kubernetes的 secret 存储配置

时间：2020-03-16 23:53:53 阅读：136 评论：0 收藏：0 [点我收藏+]

标签：from get admin Kubernete gif vol 访问目录格式

标签（空格分隔）： kubernetes系列

一： kubernetes的 secret 存储配置

一： kubernetes的 secret 存储配置

1.1 Secret 存在意义

Secret 解决了密码、token、密钥等敏感数据的配置问题，而不需要把这些敏感数据暴露到镜像或者 Pod Spec
中。Secret 可以以 Volume 或者环境变量的方式使用

Secret 有三种类型：

 1. Service Account ：用来访问 Kubernetes API，由 Kubernetes 自动创建，并且会自动挂载到 Pod 的
/run/secrets/kubernetes.io/serviceaccount 目录中

2. Opaque ：base64编码格式的Secret，用来存储密码、密钥等

3. kubernetes.io/dockerconfigjson ：用来存储私有 docker registry 的认证信息

1.1.1 Service Account

Service Account 用来访问 Kubernetes API，由 Kubernetes 自动创建，并且会自动挂载到 Pod的
/run/secrets/kubernetes.io/serviceaccount 目录中
docker pull nginx 

kubectl run nginx image nginx

kubectl get pod 

kubectl exec nginx-7bb7cd8db5-fzdsv -it -- /bin/sh 

ls /run/secrets/kubernetes.io/serviceaccount

技术图片

1.1.2 Opaque Secret

Ⅰ、创建说明
Opaque 类型的数据是一个 map 类型，要求 value 是 base64 编码格式：

$ echo -n "admin" | base64
YWRtaW4=
$ echo -n "1f2d1e2e67df" | base64
MWYyZDFlMmU2N2Rm

$ echo -n "YWRtaW4=" |base64 -d 
admin

这种base64 加密非常的不安全

技术图片

vim secrets.yaml
----
apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  password: MWYyZDFlMmU2N2Rm
  username: YWRtaW4=
----
kubectl apply -f secrets.yaml

使用方法：

1、将 Secret 挂载到 Volume 中

vim secret1.yaml
---
apiVersion: v1
kind: Pod
metadata:
  labels:
    name: seret-test
  name: seret-test
spec:
  volumes:
  - name: secrets
    secret:
      secretName: mysecret
  containers:
  - image: wangyanglinux/myapp:v1
    name: db
    volumeMounts:
    - name: secrets
      mountPath: "/etc/secret"
      readOnly: true
---

kubectl apply -f secret1.yaml

技术图片

2、将 Secret 导出到环境变量中

vim secret2.yaml
---
apiVersion: extensions/v1beta1
kind: Deployment
metadata:
  name: pod-deployment
spec:
  replicas: 2
  template:
    metadata:
      labels:
        app: pod-deployment
    spec:
      containers:
      - name: pod-1
        image: wangyanglinux/myapp:v1
        ports:
        - containerPort: 80
        env:
        - name: TEST_USER
          valueFrom:
            secretKeyRef:
              name: mysecret
              key: username
        - name: TEST_PASSWORD
          valueFrom:
            secretKeyRef:
              name: mysecret
              key: password
---
kubectl apply -f secret2.yaml

技术图片

1.1.8 kubernetes.io/dockerconfigjson

在私有仓库 harbor 中创建一个私有的 项目 test

技术图片

rhel01.flyfish 登录  harbor （node04.flyfish）

docker login node04.flyfish
admin
Harbor12345

docker tag wangyanglinux/myapp:v1 node04.flyfish/test/myapp:v1 

docker push node04.flyfish/test/myapp:v1

技术图片

docker logout node04.flyfish
docker node04.flyfish/test/myapp:v1

技术图片

使用 Kuberctl 创建 docker registry 认证的 secret

kubectl create secret docker-registry myregistrykey --docker-server=node04.flyfish -- docker-username=admin --docker-password=Harbor12345 --docker-email=yangyangsirit@163.com

使用 创建的 "myregistrykey" 注册登录 下载 镜像

技术图片

vim pod.yaml

----
apiVersion: v1
kind: Pod
metadata:
  name: foo
spec:
  containers:
    - name: foo
      image: node04.flyfish/test/myapp:v1
  imagePullSecrets:
    - name: myregistrykey
----
kubectl apply -f pod.yaml

技术图片

kubernetes的 secret 存储配置

标签：from get admin Kubernete gif vol 访问目录格式

原文地址：https://blog.51cto.com/flyfish225/2478734

踩

(0)

评论一句话评论（0）

分享档案

更多>

2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)

周排行