用无法做到的(比如手势滑动等, ...

  7. 机器学习 | 深入SVM原理及模型推导(一)

    本文始发于个人公众号:TechFlow,原创不易,求个关注 今天是机器学习专题的第32篇文章,我们来聊聊SVM. SVM模型大家可能非常熟悉,可能都知道它是面试的常客,经常被问到.它最早诞生于上世纪六 ...

  8. Selenium中核心属性以及方法

    一.操作定位元素 selenium提供了定位元素的API,这些方法都被定义在webDriver类中,需要以find开头, 例如:find_Element_by_id('')

  9. WPF Devexpress 控件库中ChartControl 实现股票分时走势图

    概要 从事金融行业开发 ,会接触些图表控件,这里我分享一下自己基于DevExpress.Charts.v16.2开发的股票分时走势图的经验. 附上源码:点击跳转 如果需要讨论,Q群:580749909 ...

  10. rtmp规范1.0全面指南

    RTMP(real time messaging protocol)协议 本文为Adobe rtmp规范1.0的中文介绍,其中内容大部分都是翻译自rtmp官方文档rtmp_specification_ ...