首页 博客列表 精选博客 每日焦点 关于我
Kubernetes(k8s)的存储Secret 详细介绍
发布日期:2021-05-07 16:38:36 浏览次数:29 分类:精选文章

本文共 2427 字,大约阅读时间需要 8 分钟。

Secret 存在意义 

Secret 解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Spec 中。Secret 可以以 Volume 或者环境变量的方式使用 

Secret 有三种类型: 

  • Service Account :用来访问 Kubernetes API,由 Kubernetes 自动创建,并且会自动挂载到 Pod 的/run/secrets/kubernetes.io/serviceaccount  目录中
  • Opaque :base64编码格式的Secret,用来存储密码、密钥等
  • kubernetes.io/dockerconfigjson :用来存储私有 docker registry 的认证信息

Service Account 

Service Account 用来访问 Kubernetes API,由 Kubernetes 自动创建,并且会自动挂载到 Pod的 /run/secrets/kubernetes.io/serviceaccount 目录中

 

$ kubectl run nginx --image nginxdeployment "nginx" created$ kubectl get podsNAME                     READY     STATUS    RESTARTS   AGEnginx-3137573019-md1u2   1/1       Running   0          13s$ kubectl exec nginx-3137573019-md1u2 ls /run/secrets/kubernetes.io/serviceaccountca.crtnamespacetoken

Opaque Secret

 Ⅰ、创建说明 

Opaque 类型的数据是一个 map 类型,要求 value 是 base64 编码格式:
 

$ echo -n "admin" | base64YWRtaW4=$ echo -n "1f2d1e2e67df" | base64MWYyZDFlMmU2N2Rm

secrets.yaml

 

apiVersion: v1kind: Secretmetadata:  name: mysecrettype: Opaquedata:  password: MWYyZDFlMmU2N2Rm  username: YWRtaW4=

Ⅱ、使用方式 

1、将 Secret 挂载到 Volume 中
 

apiVersion: v1kind: Podmetadata:  labels:    name: seret-test  name: seret-testspec:  volumes:  - name: secrets    secret:      secretName: mysecret  containers:  - image: wangyanglinux/myapp:v1    name: db    volumeMounts:    - name: secrets      mountPath: "/etc/secrets"      readOnly: true

2、将 Secret 导出到环境变量中

 

apiVersion: extensions/v1beta1kind: Deploymentmetadata:  name: pod-deploymentspec:  replicas: 2  template:    metadata:      labels:        app: pod-deployment    spec:      containers:      - name: pod-1        image: wangyanglinux/myapp:v1        ports:        - containerPort: 80        env:        - name: TEST_USER          valueFrom:            secretKeyRef:              name: mysecret              key: username        - name: TEST_PASSWORD          valueFrom:            secretKeyRef:              name: mysecret              key: password

kubernetes.io/dockerconfigjson 

使用 Kuberctl 创建 docker registry 认证的 secret

 

$ kubectl create secret docker-registry myregistrykey --docker-server=DOCKER_REGISTRY_SERVER --docker-username=DOCKER_USER --docker-password=DOCKER_PASSWORD --docker-email=DOCKER_EMAILsecret "myregistrykey" created.

在创建 Pod 的时候,通过 imagePullSecrets 来引用刚创建的 `myregistrykey`

 

apiVersion: v1kind: Podmetadata:  name: foospec:  containers:    - name: foo      image: roc/awangyang:v1  imagePullSecrets:    - name: myregistrykey

 

 

 

 

上一篇:Kubernetes(k8s)的存储Volume 详细介绍
下一篇:Kubernetes(k8s)的存储configmap详细介绍

发表评论

最新留言

表示我来过!
[***.240.166.169]2025年03月23日 16时39分57秒

关于作者

    喝酒易醉,品茶养心,人生如梦,品茶悟道,何以解忧?唯有杜康!
-- 愿君每日到此一游!

推荐文章

ButterKnife使用问题 2021-05-08
为什么讨厌所谓仿生AI的说法 2021-05-08
ORACLE 客户端工具 2021-05-08
使用第三方sdk,微信wechat扫码登录 2021-05-08
基于LabVIEW的入门指南 2021-05-08
“/”应用程序中的服务器错误。 2021-05-08
weblogic之cve-2015-4852 2021-05-08
Java注释 2021-05-08
水调歌头·1024 2021-05-08
C++ 函数重载 2021-05-08
Nginx的Gzip功能 2021-05-08
a instanceof A:判断对象a是否是类A的实例。如果是,返回true;如果不是,返回false 2021-05-08
abstract关键字的使用 2021-05-08
.NET微信网页开发之使用微信JS-SDK调用微信扫一扫功能 2021-05-08
解决Spirng注入时名称下的红色波浪线 2021-05-08
EntityFramework 6.x和EntityFramework Core关系映射中导航属性必须是public? 2021-05-08
使用mybatis-generator生成底层 2021-05-08
Android APK 重签名 2021-05-08
Mybatis【3】-- Mybatis使用工具类读取配置文件以及从属性读取DB信息 2021-05-08
Mybatis【5】-- Mybatis多种增删改查那些你会了么? 2021-05-08
白红宇的个人博客 - 记录点点滴滴的事 - 您是第 459513718 位访客
访问时间: 2025-04-19 10:11:09 访问IP: 3.135.236.62     Copyright © 2020 - 2025 css8.cn 京ICP备2021015314号-1 手机版