「走进k8s」Kubernetes1.15.1的Secret(27)
上次说了ConfigMap,ConfigMap在kubernetes中核心的对象,一般就存储一些非安全的配置信息。kubernetes也考虑到了对于安全信息的处理办法,就是使用Secret,用来保存密码、私钥、口令等敏感信息。将这些信息放在Secret中比放在Pod的定义中或者docker镜像中来说更加安全和灵活。
(一) Secret 总体介绍
- ① Opaque
base64 编码格式的 Secret,用来存储密码、密钥等;但数据也可以通过base64 –decode解码得到原始数据,所有加密性很弱。
- ② kubernetes.io/dockerconfigjson
用来存储私有docker registry的认证信息。
- ③ kubernetes.io/service-account-token
用于被serviceaccount引用,serviceaccout 创建时Kubernetes会默认创建对应的secret。Pod如果使用了serviceaccount,对应的secret会自动挂载到Pod目录/run/secrets/kubernetes.io/serviceaccount中。
(二)Opaque 详解
- ① 介绍
Opaque 类型的数据是一个 map 类型,要求value是base64编码格式,
- ② 演示
比如我们来创建一个用户名为 admin,密码为 admin123 的 Secret 对象,把这用户名和密码做 base64 编码。
echo -n "admin" | base64
# YWRtaW4=
echo -n "admin123" | base64
# YWRtaW4xMjM=
需要记住上班的 2个对应的 base64 编码,下面要用。创建一个yaml的Secret。
apiVersion: v1
kind: Secret
metadata:
name: mysecret
type: Opaque
data:
username: YWRtaW4=
password: YWRtaW4xMjM=
1.创建一个secret 2.获取secret,里面包含了一个默认的secret 3.通过describe查看只显示Data 4.通过-o yaml 显示保存的秘钥内容
kubectl apply -f mysecret.yaml
kubectl get secret
kubectl describe secret mysecret
kubectl get secret mysecret -o yaml
- ③ secret使用方式
- 环境变量的形式。
- Volume的形式挂载。
- ④ 环境变量
创建一个简单的buybox的pod,secretKeyRef关键字,上次的configMapKeyRef比较类似
apiVersion: v1
kind: Pod
metadata:
name: secret1-pod
spec:
containers:
- name: secret1
image: busybox
command: [ "/bin/sh", "-c", "echo $(USERNAME) $(PASSWORD)" ]
env:
- name: USERNAME
valueFrom:
secretKeyRef:
name: mysecret
key: username
- name: PASSWORD
valueFrom:
secretKeyRef:
name: mysecret
key: password
运行yaml,查看打印效果
kubectl apply -f my-pod-secret.yaml
kubectl get pod
kubectl logs secret1-pod
可以看到有 USERNAME 和 PASSWORD 两个环境变量输出出来。admin admin123
- ⑤ Volume 挂载
验证下Volume挂载。创建一个yaml文件。
apiVersion: v1
kind: Pod
metadata:
name: secret-volume-pod
spec:
containers:
- name: secret2
image: busybox
command: ["/bin/sh", "-c", "ls /etc/secrets"]
volumeMounts:
- name: secrets
mountPath: /etc/secrets
volumes:
- name: secrets
secret:
secretName: mysecret
运行yaml,查看打印效果
kubectl apply -f my-volume-secret.yaml
kubectl get pod
kubectl logs secret1-pod
(二)kubernetes.io/dockerconfigjson
- ① 介绍
创建用户docker registry认证的Secret,也k8s调取私有的仓库需要的秘钥信息保存
- ② 通过命令的方式创建
kubectl create secret docker-registry myregistry --docker-server=DOCKER_SERVER --docker-username=DOCKER_USER --docker-password=DOCKER_PASSWORD --docker-email=DOCKER_EMAIL
- ③ 查看秘钥信息
kubectl get secret
kubectl describe secret myregistry
kubectl get secret myregistry -o yaml
echo eyJhdXRocyI6eyJET0NLRVJfU0VSVkVSIjp7InVzZXJuYW1lIjoiRE9DS0VSX1VTRVIiLCJwYXNzd29yZCI6IkRPQ0tFUl9QQVNTV09SRCIsImVtYWlsIjoiRE9DS0VSX0VNQUlMIiwiYXV0aCI6IlJFOURTMFZTWDFWVFJWSTZSRTlEUzBWU1gxQkJVMU5YVDFKRSJ9fX0= | base64 -d
- ④ 从仓库中拉取,并使用仓库秘钥
私有仓库镜像192.168.1.200:5000/test:v1,我们就需要针对该私有仓库来创建一个如上的Secret,然后在Pod的 YAML 文件中指定imagePullSecrets。
apiVersion: v1
kind: Pod
metadata:
name: foo
spec:
containers:
- name: foo
image: 192.168.1.200:5000/test:v1
imagePullSecrets:
- name: myregistrykey没搭建仓库,所以这个不演示了,比较同意理解
(三)kubernetes.io/service-account-token
- ①介绍
记得在搞dashboard的时候,也搞过token的为了可以正常的登录。其实就是一种验证机制。 Service Account为Pod中的进程和外部用户提供身份信息。所有的kubernetes集群中账户分为两类,Kubernetes管理的serviceaccount(服务账户)和useraccount(用户账户)。都知道api server的集群的入口,对于kunbernetes的api server 是肯定不能随便访问。所以我们必须需要一些认证信息。 例如:当用户访问集群(例如使用kubectl命令)时,apiserver 会将您认证为一个特定的 User Account(目前通常是admin,除非您的系统管理员自定义了集群配置)。Pod 容器中的进程也可以与 apiserver 联系。当它们在联系 apiserver 的时候,它们会被认证为一个特定的 Service Account。
- ② 生成tokenaccount
kubectl create serviceaccount idig8
kubectl get secret`
- ③ 在pod中使用service account
apiVersion: v1
kind: Pod
metadata:
name: my-sa-demo
namespace: default
labels:
name: myapp
tier: appfront
spec:
containers:
- name: myapp
image: nginx
ports:
- name: http
containerPort: 80
serviceAccountName: idig8
运行pod。Kubernetes集群会自动创建一个token的secert,并被jaxzhai这个serviceaccount引用。设置非默认的 service account,只需要在 pod 的spec.serviceAccountName 字段中将name设置为您想要用的 service account 名字即可。在 pod 创建之初 service account 就必须已经存在,否则创建将被拒绝。您不能更新已创建的 pod 的 service account。
kubectl apply -f pom-serviceaccount.yaml
kubectl describe pod my-sa-demo
(四)Secret 与 ConfigMap 对比
- ① 相同点
key/value的形式。属于某个特定的namespace。可以导出到环境变量。可以通过目录/文件形式挂载。通过 volume 挂载的配置信息均可热更新。
- ② 不同点:
Secret 可以被 ServerAccount 关联。Secret 可以存储 docker register 的鉴权信息,用在 ImagePullSecret 参数中,用于拉取私有仓库的镜像。Secret 支持 Base64 加密。Secret 分为 kubernetes.io/service-account-token、kubernetes.io/dockerconfigjson、Opaque 三种类型,而 Configmap 不区分类型。
PS:为了确保kubernetes集群的安全性,Api Server 都会给客户端进行身份认证,但是Pod访问Kubernetes Api Server服务时,也是需要身份认证的。配置在容器中使用很多,特别是隐私的强烈建议使用Secret。
腾讯云开发者
