当前位置: 首页 > news >正文

K8S之Secret的介绍和使用

news 2025/8/22 6:04:05

Secret

  • Secret的介绍
  • Secret的使用
    • 通过环境变量引入Secret
    • 通过volume挂载Secret

Secret的介绍

Secret是一种保护敏感数据的资源对象。例如:密码、token、秘钥等,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。

Pod 可以用两种方式使用 secret:作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里,或者当 kubelet 为 pod 拉取镜像时使用。

secret可选参数有三种:

  • generic: 通用类型,通常用于存储密码数据。
  • tls:此类型仅用于存储私钥和证书。
  • docker-registry: 若要保存docker仓库的认证信息的话,就必须使用此种类型来创建。

Secret类型:

  • Service Account:用于被 serviceaccount 引用。serviceaccout 创建时 Kubernetes 会默认创建对应的 secret。Pod 如果使用了 serviceaccount,对应的 secret 会自动挂载到 Pod 的/run/secrets/kubernetes.io/serviceaccount 目录中。

  • Opaque:base64编码格式的Secret,用来存储密码、秘钥等。可以通过base64 --decode解码获得原始数据,因此安全性弱

  • kubernetes.io/dockerconfigjson:用来存储私有docker registry的认证信息。

Secret的使用

通过环境变量引入Secret

1、把mysql的root用户的password创建成secret

kubectl create secret generic mysql-password --from-literal=password=admin**lucky66

kubectl get secret

在这里插入图片描述

kubectl describe secret mysql-password

在这里插入图片描述

password的值是加密的,但secret的加密是一种伪加密,它仅仅是将数据做了base64的编码

2、创建pod,引用secret

vim pod-secret.yaml 

apiVersion: v1
kind: Pod
metadata:name: pod-secretlabels:app: myapp
spec:containers:- name: myappimage: myapp:v1imagePullPolicy: IfNotPresentports:- name: httpcontainerPort: 80env:- name: MYSQL_ROOT_PASSWORD   #Pod启动成功后,Pod中容器的环境变量名.valueFrom:secretKeyRef:name: mysql-password  # secret的对象名key: password         # secret中的key名

更新资源清单文件

kubectl apply -f pod-secret.yaml

kubectl exec -it pod-secret -- /bin/sh

printenv

在这里插入图片描述

通过volume挂载Secret

1、创建Secret,并手动加密(基于base64加密)

echo -n 'admin' | base64

YWRtaW4=
在这里插入图片描述

echo -n 'admin123456' | base64

YWRtaW4xMjM0NTY=
在这里插入图片描述

解码:

echo YWRtaW4xMjM0NTY=  | base64 -d

在这里插入图片描述

2、创建yaml文件

vim secret.yaml

apiVersion: v1
kind: Secret
metadata:name: mysecret
type: Opaque
data:username: YWRtaW4=password: YWRtaW4xMjM0NTY=

更新资源清单文件

kubectl apply -f secret.yaml

kubectl describe secret mysecret

在这里插入图片描述

3、将Secret挂载到Volume中

vim pod_secret_volume.yaml

apiVersion: v1
kind: Pod
metadata:name: pod-secret-volume
spec:containers:- name: myappimage: myapp:v1volumeMounts:- name: secret-volumemountPath: /etc/secretreadOnly: truevolumes:- name: secret-volumesecret:secretName: mysecret

更新资源清单文件

kubectl apply -f pod_secret_volume.yaml

kubectl exec -it pod-secret-volume -- /bin/sh

ls /etc/secret

cat /etc/secret/username

cat /etc/secret/password

在这里插入图片描述

由上可见,在pod中的secret信息实际已经被解密

http://www.lryc.cn/news/329279.html

相关文章:

  • git下载安装教程
  • 《剑指 Offer》专项突破版 - 面试题 98、99 和 100 : 和动态规划相关的矩阵路径问题(C++ 实现)
  • KY145 EXCEL排序(用Java实现)
  • 属性选择器
  • 软考 - 系统架构设计师 - 关系模型的完整性规则
  • 写了几个难一点的sql
  • 【JDK常用的API】包装类
  • Android Q(10)黑暗模式适配的实现
  • 【git】git使用手册
  • unity中判断方向 用 KeyVertical ,KeyHorizontal 判断ui物体的 方向
  • 前端a4纸尺寸转像素尺寸
  • Android 中 调试和减少内存错误
  • 证券市场概述
  • 什么是数据结构
  • 基于springboot+vue实现的学校田径运动会管理系统
  • HarmonyOS 应用开发之FA模型绑定Stage模型ServiceExtensionAbility
  • Java 中的单例模式
  • 鸿蒙OS开发实例:【ArkTS类库多线程I/O密集型任务开发】
  • OpenStack部署
  • Java中的多线程和线程安全问题
  • java Web会议信息管理系统 用eclipse定制开发mysql数据库BS模式java编程jdbc
  • lock4j学习记录
  • 【C++庖丁解牛】自平衡二叉搜索树--AVL树
  • ES5和ES6的深拷贝问题
  • 阿里云发送短信配置
  • axios封装,请求取消和重试,请求头公共参数传递
  • 隐私计算实训营学习五:隐语PSI介绍及开发指南
  • ES的RestClient相关操作
  • linux通用命令 ssh命令连接慢问题排查
  • 7.卷积神经网络与计算机视觉