kubernetes系列(十二) - 存儲之Secret

1. Secret簡介

Secret解決了密碼、token、密鑰等敏感數據的配置問題,而不須要把這些敏感數據暴露到鏡像或者Pod Spec 中。

Secret 能夠以如下兩種方式使用:web

  • volume掛載
  • 環境變量

2. Secret類型

Secret有四種類型:docker

注:一些教程說只有三種,通過筆者kubectl create secret --help查看,且回顧以前ingress七層代理的知識點,發現其餘教程都漏了一種secret是tslshell

  1. Service Account

用來訪問Kubernetes API,由Kubernetes 自動建立,而且會自動掛載到Pod的 /run/secrets/kubernetes.io/serviceaccount 目錄中json

  1. Opaque

base64編碼格式的Secret,用來存儲密碼、密鑰等.api

  1. kubernetes.io/dockerconfigjson

用來存儲私有docker registry的認證信息app

  1. kubernetes.io/tls

用來存儲tsl證書。通常是用來配合ingress實現https證書的配置,具體見ingress那章編碼

3. Service Account

  • 用來訪問Kubernetes API Service,由Kubernetes 自動建立,而且會自動掛載到Pod的 /run/secrets/kubernetes.io/serviceaccount目錄中
  • 即不是全部的pod都有權訪問api service,否則會給api service形成很大的壓力。
  • service account不須要咱們本身管理!

示例spa

以下,由於kube-proxy確定會跟api-servie交互,因此查看他的service account
命令行


4. Opaque

4.1 Opaque類型說明

Opaque類型的數據是一個 map類型,要求value是base64編碼格式代理

示例

  • 以下是base64編碼和解碼的:

4.2 Opaque建立方式

4.2.1 命令行建立

  1. 使用字面值建立
  • 經過命令行建立不用將value指定爲base64,可是yaml 形式必須指定,否則建立會失敗!
kubectl create secret generic my-sec --from-literal=key1=value1

以下,類型爲Opaque:

  1. 使用文件或者文件夾建立

跟configmap同樣,都是使用--from-file

kubectl create secret generic my-sec --from-file=/一個文件夾或者一個文件

4.2.2 yaml資源清單建立

apiVersion: v1 
kind: Secret 
metadata:
  name: mysecret 
type: Opaque 
data:
  password: MWYyZDF1MmU2N2Rm 
  username: YWRtaW4=

4.3 Opaque使用方式

4.3.1 將Secret掛載到Volume

  • 使用方式跟configMap差很少
apiVersion: v1 
kind: Pod 
metadata:
  labels:
    name: seret-test 
  name: seret-test 
spec:
  # volume中導入secret
  volumes:
  - name: secrets 
    secret:
      secretName: mysecret 
  containers:
  - image: lzw5399/tocgenerator
    name: db 
    # mounts中使用volume中的secret
    volumeMounts:
    - name: secrets 
      mountPath: "/etc/secrets"
      readOnly: true

4.3.2 將Secret導出到環境變量中

  • 使用方式跟configMap差很少
apiVersion: extensions/v1beta1 
kind: Deployment 
metadata:
  name: pod-deployment 
spec:
  replicas: 2 
  template:
    metadata:
      labels:
        app: pod-deployment 
    spec:
      containers:
      - name: pod-1 
        image: lzw5399/tocgenerator
        ports:
        - containerPort: 80 
        # 將secret的值賦給環境變量
        env:
        - name: TEST_USER 
          valueFrom:
            secretKeyRef:
              name: mysecret 
              key: username 
        - name: TEST_PASSWORD 
          valueFrom:
            secretKeyRef:
              name: mysecret 
              key: password

5. Dockerconfigjson

用來存儲私有docker registry的認證信息

5.1 建立docker-registry類型的secret

kubectl create secret docker-registry myregistrykey --docker-server=hub.codepie.fun --docker-username=baoshu --docker-password=yourpwd --docker-email=baoshu@test.com

以下能夠看到,建立出來的類型是kubernetes.io/dockerconfigjson

5.2 yaml中使用dockerconfigjson

apiVersion: v1 
kind: Pod 
metadata:
  name: foo 
spec:
  containers:
    - name: foo 
      image: lzw5399/tocgenerator
  # 引用建立出來的dockerconfigjson
  imagePullSecrets:
    - name: myregistrykey

6. Tsl

用來存儲tsl證書。通常是用來配合ingress實現https證書的配置,能夠參見ingress那篇

6.1 建立tsl

6.1.1 直接指定文件建立

kubectl create secret tls toc-secret --key tls.key --cert tls.crt

6.1.2 以yaml資源清單方式建立

apiVersion: v1
kind: Secret
metadata:
  name: mywebsite-secret
data:
  tls.crt: **************************
  tls.key: **************************

6.2. 使用tsl secret

  • 這裏演示的是配置ingress,實現https域名訪問
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: tocgenerator-ingress
spec:
  tls:
    - hosts:
      - toc.codepie.fun
      # 使用tsl
      secretName: toc-secret
  rules:
    - host: toc.codepie.fun
      http:
        paths:
          - path: /
            backend:
              serviceName: tocgenerator-svc
              servicePort: 80
相關文章
相關標籤/搜索