zoukankan      html  css  js  c++  java
  • Kuebrnetes 0-1 了解Secret

    Run Rsyslog server in Kubernetes - ITNEXT

    通常我们的应用程序的配置都会包含一些敏感信息,例如数据库连接字符串,证书,私钥等,为了保证其安全性,K8S提供了Secret资源对象来保存敏感数据,它和CongfigMap类似,也是键值对的映射,并且使用方式也几乎一样。

    介绍Secret

    Secret中存储着键值对数据,可以

    • 作为环境变量传递给容器
    • 作为文件挂载到容器的Volume

    Secret会存储在Pod所调度的节点的内存中,而不是写入磁盘。

    Pod默认生成的Secret

    每个Pod都会被自动挂载一个Secret卷,只需要使用kubectl desribe pod命令就能看到一个名称类似default-token-n4q6m的Secret,Secret也是一种K8S资源,所以,可以使用kubectl get secretkubectl describe secret 获取查看。

    image-20200708223709295

    image-20200708224201615

    从上面图例可以看出,Pod默认生成的Secret会包含三个配置项:ca.crt、namespace、token。其实这三个配置项是Pod内部安全访问Kubernetes API服务的所有信息,而在kubectl describe pod的时候,你可以看到Secret所挂载的具体目录在/var/run/secrets/kubernetes.io/serviceaccount.

    image-20200708225251762

    每个Pod会默认生成default-token-xxxxx的Secret,可以通过在Pod中定义pod.spec.automountServiceAccountToken为false来关闭这种默认行为。

    创建Secret

    可以直接通过kubectl create secret命令创建,也可以先编写secret的yaml文件再使用kubectl apply -f <filename>创建,推荐使用后者。

    单行命令创建Secret

    • 创建一个键值对的secret:
    kubectl create secret generic first-secret --from-literal=user=admin --from-literal=password=admin123
    

    创建完成之后,使用kubectl describe secret first-secret查看,可以看到这个secret的键值内容并不会直接打印出来,而是只显示了占用了多少个字节。

    image-20200717210508133

    • 创建一个文件内容的Secret

    假如我当前有一个配置文件secret.json,文件内容如下:

    {
      "User": "admin",
      "Password": "admin123"
    }
    

    使用以下命令创建Secret:

    kubectl create secret generic second-secret --from-file=secret.json
    

    创建完成之后,使用kubectl describe secret second-secret查看secret的键值内容,同样也不会将文件内容显示出来:

    image-20200717211045935

    默认使用文件名称secret.json作为键值对的key,也可以通过--from-file=second_secret=app.json指定key为second_secret

    可以使用多组--from-file=<key>=<filename>参数,在secret中定义多组文件;

    --from-file=后面可以直接跟某个文件路径,这样会将目录下的所有文件引入到Secret;

    --from-literal--from-file可以共同使用,键值合并。

    删除创建的first-secretsecond-secret

    kubectl delete secret first-secret
    kubectl delete secret second-secret
    

    基于资源清单文件创建Secret

    • 创建一个键值对的Secret:

    首先定义Secret的资源文件first-secret.yaml,定义如下:

    先使用base64对secret资源文件中要保存的键值编码

    echo "admin" | base64 # 得到 YWRtaW4K
    echo "admin123" | base64	# 得到 YWRtaW4xMjMK
    
    vim first-secret.yaml
    
    apiVersion: v1
    kind: Secret
    metadata:
      name: first-secret
    data:
      user: "YWRtaW4K"
      password: "YWRtaW4xMjMK"
    

    使用kubectl apply命令创建Secret资源:

    kubectl apply -f first-secret.yaml
    

    创建完成之后,使用kubectl describe secret first-secret查看。

    可以在data下定义多组键值对。

    • 创建一个文件内容的Secret

    首先定义Secret的资源文件second-secret.yaml,定义如下:

    先使用base64对上文中的secret.json文件内容编码:

    echo $(cat secret.json) | base64 # 得到 eyAiVXNlciI6ICJhZG1pbiIsICJQYXNzd29yZCI6ICJhZG1pbjEyMyIgfQo=
    
    vim second-secret.yaml
    
    apiVersion: v1
    kind: Secret
    metadata:
      name: second-secret
    data:
      secret.json: eyAiVXNlciI6ICJhZG1pbiIsICJQYXNzd29yZCI6ICJhZG1pbjEyMyIgfQo=
    

    使用kubectl apply命令创建Secret资源:

    kubectl apply -f second-secret.yaml
    

    创建完成之后,使用kubectl describe secret second-secret查看。

    可以在data下定义多组文件,也可以和键值对一起定义;

    删除创建的first-secretsecond-secret

    kubectl delete secret first-secret
    kubectl delete secret second-secret
    

    使用Secret

    Secret的用途也与ConfigMap相差无几:

    • 使用Secret作为容器的环境变量
    • 使用Secret作为Volume向容器提供文件

    使用Secret作为容器的环境变量

    假如有一个名为first-secret的Secret,里面包含了一个键为user,我想将这个Secret中user键用到我的环境变量USER_NAME中,可以使用如下方式:

    ...
    env:
    - name: USER_NAME
      valueFrom:
        secretKeyRef:
          name: first-secret
          key: user
    ...
    

    如果有一个名为second-secretSecret中包含多个键如USER_NAMEPASSWORD,我想将这个Secret中所有的键都用到我的环境变量中,可以使用如下方式:

    ...
    spec:
      container:
      - image: <some-image>
        envFrom:
        - prefix: MYSQL_
          secretRef:
            name: second-secret
    ...
    

    容器将会生成DB_USER_NAMEDB_PASSWORD环境变量,prefix也可以不配置,则直接使用Secret的键。

    注意:

    • secretRef与上面secretKeyRef的区别;
    • 如果Secret中有一个为USER-NAME键,那么将不会生成MYSQL_USER-NAME的环境变量,因为MYSQL_USER-NAME不是一个合法的环境变量名称。

    使用Secret为容器的Volume提供文件

    上次的文章——《了解ConfigMap》中,使用ConfigMap向容器提供文件,这次使用Secret来实际使用一下。

    我们现在有一个文件secret.json要传递到容器中,文件内容如下:

    {
      "User": "admin",
      "Password": "admin123"
    }
    

    创建Secret

    kubectl create secret generic helloweb-secret --from-file=secret.json
    

    定义helloweb-pod.yaml文件如下:

    apiVersion: v1
    kind: Pod
    metadata:
      name: helloweb
    spec:
      containers:
      - name: helloweb
        image: med1tator/helloweb:v1
        ports:
          - containerPort: 80
        volumeMounts:
          - mountPath: /app/mysettings/secret.json
            name: helloweb-secret
            subPath: secret.json
      volumes:
      - name:  helloweb-secret
        secret:
          secretName: helloweb-secret
    

    创建Pod:

    kubectl apply -f helloweb-pod.yaml
    

    一段时间后,可以验证文件是否挂载到容器:

    image-20200717221306742

    Yeah!没毛病。

    使用Secret拉取私有镜像

    当我们要访问拉取私有仓库或者私有镜像时,我们需要可能需要使用到Secret。

    比如我现在将我docker仓库中的镜像helloweb设置成私有镜像,这是我使用该镜像创建Pod是会显示镜像拉取失败的,很明显,我需要登录docker。

    • 创建镜像仓库Secret
    kubectl create secret docker-registry docker-hub-secret --docker-username=<my_username> --docker-password=<my_password>
    

    私有仓库的话使用--docker-server指定;

    更多使用kubectl create secret docker-registry --help查看

    • Pod中使用imagePullSecrets:
    ...
    kind: Pod
    spec:
      imagePullSecrets:
        - name: docker-hub-secret
      containers:
      - name: helloweb
        image: med1tator/helloweb:v1
    ...
    
    • 使用ServiceAccount

    如果很多镜像都要从私有仓库拉取,那最好将secret添加到一个固定的ServiceAccount中,一个ServiceAccount可以包含多个镜像仓库Secret:

    apiVersion: v1
    kind: ServiceAccount
    metadata:
      name:  docker-service-account
    imagePullSecrets:
      - name: docker-hub-secret
      - name: harbor-secret
    

    这时Pod使用ServiceAccount即可:

    ...
    kind: Pod
    spec:
      serviceAccountName: docker-service-account
    ...
    
  • 相关阅读:
    图形控件开发商十年之旅回顾
    图表控件,数据可视化,你真的选对了吗?
    话说LightningChart是最快最美的图表控件,到底先进在哪里?
    LayUI技巧总结
    解决EFCore缓存机制导致的数据查询错误问题
    关于反射的那些骚操作
    .NetCore借助AutoMapper实现全局数据字段按角色过滤
    记录一次EFCore CodeFirst迁移实践,解决多个项目表结构同步更新问题
    SQL查询整个数据库中某个特定值所在的表和字段的方法
    Visual Studio利用正则表达式进行查找和替换
  • 原文地址:https://www.cnblogs.com/Med1tator/p/13334016.html
Copyright © 2011-2022 走看看