k8s 管理机密信息
一、启动应用安全信息的保护:
Secret介绍:
应用启动过程中可能需要一些敏感信息,比如访问数据库的用户名密码或者秘钥。将这些信息直接保存在容器镜像中显然不妥,Kubernetes 提供的解决方案是 Secret。
Secret 会以密文的方式存储数据,避免了直接在配置文件中保存敏感信息。Secret 会以 Volume 的形式被 mount 到 Pod,容器可通过文件的方式使用 Secret 中的敏感数据;此外,容器也可以环境变量的方式使用这些数据。
Secret 可通过命令行或 YAML 创建。比如希望 Secret 中包含如下信息:
用户名 admin
密码 123456
创建 Secret
有四种方法创建 Secret:
1. 通过 --from-literal:
kubectl create secret generic mysecret --from-literal=username=admin --from-literal=password=123456
kubectl get secret
kubectl get secret mysecret
每个 --from-literal 对应一个信息条目。
2. 通过 --from-file:
echo -n admin > ./username # -n不换行
echo -n 123456 > ./password
kubectl create secret generic mysecret --from-file=./username --from-file=./password
每个文件内容对应一个信息条目。
3. 通过 --from-env-file:
cat << EOF > env.txt
username=admin
password=123456
EOF
kubectl create secret generic mysecret --from-env-file=env.txt
文件 env.txt 中每行 Key=Value 对应一个信息条目。
4. 通过 YAML 配置文件:
文件中的敏感数据必须是通过 base64 编码后的结果。
执行 kubectl apply 创建 Secret:
显示有两个数据条目,kubectl describe secret 查看条目的 Key:
如果还想查看 Value,可以用 kubectl edit secret mysecret
然后通过 base64 将 Value 反编码:
二、secret在pod中的应用
volume 方式使用 Secret
Pod 可以通过 Volume 或者环境变量的方式使用 Secret,先学习 Volume 方式。
(1)Pod 的配置文件如下所示:
① 定义 volume foo,来源为 secret mysecret
② 将 foo mount 到容器路径 /etc/foo,可指定读写权限为 readOnly
创建 Pod 并在容器中读取 Secret:
可以看到,Kubernetes 会在指定的路径 /etc/foo 下为每条敏感数据创建一个文件,文件名就是数据条目的 Key,这里是 /etc/foo/username 和 /etc/foo/password,Value 则以明文存放在文件中。
(2)我们也可以自定义存放数据的文件名,比如将配置文件改为:
这时数据将分别存放在 /etc/foo/my-group/my-username 和 /etc/foo/my-group/my-password 中。
以 Volume 方式使用的 Secret 支持动态更新:Secret 更新后,容器中的数据也会更新。
将 password 更新为 abcdef,base64 编码为 YWJjZGVm
更新 Secret。
几秒钟或,新的 password 会同步到容器。
环境变量方式使用 Secret
通过 Volume 使用 Secret,容器必须从文件读取数据,会稍显麻烦,Kubernetes 还支持通过环境变量使用 Secret。
Pod 配置文件示例如下:
创建 Pod 并读取 Secret。
通过环境变量 SECRET_USERNAME 和 SECRET_PASSWORD 成功读取到 Secret 的数据。
需要注意的是,环境变量读取 Secret 很方便,但无法支撑 Secret 动态更新。
Secret 可以为 Pod 提供密码、Token、私钥等敏感数据;
最新文章
- C# TCP socket发送大数据包时,接收端和发送端数据不一致 服务端接收Receive不完全
- InstallSheild的一些常量
- plsql dev
- d3 API axis
- [.NET] 使用Json.NET提供依赖注入功能(Dependence Injection)
- POJ 1008 Maya Calendar
- python 与 mysql
- js对象序列化JSON.stringify()与反序列化JSON.parse()
- JNI/NDK开发指南(开山篇)
- 彻底解决 LINK : fatal error LNK1123: 转换到 COFF 期间失败: 文件无效或损坏
- MVC推荐教程和文章列表
- C#:using与.net对象销毁
- (转)Oracle中的rownum,ROWID的 用法
- 邓_PHP面试【001】
- Linux分页机制之分页机制的实现详解--Linux内存管理(八)
- 条件随机场conditional random field
- JavaScript中值类型与引用类型
- swift3 与 OC 语法区别
- 1. 怎么设置可以使得虚拟机里面既可以访问主机也可以访问局域网而且是静态ip
- Android 架构师技能图谱(转载)