前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >「走进k8s」Kubernetes1.15.1的Secret(27)

「走进k8s」Kubernetes1.15.1的Secret(27)

作者头像
IT架构圈
发布2019-08-29 17:24:33
9620
发布2019-08-29 17:24:33
举报
文章被收录于专栏:IT架构圈

上次说了ConfigMap,ConfigMap在kubernetes中核心的对象,一般就存储一些非安全的配置信息。kubernetes也考虑到了对于安全信息的处理办法,就是使用Secret,用来保存密码、私钥、口令等敏感信息。将这些信息放在Secret中比放在Pod的定义中或者docker镜像中来说更加安全和灵活。

(一) Secret 总体介绍
  • ① Opaque

base64 编码格式的 Secret,用来存储密码、密钥等;但数据也可以通过base64 –decode解码得到原始数据,所有加密性很弱。

  • ② kubernetes.io/dockerconfigjson

用来存储私有docker registry的认证信息。

  • ③ kubernetes.io/service-account-token

用于被serviceaccount引用,serviceaccout 创建时Kubernetes会默认创建对应的secret。Pod如果使用了serviceaccount,对应的secret会自动挂载到Pod目录/run/secrets/kubernetes.io/serviceaccount中。

(二)Opaque 详解
  • ① 介绍

Opaque 类型的数据是一个 map 类型,要求value是base64编码格式,

  • ② 演示

比如我们来创建一个用户名为 admin,密码为 admin123 的 Secret 对象,把这用户名和密码做 base64 编码。

代码语言:javascript
复制
echo -n "admin" | base64
# YWRtaW4=

 echo -n "admin123" | base64
# YWRtaW4xMjM=

需要记住上班的 2个对应的 base64 编码,下面要用。创建一个yaml的Secret。

代码语言:javascript
复制
apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  username: YWRtaW4=
  password: YWRtaW4xMjM=

1.创建一个secret 2.获取secret,里面包含了一个默认的secret 3.通过describe查看只显示Data 4.通过-o yaml 显示保存的秘钥内容

代码语言:javascript
复制
kubectl apply -f mysecret.yaml

kubectl get secret

kubectl describe secret mysecret

 kubectl get secret mysecret -o yaml
  • ③ secret使用方式
  1. 环境变量的形式。
  2. Volume的形式挂载。
  • ④ 环境变量

创建一个简单的buybox的pod,secretKeyRef关键字,上次的configMapKeyRef比较类似

代码语言:javascript
复制
apiVersion: v1
kind: Pod
metadata:
  name: secret1-pod
spec:
  containers:
  - name: secret1
    image: busybox
    command: [ "/bin/sh", "-c", "echo $(USERNAME) $(PASSWORD)" ]
    env:
    - name: USERNAME
      valueFrom:
        secretKeyRef:
          name: mysecret
          key: username
    - name: PASSWORD
      valueFrom:
        secretKeyRef:
          name: mysecret
          key: password

运行yaml,查看打印效果

代码语言:javascript
复制
kubectl apply -f my-pod-secret.yaml

kubectl get pod

kubectl logs secret1-pod

可以看到有 USERNAME 和 PASSWORD 两个环境变量输出出来。admin admin123

  • ⑤ Volume 挂载

验证下Volume挂载。创建一个yaml文件。

代码语言:javascript
复制
apiVersion: v1
kind: Pod
metadata:
  name: secret-volume-pod
spec:
  containers:
  - name: secret2
    image: busybox
    command: ["/bin/sh", "-c", "ls /etc/secrets"]
    volumeMounts:
    - name: secrets
      mountPath: /etc/secrets
  volumes:
  - name: secrets
    secret:
     secretName: mysecret

运行yaml,查看打印效果

代码语言:javascript
复制
kubectl apply -f my-volume-secret.yaml

kubectl get pod

kubectl logs secret1-pod
(二)kubernetes.io/dockerconfigjson
  • ① 介绍

创建用户docker registry认证的Secret,也k8s调取私有的仓库需要的秘钥信息保存

  • ② 通过命令的方式创建
代码语言:javascript
复制
kubectl create secret docker-registry myregistry --docker-server=DOCKER_SERVER --docker-username=DOCKER_USER --docker-password=DOCKER_PASSWORD --docker-email=DOCKER_EMAIL
  • ③ 查看秘钥信息
代码语言:javascript
复制
kubectl get secret
kubectl describe secret myregistry
kubectl get secret myregistry -o yaml

echo eyJhdXRocyI6eyJET0NLRVJfU0VSVkVSIjp7InVzZXJuYW1lIjoiRE9DS0VSX1VTRVIiLCJwYXNzd29yZCI6IkRPQ0tFUl9QQVNTV09SRCIsImVtYWlsIjoiRE9DS0VSX0VNQUlMIiwiYXV0aCI6IlJFOURTMFZTWDFWVFJWSTZSRTlEUzBWU1gxQkJVMU5YVDFKRSJ9fX0= | base64 -d
  • ④ 从仓库中拉取,并使用仓库秘钥

私有仓库镜像192.168.1.200:5000/test:v1,我们就需要针对该私有仓库来创建一个如上的Secret,然后在Pod的 YAML 文件中指定imagePullSecrets。

代码语言:javascript
复制
apiVersion: v1
kind: Pod
metadata:
  name: foo
spec:
  containers:
  - name: foo
    image: 192.168.1.200:5000/test:v1
  imagePullSecrets:
  - name: myregistrykey

没搭建仓库,所以这个不演示了,比较同意理解

(三)kubernetes.io/service-account-token
  • ①介绍

记得在搞dashboard的时候,也搞过token的为了可以正常的登录。其实就是一种验证机制。 Service Account为Pod中的进程和外部用户提供身份信息。所有的kubernetes集群中账户分为两类,Kubernetes管理的serviceaccount(服务账户)和useraccount(用户账户)。都知道api server的集群的入口,对于kunbernetes的api server 是肯定不能随便访问。所以我们必须需要一些认证信息。 例如:当用户访问集群(例如使用kubectl命令)时,apiserver 会将您认证为一个特定的 User Account(目前通常是admin,除非您的系统管理员自定义了集群配置)。Pod 容器中的进程也可以与 apiserver 联系。当它们在联系 apiserver 的时候,它们会被认证为一个特定的 Service Account。

  • ② 生成tokenaccount
代码语言:javascript
复制
kubectl create serviceaccount idig8
kubectl get secret

`

  • ③ 在pod中使用service account
代码语言:javascript
复制
apiVersion: v1
kind: Pod
metadata:
  name: my-sa-demo
  namespace: default
  labels:
    name: myapp
    tier: appfront
spec:
  containers:
  - name: myapp
    image: nginx
    ports:
    - name: http
      containerPort: 80
  serviceAccountName: idig8

运行pod。Kubernetes集群会自动创建一个token的secert,并被jaxzhai这个serviceaccount引用。设置非默认的 service account,只需要在 pod 的spec.serviceAccountName 字段中将name设置为您想要用的 service account 名字即可。在 pod 创建之初 service account 就必须已经存在,否则创建将被拒绝。您不能更新已创建的 pod 的 service account。

代码语言:javascript
复制
kubectl apply -f pom-serviceaccount.yaml

kubectl describe pod my-sa-demo
(四)Secret 与 ConfigMap 对比
  • ① 相同点

key/value的形式。属于某个特定的namespace。可以导出到环境变量。可以通过目录/文件形式挂载。通过 volume 挂载的配置信息均可热更新。

  • ② 不同点:

Secret 可以被 ServerAccount 关联。Secret 可以存储 docker register 的鉴权信息,用在 ImagePullSecret 参数中,用于拉取私有仓库的镜像。Secret 支持 Base64 加密。Secret 分为 kubernetes.io/service-account-token、kubernetes.io/dockerconfigjson、Opaque 三种类型,而 Configmap 不区分类型。

PS:为了确保kubernetes集群的安全性,Api Server 都会给客户端进行身份认证,但是Pod访问Kubernetes Api Server服务时,也是需要身份认证的。配置在容器中使用很多,特别是隐私的强烈建议使用Secret。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2019-08-29,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 编程坑太多 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • (一) Secret 总体介绍
  • (二)Opaque 详解
  • (二)kubernetes.io/dockerconfigjson
  • (三)kubernetes.io/service-account-token
  • (四)Secret 与 ConfigMap 对比
相关产品与服务
容器镜像服务
容器镜像服务(Tencent Container Registry,TCR)为您提供安全独享、高性能的容器镜像托管分发服务。您可同时在全球多个地域创建独享实例,以实现容器镜像的就近拉取,降低拉取时间,节约带宽成本。TCR 提供细颗粒度的权限管理及访问控制,保障您的数据安全。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档