034.Kubernetes集群安全Secret
一 secret概述
1.1 secret作用
Secret对象,主要作用是保管私密数据,比如密码、OAuth Tokens、SSH Keys等信息。将这些私密信息放在Secret对象中比直接放在Pod或Docker Image中更安全,也更便于使用和分发。二 secret使用
2.1 secret创建
[root@k8smaster01 study]# kubectl create namespace myns[root@k8smaster01 study]# echo -n "value-1" | base64dmFsdWUtMQ==[root@k8smaster01 study]# echo -n "value-2" | base64 dmFsdWUtMg==[root@k8smaster01 study]# vi secrets.yaml1 apiVersion: v1[root@k8smaster01 study]# kubectl create -f secrets.yaml2 kind: Secret
3 metadata:
4name: mysecret
5 namespace: myns
6 type: Opaque
7data:
8 password: dmFsdWUtMg0K
9 username: dmFsdWUtMQ0K
注意:data域的各子域的值必须为BASE64编码值,如上password域和username域都为BASE64编码。
2.2 secret引用
创建完secret之后,可通过如下三种方式引用:- 在创建Pod时,通过为Pod指定Service Account来自动使用该Secret。
- 通过挂载该Secret到Pod来使用它。
- 在Docker镜像下载时使用, 通过指定Pod的spc.ImagePullSecrets来引用它。
1 apiVersion: v1[root@k8smaster01 study]# kubectl create -f mysecretpod.yaml如上例创建的Secret,被挂载到一个叫作mycontainer的Container中,在该Container中可通过相应的查询命令查看所生成的文件和文件中的内容。[root@k8smaster01 study]# kubectl exec -ti mypod -n myns ls /etc/foo #查看挂载后的secretpassword username[root@k8smaster01 study]# kubectl exec -ti mypod -n myns cat /etc/foo/usernamevalue-1[root@k8smaster01 study]# kubectl exec -ti mypod -n myns cat /etc/foo/passwordvalue-2示例2:镜像中引用,通常用于拉取需要验证账号密码的私有仓库的镜像。[root@k8smaster01 ~]# docker login --username=x120952576@126.com registry.cn-hangzhou.aliyuncs.comPassword:【阿里云仓库密码】[root@k8smaster01 ~]# cat ~/.docker/config.json #查看是否写入登录信息[root@k8smaster01 ~]# base64 -w 0 ~/.docker/config.json #将登录信息文件转化为base64编码[root@k8smaster01 ~]# vim mysecretaliyun.yaml #创建secret内容2 kind: Pod
3 metadata:
4name: mypod
5 namespace: myns
6 spec:
7 containers:
8 - name: mycontainer
9 image: redis
10 volumeMounts:
11 - name: foo
12 mountPath: "/etc/foo"
13 readOnly: true
14 volumes:
15 - name: foo
16 secret:
17 secretName: mysecret
1 apiVersion: v1[root@k8smaster01 ~]# kubectl create -f mysecretaliyun.yaml[root@k8smaster01 ~]# vi mytestpod.yaml #创建Pod中使用imagePullSecrets引用2 kind: Secret
3 metadata:
4name: myregsecret
5 namespace: default
6data:
7 .dockerconfigjson: ewoJImF1dGhzIjogewoJCSJyZWdpc3RyeS5jbi1oYW5nemhvdS5hbGl5dW5jcy5jb20iOiB7CgkJCSJhdXRoIjogIm
8 VERXlNRGsxTWpVM05rQXhNall1WTI5dE9uZzNNemMwTlRJeEtnPT0iCgkJfQoJfSwKCSJIdHRwSGVhZGVycyI6IHsKCQkiVXNlci1BZ2VudCI6ICJ
9 Eb2NrZXItQ2xpZW50LzE4LjAxxxxxxxxxxxxxxx
10 type: kubernetes.io/dockerconfigjson
1 apiVersion: v1[root@k8smaster01 ~]# kubectl create -f mytestpod.yaml [root@k8smaster01 ~]# kubectl get podsmypodaliyun 1/1 Running 0 48s[root@k8smaster01 ~]# kubectl describe pods mypodaliyun2 kind: Pod
3 metadata:
4name: mypodaliyun
5 spec:
6 containers:
7 - name: mongo
8 image: registry.cn-hangzhou.aliyuncs.com/xhypn/mongo:3.6
9 imagePullSecrets:
10 - name: myregsecret
三 secret其他注意点
3.1 secret注意点
每个单独的Secret大小不能超过1MB,Kubernetes不鼓励创建大的Secret,因为如果使用大的Secret,则将大量占用API Server和kubelet的内存。当然,创建许多小的Secret也能耗尽API Server和kubelet的内存。在使用Mount方式挂载Secret时,Container中Secret的data域的各个域的Key值作为目录中的文件,Value值被BASE64编码后存储在相应的文件中。secret使用场景之一就是通过Secret保管其他系统的敏感信息(比如数据库的用户名和密码),并以Mount的方式将Secret挂载到Container中,然后通过访问目录中文件的方式获取该敏感信息。当Pod被API Server创建时,API Server不会校验该Pod引用的Secret是否存在。一旦这个Pod被调度,则kubelet将试着获取Secret的值。如果Secret不存在或暂时无法连接到API Server,则kubelet按一定的时间间隔定期重试获取该Secret,并发送一个Event来解释Pod没有启动的原因。一旦Secret被Pod获取,则kubelet将创建并挂载包含Secret的Volume。只有所有Volume都挂载成功,Pod中的Container才会被启动。在kubelet启动Pod中的Container后,Container中和Secret相关的Volume将不会被改变,即使Secret本身被修改。为了使用更新后的Secret,必须删除旧Pod,并重新创建一个新Pod。以上是 034.Kubernetes集群安全Secret 的全部内容, 来源链接: utcz.com/z/514541.html
