Secret :用来保存一些敏感信息,比如数据库的用户名密码或者秘钥。
Secret是用来保存小片敏感数据的k8s资源,例如密码,token,或者秘钥。这类数据当然也可以存放在Pod或者镜像中,但是放在Secret中是为了更方便的控制如何使用数据,并减少暴露的风险。
用户可以创建自己的secret,系统也会有自己的secret。
Pod需要先引用才能使用某个secret,Pod有2种方式来使用secret:作为volume的一个域被一个或多个容器挂载;在拉取镜像的时候被kubelet引用。
由ServiceAccount创建的API证书附加的秘钥
k8s自动生成的用来访问apiserver的Secret,所有Pod会默认使用这个Secret与apiserver通信
Secret有三种类型:
*** Opaque:使用base64编码存储信息,可以通过base64 --decode解码获得原始数据,因此安全性弱。
用户名: root
密码: 123.com
[root@master secret]# kubectl create secret generic mysecret1 --from-literal=username=root --from-literal=pasword=123.com
generic:通用的,一般的加密方式
[root@master secret]# kubectl get secrets
类型是Opaque(不透明的)
[root@master secret]# echo root > username
[root@master secret]# echo 123.com > password
[root@master secret]# kubectl create secret generic mysecret2 --from-file=username --from-file=password
[root@master secret]# kubectl get secrets
[root@master secret]#vim env.txt
username=root
password=123.com
[root@master secret]# kubectl create secret generic mysecret3 --from-env-file=env.txt
[root@master secret]# kubectl get secrets
[root@master secret]# echo root | base64
cm9vdAo=
[root@master secret]# echo 123.com | base64
MTIzLmNvbQo=
解码:
[root@master secret]# echo -n cm9vdAo | base64 --decode root [root@master secret]# echo -n MTIzLmNvbQo | base64 --decode 123.com
[root@master secret]# vim secret4.yaml
apiVersion: v1
kind: Secret
metadata:
name: mysecret4
data:
username: cm9vdAo=
password: MTIzLmNvbQo=
[root@master secret]# kubectl apply -f secret4.yaml
[root@master secret]# kubectl get secrets
secret可以作为数据卷挂载或者作为环境变量暴露给Pod中的容器使用,也可以被系统中的其他资源使用。比如可以用secret导入与外部系统交互需要的证书文件等。
在Pod中以文件的形式使用secret
- 创建一个Secret,多个Pod可以引用同一个Secret
- 修改Pod的定义,在spec.volumes[]加一个volume,给这个volume起个名字,spec.volumes[].secret.secretName记录的是要引用的Secret名字
- 在每个需要使用Secret的容器中添加一项spec.containers[].volumeMounts[],指定spec.containers[].volumeMounts[].readOnly = true,spec.containers[].volumeMounts[].mountPath要指向一个未被使用的系统路径。
- 修改镜像或者命令行使系统可以找到上一步指定的路径。此时Secret中data字段的每一个key都是指定路径下面的一个文件名
[root@master secret]# vim pod.yaml
apiVersion: v1
kind: Pod
metadata:
name: mypod
spec:
containers:
- name: mypod
image: busybox
args:
- /bin/sh
- -c
- sleep 300000
volumeMounts:
- name: secret-test
mountPath: "/etc/secret-test" #pod中的路径
readOnly: true #是否只读
volumes:
- name: secret-test
secret:
secretName: mysecret1
每一个被引用的Secret都要在spec.volumes中定义
如果Pod中的多个容器都要引用这个Secret那么每一个容器定义中都要指定自己的volumeMounts,但是Pod定义中声明一次spec.volumes就好了。
映射secret key到指定的路径
可以控制secret key被映射到容器内的路径,利用spec.volumes[].secret.items来修改被映射的具体路径
[root@master secret]# kubectl apply -f pod.yaml
可以指定secret文件的权限,类似linux系统文件权限,如果不指定默认权限是0644,等同于linux文件的-rw-r--r--权限
[root@master secret]# kubectl exec -it mypod /bin/sh
/ # cd /etc/secret-test/
/etc/secret-test # ls
pasword username
/etc/secret-test # cat username
root
/etc/secret-test # cat pasword
123.com
123.com/etc/secret-test # echo admin > username
/bin/sh: can't create username: Read-only file system
[root@master yaml]# vim pod.yaml
apiVersion: v1
kind: Pod
metadata:
name: mypod
spec:
containers:
- name: mypod
image: busybox
args:
- /bin/sh
- -c
- sleep 300000
volumeMounts:
- name: secret-test
mountPath: "/etc/secret-test" #pod中的路径
readOnly: true #是否只读
volumes:
- name: secret-test
secret:
secretName: mysecret1
items:
- key: username
path: my-group/my-username #自定义的容器中的目录
- key: password
path: my-group/my-password #自定义的容器中的目录
[root@master yaml]# kubectl apply -f pod.yaml
[root@master secret]# kubectl exec -it mypod /bin/sh
//进入容器查看
cat /etc/secret-test/my-group/my-password
123.com
cat /etc/secret-test/my-group/my-username
root
会实时更新(这里引用数据,是以volumes挂 载使用数据的方式)。
更新mysecret1的数据: password ---> admin YWRtaW4K (base64)
可以通过edit 命令,直接修改。
[root@master secret]# kubectl edit secrets mysecret1
[root@master secret]# kubectl exec -it mypod /bin/sh
//进入容器查看
cat /etc/secret-test/my-group/my-password
admin
cat /etc/secret-test/my-group/my-username
root
数据已经成功更新了
创建一个Secret,多个Pod可以引用同一个Secret
修改pod的定义,定义环境变量并使用env[].valueFrom.secretKeyRef指定secret和相应的key
修改镜像或命令行,让它们可以读到环境变量
编写pod的yaml文件
[root@master secret]# vim pod-env.yaml
apiVersion: v1
kind: Pod
metadata:
name: mypod2
spec:
containers:
- name: mypod
image: busybox
args:
- /bin/sh
- -c
- sleep 300000
env:
- name: SECRET_USERNAME
valueFrom:
secretKeyRef:
name: mysecret2
key: username
- name: SECRET_PASSWORD
valueFrom:
secretKeyRef:
name: mysecret2
key: password
[root@master secret]# kubectl apply -f pod-env.yaml
[root@master secret]# kubectl get pod
[root@master secret]# kubectl exec -it mypod2 /bin/sh
/ # echo $SECRET_USERNAME
root
/ # echo $SECRET_PASSWORD
123.com
[root@master yaml]# kubectl edit secrets mysecret2
//修改保存文件的内容
[root@master secret]# kubectl exec -it mypod2 /bin/sh
/ # echo $SECRET_USERNAME
root
/ # echo $SECRET_PASSWORD
123.com
等待了一定时间后,可以看到这个数据并没有没有改变
如果引用secret数据的应用, 要求会随着secret资源对象内保存的数据的更新,而实时更新,那么应该使用volumes挂载的方式引用资源因为用环境变量的方式引用不会实时更新数据。
上面提到的Secret可以为Pod提供机密数据的存储,而对于一些非机密敏感的数据,像一些应用的配置信息啊神马的,则可以使用Configmap。
Configmap的创建与使用方式与Secret非常类似,不同点只在于数据以明文形式存放(不过,我觉得Secret的密文形式也并不密文,只能算得上是简单编码)。
和Secret资源类似,不同之处在于,secret 资源保存的是敏感信息,而Configmap保存的是以明文方式存放的数据。
username:adam
age:18
[root@master yaml]# kubectl create configmap myconfigmap1 --from-literal=username=adam --from-literal=age=18
[root@master yaml]# kubectl get cm
[root@master yaml]# kubectl describe cm
[root@master yaml]# echo adam > username
[root@master yaml]# echo 18 > age
[root@master yaml]# kubectl create configmap myconfigmap2 --from-file=username --from-file=age
[root@master yaml]# kubectl describe cm
[root@master yaml]# vim env.txt
username=adam
age=18
[root@master yaml]# kubectl create configmap myconfigmap3 --from-env-file=env.txt
[root@master configmap]# kubectl describe cm
[root@master yaml]# vim configmap.yaml
apiVersion: v1
kind: ConfigMap
metadata:
name: myconfigmap4
data:
username: 'adam'
age: '18'
[root@master yaml]# kubectl apply -f configmap.yaml
[root@master yaml]# kubectl describe cm
[root@master yaml]# vim v-pod.yaml
apiVersion: v1
kind: Pod
metadata:
name: pod1
spec:
containers:
- name: mypod
image: busybox
args:
- /bin/sh
- -c
- sleep 300000
volumeMounts:
- name: cmp-test
mountPath: "/etc/cmp-test"
readOnly: true
volumes:
- name: cmp-test
configMap:
name: myconfigmap1
[root@master configmap]# kubectl apply -f v-pod.yaml
[root@master configmap]# kubectl exec -it pod1 /bin/sh
//进入容器查看一下
> cat /etc/cmp-test/age
18/
> cat /etc/cmp-test/username
adam/
[root@master configmap]# vim v-pod2.yaml
apiVersion: v1
kind: Pod
metadata:
name: pod3
spec:
containers:
- name: mypod
image: busybox
args:
- /bin/sh
- -c
- sleep 300000
volumeMounts:
- name: cmp-test
mountPath: "/etc/cmp-test"
readOnly: true
volumes:
- name: cmp-test
configMap:
name: myconfigmap1
items:
- key: username
path: my-group/my-username #自定义的容器中的目录
- key: age
path: my-group/my-age #自定义的容器中的目录
[root@master configmap]# kubectl apply -f v-pod2.yaml
[root@master configmap]# kubectl exec -it pod3 /bin/sh
//进入容器查看
> cat /etc/cmp-test/my-group/my-username
adam/
> cat /etc/cmp-test/my-group/my-age
18/
[root@master configmap]# kubectl edit cm myconfigmap1
[root@master configmap]# kubectl exec -it pod3 /bin/sh
//进入容器查看
> cat /etc/cmp-test/my-group/my-username
adam/
> cat /etc/cmp-test/my-group/my-age
10
可以看到更新成功
[root@master configmap]# vim e-pod.yaml
apiVersion: v1
kind: Pod
metadata:
name: pod2
spec:
containers:
- name: mypod
image: busybox
args:
- /bin/sh
- -c
- sleep 300000
env:
- name: CONFIGMAP_NAME
valueFrom:
configMapKeyRef:
name: myconfigmap2
key: username
- name: CONFIGMAP_AGE
valueFrom:
configMapKeyRef:
name: myconfigmap2
key: age
[root@master configmap]# kubectl apply -f e-pod.yaml
[root@master configmap]# kubectl exec -it pod2 /bin/sh
//进入容器查看一下
> echo $CONFIGMAP_NAME
adam
> echo $CONFIGMAP_AGE
18
[root@master configmap]# kubectl edit cm myconfigmap2
//修改保存文件的内容
[root@master configmap]# kubectl exec -it pod2 /bin/sh
//进入容器查看一下
> echo $CONFIGMAP_NAME
adam
> echo $CONFIGMAP_AGE
18
等待了一定时间后,可以看到这个数据并没有没有改变
可以看出这个configmap和secret的更新效果基本没有区别。
相同点:
key/value的形式
属于某个特定的namespace
可以导出到环境变量
可以通过目录/文件形式挂载
通过 volume 挂载的配置信息均可热更新
不同点:
Secret 可以被 ServerAccount 关联
Secret 可以存储 docker register 的鉴权信息,用在 ImagePullSecret 参数中,用于拉取私有仓库的镜像
Secret 支持 Base64 加密
Secret 分为 kubernetes.io/service-account-token、kubernetes.io/dockerconfigjson、Opaque 三种类型,而 Configmap 不区分类型
volumes挂载(可根据更改数据更新):引用自己创建的secret(密文)或configmap(明文),挂载到容器中指定的目录下。查看保存的文件时,根据自己所填路径和secret或configmap创建的文件,进行查看。
环境变量(不因更改数据更新):引用自己创建的secret(密文)或configmap(明文),挂载到容器中指定的目录下。查看保存的文件时,根据自己环境变量,进行查看。
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。