存储之Secret配置管理Service Account、Opaque、dockerconfigjson
1、什么是Secret?2、Service Account3、Opaque(1)从文件中创建Secret(2)使用yaml文件创建secret(3)将Secret挂载到Volume中(4)向指定路径映射 secret 密钥(5)将Secret设置为环境变量3、kubernetes.io/dockerconfigjson1、什么是Secret?
Secret是存储中的一种,主要用于保存敏感信息,例如密码、OAuth 令牌和 ssh key。 敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。
Pod 主要有两种方式使用 secret:
(1)作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里。
(2)当 kubelet 为 pod 拉取镜像时使用。
Secret的类型:
(1)Service Account:Kubernetes 自动创建包含访问 API 凭据的 secret,并自动修改 pod 以使用此类型的 secret。
(2)Opaque:使用base64编码存储信息,可以通过base64 --decode解码获得原始数据,因此安全性弱。
(3)kubernetes.io/dockerconfigjson:用于存储docker registry的认证信息
2、Service Account
serviceaccout 创建时 Kubernetes 会默认创建对应的 secret。对应的 secret 会自动挂载到 Pod 的/run/secrets/kubernetes.io/serviceaccount
目录中。
kubectl run demo --image=myapp:v1
进入emo查看
每个namespace下有一个名为default的默认的ServiceAccount对象
ServiceAccount里有一个名为Tokens的可以作为Volume一样被Mount到Pod里的Secret,当Pod启动时这个Secret会被自动Mount到Pod的指定目录下,用来协助完成Pod中的进程访问API Server时的身份鉴权过程。
3、Opaque
(1)从文件中创建Secret
echo -n 'admin' > ./username.txt%创建用户echo -n 'westos' > ./password.txt%创建密码kubectl create secret generic db-user-pass --from-file=./username.txt --from-file=./password.txt%用文件创建db-user-pass这个新secret%如果密码具有特殊字符,则需要使用 \ 字符对其进行转义kubectl get secrets%查看secrets
详细查看,查看到的用户和密码不是原本的明文,是经过base64编码后的结果,使用-d参数就可以解码。
(2)使用yaml文件创建secret
base64编码
echo -n 'admin' | base64YWRtaW4=echo -n 'westos' | base64d2VzdG9z
编辑secret.yaml文件
apiVersion: v1kind: Secretmetadata:name: mysecrettype: Opaquedata:username: YWRtaW4=password: d2VzdG9z
创建mysecret,查看
(3)将Secret挂载到Volume中
修改secret.yaml文件
apiVersion: v1kind: Secretmetadata:name: mysecrettype: Opaquedata:username: YWRtaW4=password: d2VzdG9z---apiVersion: v1kind: Podmetadata:name: mysecretspec:containers:- name: nginximage: nginxvolumeMounts:%把secret挂载到mysecret这个pod中的/secret- name: secretsmountPath: "/secret"readOnly: true%只读volumes:- name: secretssecret:secretName: mysecret
创建pod,查看pod。进入mysecret,可以看到username和password
(4)向指定路径映射 secret 密钥
由于实验环境很乱,所以先删除不用的pod
修改secret.yaml文件
apiVersion: v1kind: Secretmetadata:name: mysecrettype: Opaquedata:username: YWRtaW4=password: d2VzdG9z---apiVersion: v1kind: Podmetadata:name: mysecretspec:containers:- name: nginximage: nginxvolumeMounts:- name: secretsmountPath: "/secret"readOnly: truevolumes:- name: secretssecret:secretName: mysecretitems:- key: usernamepath: my-group/my-username%指定路径为/secret/my-group/my-username
创建pod,查看pod。进入mysecret,在/secret/my-group/my-username可以看到username
(5)将Secret设置为环境变量
修改secret.yaml文件
apiVersion: v1kind: Secretmetadata:name: mysecrettype: Opaquedata:username: YWRtaW4=password: d2VzdG9z---apiVersion: v1kind: Podmetadata:name: secret-envspec:containers:- name: nginximage: nginxenv:%设置环境变量- name: SECRET_USERNAMEvalueFrom:%把mysecret中的username这个key值取出来,并改名为SECRET_USERNAMEsecretKeyRef:name: mysecretkey: username- name: SECRET_PASSWORDvalueFrom:%把mysecret中的password这个key值取出来,并改名为SECRET_PASSWORDsecretKeyRef:name: mysecretkey: password
创建secret-env,查看
进入secret-env,查看环境变量
环境变量读取Secret很方便,但无法支撑Secret动态更新
进入mysecret编辑,
修改密码为redhat
再次进入secret-env,查看环境变量,还是westos,没有改变
3、kubernetes.io/dockerconfigjson
kubernetes.io/dockerconfigjson用于存储docker registry的认证信息.
新建一个私有仓库westos,如果没有给定仓库密码的话,是会拉取失败的
创建myregistrykey,指定仓库名字,给定仓库的用户名和密码。查看
编辑registry.yaml文件
创建mypod,查看,启动失败
修改registry.yaml文件
apiVersion: v1kind: Podmetadata:name: mypodspec:containers:- name: game2048image: /westos/game2048imagePullSecrets:%给定仓库认证信息- name: myregistrykey
删除之前的mypod,重新创建,查看running