一、启动应用安全信息的保护

1、Secret介绍

  应用启动过程中可能需要一些敏感信息,比如访问数据库的用户名密码或者秘钥。将这些信息直接保存在容器镜像中显然不妥,Kubernetes 提供的解决方案是 Secret。

  Secret 会以密文的方式存储数据,避免了直接在配置文件中保存敏感信息Secret 会以 Volume 的形式被 mount 到 Pod,容器可通过文件的方式使用 Secret 中的敏感数据;此外,容器也可以环境变量的方式使用这些数据。

  Secret 可通过命令行或 YAML 创建。比如希望 Secret 中包含如下信息:

    1)用户名 admin
    2)密码 123456

2、创建 Secret

  有四种方法创建 Secret:

(1)通过 --from-literal:

[root@ren7 ~]# kubectl create secret generic mysecret --from-literal=username=admin --from-literal=password=123
secret/mysecret created
[root@ren7 ~]# kubectl get secret
NAME TYPE DATA AGE
default-token-qvqql kubernetes.io/service-account-token 3 4d23h
mysecret Opaque 2 9s
[root@ren7 ~]# kubectl get secret mysecret
NAME TYPE DATA AGE
mysecret Opaque 2 25s

  每个 --from-literal 对应一个信息条目。

(2)通过 --from-file:

echo -n admin > ./username
echo -n 123456 > ./password
kubectl create secret generic mysecret --from-file=./username --from-file=./password

  每个文件内容对应一个信息条目。

(3)通过 --from-env-file:

cat << EOF > env.txt
username=admin
password=123456
EOF
kubectl create secret generic mysecret --from-env-file=env.txt

  文件 env.txt 中每行 Key=Value 对应一个信息条目。

(4)通过 YAML 配置文件:

apiVersion: v1
kind: Secret
metadata:
name: mysecret
data:
username: YWRtaW4=
password: MTIzNDU2

  文件中的敏感数据必须是通过 base64 编码后的结果。(-n 不换行)

[root@ren7 ~]# echo -n admin | base64
YWRtaW4=
[root@ren7 ~]# echo -n 123456 | base64
MTIzNDU2

  执行 kubectl apply 创建 Secret:

[root@ren7 yaml]# kubectl apply -f secret.yml
secret/mysecret created
[root@ren7 yaml]# kubectl get secret mysecret
NAME TYPE DATA AGE
mysecret Opaque 2 17s

  显示有两个数据条目,kubectl describe secret 查看条目的 Key:

[root@ren7 yaml]# kubectl describe secret mysecret
Name: mysecret
Namespace: default
Labels: <none>
Annotations:
Type: Opaque Data
====
password: 6 bytes
username: 5 bytes

  如果还想查看 Value,可以用 kubectl edit secret mysecret

[root@ren7 yaml]# kubectl describe secret mysecret
Name: mysecret
Namespace: default
Labels: <none>
Annotations:
Type: Opaque Data
====
password: 6 bytes
username: 5 bytes
[root@ren7 yaml]# kubectl edit secret mysecret # Please edit the object below. Lines beginning with a '#' will be ignored,
# and an empty file will abort the edit. If an error occurs while saving this file will be
# reopened with the relevant failures.
#
apiVersion: v1
data:
password: MTIzNDU2
username: YWRtaW4=
kind: Secret
metadata:
annotations:
kubectl.kubernetes.io/last-applied-configuration: |
{"apiVersion":"v1","data":{"password":"MTIzNDU2","username":"YWRtaW4="},"kind":"Secret","metadata":{"annotations":{},"name":"mysecret","namespace":"default"}}
creationTimestamp: "2019-10-28T11:06:44Z"
name: mysecret
namespace: default
resourceVersion: "206718"
selfLink: /api/v1/namespaces/default/secrets/mysecret
uid: 070c7284-f973-11e9-8d3b-000c297d011c
type: Opaque

  然后通过 base64 将 Value 反编码:

[root@ren7 ~]# echo -n YWRtaW4= | base64 --decode
admin[root@ren7 ~]#
[root@ren7 ~]# echo -n MTIzNDU2 | base64 --decode
123456[root@ren7 ~]#

二、secret在pod中的应用

1、volume 方式使用 Secret

  Pod 可以通过 Volume 或者环境变量的方式使用 Secret,先学习 Volume 方式。

(1)Pod 的配置文件如下所示:

[root@ren7 yaml]# cat pod2.yaml
apiVersion: v1
kind: Pod
metadata:
name: mypod
spec:
containers:
- name: mypod
image: reg.yunwei.com/learn/busybox:latest
args:
- /bin/sh
- -c
- sleep 10; touch /tmp/healthy; sleep 30000
volumeMounts:
- mountPath: "/etc/foo"
name: foo
readOnly: true
volumes:
- name: foo
secret:
secretName: mysecret

  ① 定义 volume foo,来源为 secret mysecret
  ② 将 foo mount 到容器路径 /etc/foo,可指定读写权限为 readOnly

  创建 Pod 并在容器中读取 Secret:

[root@ren7 yaml]# kubectl get secret
NAME TYPE DATA AGE
default-token-qvqql kubernetes.io/service-account-token 3 4d23h
[root@ren7 yaml]# kubectl create secret generic mysecret --from-literal=username=admin --from-literal=password=123
secret/mysecret created
[root@ren7 yaml]# kubectl get secret
NAME TYPE DATA AGE
default-token-qvqql kubernetes.io/service-account-token 3 4d23h
mysecret Opaque 2 2s
[root@ren7 yaml]# kubectl apply -f pod2.yaml
pod/mypod created
[root@ren7 yaml]#
[root@ren7 yaml]# kubectl exec -it mypod sh
/ #
/ # ls /etc/foo
password username
/ # cat /etc/foo/password
123/ #
/ # cat /etc/foo/username
admin/ #
/ # exit

  可以看到,Kubernetes 会在指定的路径 /etc/foo 下为每条敏感数据创建一个文件,文件名就是数据条目的 Key,这里是 /etc/foo/username 和 /etc/foo/password,Value 则以明文存放在文件中。

(2)我们也可以自定义存放数据的文件名,比如将配置文件改为:

[root@ren7 yaml]# cat pod4.yaml
apiVersion: v1
kind: Pod
metadata:
name: mypod2
spec:
containers:
- name: mypod2
image: reg.yunwei.com/learn/busybox:latest
args:
- /bin/sh
- -c
- sleep 10; touch /tmp/healthy; sleep 30000
volumeMounts:
- mountPath: "/etc/foo"
name: foo
readOnly: true
volumes:
- name: foo
secret:
secretName: mysecret
items:
- key: username
path: my-group/my-username
- key: password
path: my-group/my-password

  这时数据将分别存放在 /etc/foo/my-group/my-username 和 /etc/foo/my-group/my-password 中。

  以 Volume 方式使用的 Secret 支持动态更新:Secret 更新后,容器中的数据也会更新。

  将 password 更新为 abcdef,base64 编码为 YWJjZGVm

[root@ren7 ~]# echo -n abcdef |base64
YWJjZGVm

  更新 Secret。

[root@ren7 yaml]# cat secret.yml
apiVersion: v1
kind: Secret
metadata:
name: mysecret
data:
username: YWRtaW4=
password: YWJjZGVm
[root@ren7 yaml]# kubectl apply -f secret.yml
secret/mysecret configured

  几秒钟或,新的 password 会同步到容器。

[root@ren7 yaml]# kubectl exec -it mypod sh
/ # cat /etc/foo/password
abcdef/ #
/ # cat /etc/foo/username
admin/ #
/ # exit
[root@ren7 yaml]# kubectl exec -it mypod2 /bin/sh
/ #
/ # cd /etc/foo/
/etc/foo # ls
my-group
/etc/foo # cat my-group/my-username
admin/etc/foo #
/etc/foo # cat my-group/my-password
abcdef/etc/foo #
/etc/foo # exit

2、环境变量方式使用 Secret

  通过 Volume 使用 Secret,容器必须从文件读取数据,会稍显麻烦,Kubernetes 还支持通过环境变量使用 Secret。

  Pod 配置文件示例如下:

[root@ren7 yaml]# cat pod3.yml
apiVersion: v1
kind: Pod
metadata:
name: mypod3
spec:
containers:
- name: mypod3
image: reg.yunwei.com/learn/busybox:latest
args:
- /bin/sh
- -c
- sleep 10; touch /tmp/healthy; sleep 30000
env:
- name: SECRET_USERNAME
valueFrom:
secretKeyRef:
name: mysecret
key: username
- name: SECRET_PASSWORD
valueFrom:
secretKeyRef:
name: mysecret
key: password

  创建 Pod 并读取 Secret。

[root@ren7 yaml]# kubectl apply -f pod3.yml
pod/mypod3 created
[root@ren7 yaml]# kubectl exec -it mypod3 /bin/sh
/ #
/ # ls /etc/foo
ls: /etc/foo: No such file or directory
/ # echo $SECRET_USERNAME
admin
/ # echo $SECRET_PASSWORD
abcdef
/ # exit

  通过环境变量 SECRET_USERNAME 和 SECRET_PASSWORD 成功读取到 Secret 的数据。

  需要注意的是,环境变量读取 Secret 很方便,但无法支撑 Secret 动态更新。

  Secret 可以为 Pod 提供密码、Token、私钥等敏感数据。

k8s管理机密信息(12)的更多相关文章

  1. 用 k8s 管理机密信息 - 每天5分钟玩转 Docker 容器技术(155)

    应用启动过程中可能需要一些敏感信息,比如访问数据库的用户名密码或者秘钥.将这些信息直接保存在容器镜像中显然不妥,Kubernetes 提供的解决方案是 Secret. Secret 会以密文的方式存储 ...

  2. K8s管理机密信息

    1. 启动应用安全信息的保护 Secret介绍 应用启动过程中可能需要一些敏感信息,比如访问数据库的用户名密码或者秘钥.将这些信息直接保存在容器镜像中显然不妥,Kubernetes 提供的解决方案是 ...

  3. k8s管理机密信息(9)

    一.启动应用安全信息的保护: Secret介绍: 应用启动过程中可能需要一些敏感信息,比如访问数据库的用户名密码或者秘钥.将这些信息直接保存在容器镜像中显然不妥,Kubernetes 提供的解决方案是 ...

  4. k8s 管理机密信息

    一.启动应用安全信息的保护: Secret介绍: 应用启动过程中可能需要一些敏感信息,比如访问数据库的用户名密码或者秘钥.将这些信息直接保存在容器镜像中显然不妥,Kubernetes 提供的解决方案是 ...

  5. 用 k8s 管理机密信息【转】

    应用启动过程中可能需要一些敏感信息,比如访问数据库的用户名密码或者秘钥.将这些信息直接保存在容器镜像中显然不妥,Kubernetes 提供的解决方案是 Secret. Secret 会以密文的方式存储 ...

  6. ASP.NET MVC+EF框架+EasyUI实现权限管理系列(12)-实现用户异步登录和T4模板

    原文:ASP.NET MVC+EF框架+EasyUI实现权限管理系列(12)-实现用户异步登录和T4模板 ASP.NET MVC+EF框架+EasyUI实现权限管系列 (开篇)   (1):框架搭建  ...

  7. CentOS7安装CDH 第六章:CDH的管理-CDH5.12

    相关文章链接 CentOS7安装CDH 第一章:CentOS7系统安装 CentOS7安装CDH 第二章:CentOS7各个软件安装和启动 CentOS7安装CDH 第三章:CDH中的问题和解决方法 ...

  8. Kubernetes(k8s)1.12.2集群搭建

    本博客搭建k8s集群1.12.2版本 1. 准备2台以上最低2核4G的服务器 2. 关闭机器的防火墙 12 systemctl disable firewalldsystemctl stop fire ...

  9. k8s管理存储资源

    1. Kubernetes 如何管理存储资源 理解volume 首先我们学习 Volume,以及 Kubernetes 如何通过 Volume 为集群中的容器提供存储:然后我们会实践几种常用的 Vol ...

随机推荐

  1. 随便聊聊 Java 8 的函数式编程

    函数式编程(Functional Programming) 首先,我们来了解一个叫做"编程范式"的概念. 什么是"编程范式"呢?简单来说就是指导我们编程的方法论 ...

  2. Redis解读(2):Redis的Java客户端

    Redis的Java客户端 Redis不仅使用命令客户端来操作,而且可以使用程序客户端操作,其实配置和实现起来也非常容易. 现在基本上主流的语言都有客户端支持,比如Java.C.C#.C++.php. ...

  3. 6.4map用法

    map是映射也是常用的STL容器,可以将任何基本类型映射到任何的基本类型,如 map<char,int>mp 一.基本定义 map<typename,typename>mp; ...

  4. Kubernetes 学习笔记-- kafka往couchdb里倒东西

    首先吐槽下国内这些论坛的技术精神,不是我崇洋媚外,有些复读机烦不烦啊,别人的东西吃进去吐出来好玩么? 还有一些不懂装懂,这种最可恶,明明自己都不明白自己在写什么,还是往精华区发,简直离谱,知道自己多挣 ...

  5. 大学四年,总结一套适合小白的Java自学路线和方法

    前言篇 大家好,我是bigsai 好久不见,甚是想念,文章同时收录在回车课堂(文底阅读原文可达). 无论你是大学生还是在职人员,想学Java时,都会面临两个选择,自学或者报班.报班通常太费钱,时间又不 ...

  6. Kubernetes查看可用的apiVersion版本

    命令: kubectl api-versions

  7. Mybatis3源码笔记(三)Configuration

    1. XMLConfigBuilder 上一篇大致介绍了SqlSession的生成.在DefaultSqlSessionFactory的构造函数中就提到了Configuration这个对象.现在我们来 ...

  8. Semi-Prime(set)

    Prime Number Definition An integer greater than one is called a prime number if its only positive di ...

  9. 【MySQL】Mysql避免索引失效的情况有哪些

    1.使用多列作为索引,则需要遵循最左前缀匹配原则(查询从索引的最左前列开始并且不跳过索引中的列) 2.不再索引列上做任何操作,例如(计算,函数,(自动 or 手动的类型转换)),会导致索引失效而转向全 ...

  10. Windows中的权限设置、文件压缩、文件加密、磁盘配额和卷影副本

      目录 权限设置 文件夹的NTFS权限 文件的NTFS权限 NTFS权限的应用规则 文件压缩 文件加密 磁盘配额 卷影副本 权限设置的应用 遇到的一个权限问题的小bug 权限问题的实际应用 权限设置 ...