Kubernetes——机密数据管理

k8s——机密数据管理
1、secret
2、configMap

kubectl explain secret    #查看帮助手册
然后将你要加密的变量值做些许处理：
echo 123 | base64      #返回MTIzCg==作为加密后的值
通过编写secret的yaml文件实现机密数据管理

secret的配置

vim secret.yaml

apiVersion: v1
kind: Secret
metadata:
 name: mysec
data:
 name: ken
 mypass: 123
 
kubectl apply secret.yaml  #如果你的data下面是明文，那么就会报错。

解决方式就是加密：

apiVersion: v1
kind: Secret
metadata:
 name: mysec
data:
 name: a2VuCg==
 pass: MTIzCg==
 
kubectl apply -f secret.yaml   #secret创建成功
kubectl get secret   #能够查看到自己创建的mysec
kubectl describe secret mysec   #能够查看的只是加密后的信息的字节长度

如果要查看具体的值需要的操作：
kubectl edit secret mysec
然后复制data内容：
 name: a2VuCg==
 mypass: MTIzCg==
解码即可得到相应的信息：
[jerry@centos ~]$ echo a2VuCg== | base64 --decode
ken
[jerry@centos ~]$ echo MTIzCg== | base64 --decode
123

secret的使用
1、volumes
2、env
volume的形式使用secret：
vim pod-sec.yaml    #这里pod是直接创建的没有创建deploy，不受deploy的管控，pod可以不受deploy的管控。

apiVersion: v1
kind: Pod
metadata:
 name: mypod
spec:
 containers:
 - name: busybox
   image: busybox
   imagePullPolicy: IfNotPresent
   args:
   - /bin/sh
   - -c
   - echo 1;sleep 500
   volumeMounts:
   - name: pod
  mountPath: /ken/
 volumes:
 - name: pod
   secret:
  secretName: mysec
 
使用注意：要先创建secret，否则pod起不来
kubectl apply -f secret.yaml
kubectl apply -f pod-sec.yaml

kubectl exec -it mypod sh  #进入pod中查看/ken/目录中的内容，发现是两个连接文件

cat mypass #返回你设置的mypass值（非加密）
cat name    #返回你设置的name值（非加密）

如果你想要修改密码的值，只需要再secret的yaml文件中修改相应的加密信息即可，而且volume形式支持动态更新。
也就是说你更改了secret的值后执行kubectl apply -f secret.yaml，在pod中也能够查看到新的值。相应的，如果
使用了kubectl edit secret mysec 那么也能看到已经修改后的加密值。

env的形式使用secret：
kubectl explain po.spec.containers.env  
vim pod-env.yaml

apiVersion: v1
kind: Pod
metadata:
 name: mypod1
sepc:
 containers:
 - name: busybox
   image: busybox
   imagePullPolicy: IfNotPresent
   args:
   - /bin/sh
   - -c
   - echo 1;sleep 500
   env:
   - name: MYSQL_ROOT_PASSWORD
  valueFrom:
   secretKeyRef:
    name: mysec
    key: "mypass"
   - name: MYSQL_USER
     valueFrom:
   secretKeyRef:
    name: mysec
    key: "name"
    
kubectl apply -f pod-env.yaml
kubectl exec -it mypod1 sh
执行printenv，就能够看到你设置的环境变量和其对应的值了（明文）。
但是需要注意的是环境变量是不支持动态更新的，环境变量一旦建立就无法动态更新。

configMap管理配置
secret可以为pod提供密码、token、密钥等敏感数据，对于一些非敏感数据，如应用的配置信息，则可以使用configMap
configMap的使用和创建方式和secret非常类似，主要不同的是数据以明文的形式存放。

configMap的使用
1、volumes
2、env

编写yaml文件
vim cmap.yaml
apiVerison: v1
kind: ConfigMap
metadata:
 name:mycm
data:
 name: ken
 mima: ken123
kubectl apply -f cmap.yaml
kubectl get cm

kubectl describe cm mycm  #可以查看到以明文形式存放的数据
使用env示例：
vim cm-env.yaml

apiVersion: v1
kind: Pod
metadata:
 name: mypod2
sepc:
 containers:
 - name: busybox
   image: busybox
   imagePullPolicy: IfNotPresent
   args:
   - /bin/sh
   - -c
   - echo 1;sleep 500
   env:
   - name: MYSQL_ROOT_PASSWORD
     valueFrom:
   configMapKeyRef:
    name: mycm
    key: "mima"
   - name: MYSQL_USER
  valueFrom:
   configMapKeyRef:
    name: mycm
    key: "name"
kubectl apply -f cm-env.yaml

kubectl get po
kubectl exec mypod2 printenv   #打印出相应的env变量可以看到。

k8s监控
weave scope——在docker的相关博文已经提到过这款可视化的监控软件，实际上也可以用于k8s
它提供了至上而下的集群基础设施和应用的完整视图，用户可以轻松对分布式的容器化应用进行实时的监控和问题诊断。
安装weave scope：
kubectl apply -f "https://cloud.weave.works/k8s/scope.yaml?k8s-version=$(kubectl version | base64 | tr -d '\n')&k8s-service-type=NodePort"
kubectl get ns  #可以查看到一个名为weave的namespace
kubectl get ds -n weave   #发现每个节点上都运行一个daemon，也就是weave scope 的agent
在每台node上执行docker ps 也可以查看。
kubectl get svc -n weave  #可以看到从外网访问该pod的端口映射，因为在安装的时候使用了k8s-service-type=NodePort参数
kubectl get po -n weave  #发现都是running状态即可
使用网络的时候要使用flannel网络
kubectl get po -n kube-system   #可以查看到使用的网络类型
然后通过浏览器打开就能够打开相应的监控web视图。