k8s核心对象secret

什么是Secret?
在Kubernetes中,Secret是一种用于存储敏感信息的对象,如密码、令牌、密钥等。它主要用于将这些敏感信息以安全的方式传递给Pod中的容器。Secret对象通常包含Base64编码的数据,以确保在Kubernetes中的传输过程中保持安全性。

Secret的作用主要体现在以下几个方面:
安全存储敏感信息:将密码、令牌等敏感信息存储在Secret对象中,避免明文存储,提高安全性。
传递给Pod中的容器:通过挂载Secret到Pod中,容器可以读取其中的敏感信息,实现应用程序的安全配置。
用于TLS证书:Secret可用于存储TLS证书和密钥,用于加密Pod之间的通信。
与Volume一同使用:可以将Secret与Volume结合使用,将敏感信息以文件的形式提供给Pod。
Secret的类型
在Kubernetes中,有多种类型的Secret,每种类型都适用于不同的场景。以下是常见的几种Secret类型:

Opaque(不透明)Secret:用于存储任意类型的数据,不限于字符串。最常用于存储密码、密钥等。
Docker Registry Secret:用于存储访问私有Docker Registry所需的认证信息。
Service Account Token Secret:由Kubernetes自动生成,用于向Pod中的Service Account提供API访问令牌。
TLS Secret:用于存储TLS证书和私钥,用于加密Pod之间的通信。
在接下来的内容中,我们将以不透明Secret为例,详细介绍其创建、使用和管理。

创建Opaque Secret
要创建Opaque Secret,我们需要提前准备好敏感信息,并以Base64编码的形式存储在Secret对象中。下面是一个创建Opaque Secret的示例YAML文件:

apiVersion: v1
kind: Secret
metadata:
  name: my-secret
type: Opaque
data:
  username: dXNlcm5hbWU=  # Base64编码后的用户名
  password: cGFzc3dvcmQ=  # Base64编码后的密码

#创建了一个名为my-secret的Opaque Secret,其中包含了用户名和密码的Base64编码值。创建Secret后,我们可以通过kubectl将其应用到Kubernetes集群中:
kubectl apply -f my-secret.yaml

在Pod中使用Secret
创建好Secret后,我们可以将其挂载到Pod中,并通过环境变量或者Volume的方式传递给容器。以下是一个使用Secret的Pod示例:

apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
    - name: mycontainer
      image: myimage
      env:
        - name: MY_USERNAME
          valueFrom:
            secretKeyRef:
              name: my-secret
              key: username
        - name: MY_PASSWORD
          valueFrom:
            secretKeyRef:
              name: my-secret
              key: password
  restartPolicy: Never

我们创建了一个Pod,并在容器中通过环境变量的方式使用了my-secret中的用户名和密码。这样,容器就能够安全地访问这些敏感信息,而不需要将其硬编码到容器镜像中。

使用Secret实现TLS加密
除了存储用户名和密码,Secret还可以用于存储TLS证书和私钥,实现Pod之间的加密通信。以下是一个使用Secret实现TLS加密的示例:

apiVersion: v1
kind: Secret
metadata:
  name: tls-secret
type: kubernetes.io/tls
data:
  tls.crt: base64-encoded-certificate  # Base64编码后的证书
  tls.key: base64-encoded-private-key  # Base64编码后的私钥

我们创建了一个类型为kubernetes.io/tls的Secret,其中包含了Base64编码的TLS证书和私钥。接下来,我们可以在Pod的配置中引用这个Secret,并使用TLS加密:

#我们创建了一个Pod,并将tls-secret挂载为一个Volume。容器可以通过/etc/tls路径访问证书和私钥,从而实现TLS加密通信。
apiVersion: v1
kind: Pod
metadata:
  name: mypod-tls
spec:
  containers:
    - name: mycontainer
      image: myimage
  volumes:
    - name: tls-volume
      secret:
        secretName: tls-secret
  volumeMounts:
    - name: tls-volume
      mountPath: "/etc/tls"
  restartPolicy: Never

Secret的更新和管理
Secret在创建后,可能需要进行更新或者删除。在更新Secret时,我们可以通过kubectl命令行工具或者YAML文件进行修改。以下是一个更新Secret的示例:

kubectl create secret generic my-secret --from-literal=username=newuser --dry-run=client -o yaml | kubectl apply -f -

在这个示例中,我们通过kubectl命令行工具,从命令行直接指定新的用户名,并将其更新到my-secret中。需要注意的是,这里使用了--dry-run=client参数,表示只在本地生成YAML文件而不真正应用更改,以便我们可以在确认无误后再应用更改。

这段代码使用`kubectl`命令行工具创建一个名为`my-secret`的Opaque Secret,并通过管道将其应用到Kubernetes集群中。

1. `kubectl create secret generic my-secret --from-literal=username=newuser --dry-run=client -o yaml`:这部分命令用于创建一个名为`my-secret`的Opaque Secret,包含一个键值对`username=newuser`。`--dry-run=client`选项表示仅在客户端进行验证,不实际创建资源。`-o yaml`选项表示以YAML格式输出资源定义。

2. `|`:管道符号,用于将前一个命令的输出作为下一个命令的输入。

3. `kubectl apply -f -`:这部分命令用于应用YAML格式的资源定义。`-f -`表示从标准输入(stdin)读取资源定义。

综合起来,这段代码的作用是创建一个名为`my-secret`的Opaque Secret,包含一个键值对`username=newuser`,并将其应用到Kubernetes集群中。由于使用了`--dry-run=client`选项,实际上并没有在集群中创建Secret,而是将其定义输出到标准输出(stdout),然后通过管道传递给`kubectl apply`命令进行应用。这种方式可以用于验证资源定义的正确性,或者将其保存到文件中以便后续使用。

当我们需要删除一个Secret时,可以使用如下命令:

kubectl delete secret my-secret

这将从集群中删除名为my-secret的Secret对象

周边案例:
Opaque Secret是Kubernetes中的一种Secret类型,用于存储非结构化的敏感数据,如密码、密钥、证书等。Opaque Secret的数据以键值对的形式存储,这些键值对在Pod中通过环境变量或卷挂载的方式使用。

Opaque Secret的主要特点如下:

  1. 非结构化数据:Opaque Secret可以存储任意类型的非结构化数据,如文本、二进制数据等。
  2. 加密存储:Opaque Secret中的数据在Kubernetes集群中以加密形式存储,以保护敏感信息的安全。
  3. 安全传输:Opaque Secret在Pod中使用时,通过Kubernetes API进行传输,确保数据在传输过程中的安全性。
  4. 灵活的使用方式:Opaque Secret可以通过环境变量或卷挂载的方式在Pod中使用,方便应用程序访问和使用敏感数据。

要创建一个Opaque Secret,可以使用kubectl create secret命令,如下所示:

kubectl create secret generic my-secret --from-literal=username=myuser --from-literal=password=mypassword

这个命令创建了一个名为my-secret的Opaque Secret,包含两个键值对:usernamepassword

要在Pod中使用Opaque Secret,可以通过以下方式之一:

  1. 环境变量:将Secret中的键值对作为环境变量传递给容器。
apiVersion: v1
kind: Pod
metadata:
  name: my-pod
spec:
  containers:
  - name: my-container
    image: my-image
    env:
    - name: MY_USERNAME
      valueFrom:
        secretKeyRef:
          name: my-secret
          key: username
    - name: MY_PASSWORD
      valueFrom:
        secretKeyRef:
          name: my-secret
          key: password
  1. 卷挂载:将整个Secret作为卷挂载到容器的文件系统中。
apiVersion: v1
kind: Pod
metadata:
  name: my-pod
spec:
  containers:
  - name: my-container
    image: my-image
    volumeMounts:
    - name: my-secret-volume
      mountPath: /etc/my-secret
      readOnly: true
  volumes:
  - name: my-secret-volume
    secret:
      secretName: my-secret

这样,容器内的/etc/my-secret目录将包含Secret中的所有键值对,文件名为键名,文件内容为对应的值。

©著作权归作者所有,转载或内容合作请联系作者
【社区内容提示】社区部分内容疑似由AI辅助生成,浏览时请结合常识与多方信息审慎甄别。
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

相关阅读更多精彩内容

友情链接更多精彩内容