Kubernetes基础自学系列 | Secret 存在意义
视频来源:B站《2021 年末倾力打造 Kubernetes 入门至精通 - 2022 年幸福的开胃菜》
一边学习一边整理老师的课程内容及试验笔记,并与大家分享,侵权即删,谢谢支持!
附上汇总贴:Kubernetes基础自学系列 | 汇总_COCOgsta的博客-CSDN博客
Secret 解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Spec 中。Secret 可以以 Volume 或者环境变量的方式使用
Secret 有三种类型:
Service Account :用来访问 Kubernetes API,由 Kubernetes 自动创建,并且会自动挂载到 Pod 的
/run/secrets/kubernetes.io/serviceaccount 目录中
Opaque :base64 编码格式的 Secret,用来存储密码、密钥等
kubernetes.io/dockerconfigjson :用来存储私有 docker 仓库的认证信息
Service Account
Service Account 用来访问 Kubernetes API,由 Kubernetes 自动创建,并且会自动挂载到 Pod的
/run/secrets/kubernetes.io/serviceaccount 目录中
$ kubectl run nginx --image nginx
deployment "nginx" created
$ kubectl get pods
NAME READY STATUS RESTARTS AGE
nginx-3137573019-md1u2 1/1 Running 0 13s
$ kubectl exec nginx-3137573019-md1u2 ls /run/secrets/kubernetes.io/serviceaccount
ca.crt
namespace
token
Opaque Secret
I、创建说明
Opaque 类型的数据是一个 map 类型,要求 value 是 base64 编码格式:
$ echo -n "admin" | base64
YWRtaW4=
$ echo -n "1f2d1e2e67df" | base64
MWYyZDFlMmU2N2Rm
secrets.yml
apiVersion: v1
kind: Secret
metadata:
name: mysecret
type: Opaque
data:
password: MWYyZDFlMmU2N2Rm
username: YWRtaW4=
II、使用方式
1、将 Secret 挂载到 Volume 中
apiVersion: v1
kind: Pod
metadata:
labels:
name: seret-test
name: seret-test
spec:
volumes:
- name: volumes12
secret:
secretName: mysecret
containers:
- image: wangyanglinux/myapp:v1
name: db
volumeMounts:
- name: volumes12
mountPath: "/data"
2、将 Secret 导出到环境变量中
apiVersion: extensions/v1beta1
kind: Deployment
metadata:
name: pod-deployment
spec:
replicas: 2
template:
metadata:
labels:
app: pod-deployment
spec:
containers:
- name: pod-1
image: wangyanglinux/myapp:v1
ports:
- containerPort: 80
env:
- name: TEST_USER
valueFrom:
secretKeyRef:
name: mysecret
key: username
- name: TEST_PASSWORD
valueFrom:
secretKeyRef:
name: mysecret
key: password
kubernetes.io/dockerconfigjson
使用 Kuberctl 创建 docker 仓库认证的 secret
$ kubectl create secret docker-registry myregistrykey --docker-server=DOCKER_REGISTRY_SERVER --docker-username=DOCKER_USER --docker-password=DOCKER_PASSWORD --docker-email=DOCKER_EMAIL
secret "myregistrykey" created.
在创建 Pod 的时候,通过 imagePullSecrets 来引用刚创建的 myregistrykey
apiVersion: v1
kind: Pod
metadata:
name: foo
spec:
containers:
- name: foo
image: hub.hongfu.com/wangyang/myapp:v1
imagePullSecrets:
- name: myregistrykey
相关文章
- Kubernetes 在滚动更新中使用 Health Check
- 【云原生 | Kubernetes 系列】--Istio基础和部署
- ABAP Netweaver, SAP Cloud Platform和Kubernetes的用户区分
- Kubernetes Pod健康检查机制
- 使用 kubectl patch 修改 Kubernetes objects
- centos7安装kubernetes k8s 1.16
- 【云原生 | Kubernetes 系列】--Istio基础和部署
- 【云原生 | Kubernetes 系列】--Envoy基础路由配置
- y37.第三章 Kubernetes从入门到精通 -- etcd运行机制和yaml文件及语法基础(十)
- Kubernetes基础自学系列 | 部署prometheus
- Kubernetes基础自学系列 | 污点和容忍
- Kubernetes基础自学系列 | Kubernetes组件介绍
- Kubernetes基础自学系列 | 汇总
- Kubernetes基础自学系列 | 调度器
- Kubernetes基础自学系列 | SVC模型讲解
- Kubernetes基础自学系列 | 存储讲解 ConfigMap
- SpringCloud微服务电商系统在Kubernetes集群中上线详细教程
- Kubernetes 架构基础 核心控制平面组件
- Kubernetes 存储管理:怎样对业务数据进行持久化存储?
- 【云原生 | Kubernetes 系列】--Gitops持续交付 ArgoCD自动同步策略
- Kubernetes基础_01_从云原生到kubernetes