k8s之安全信息(Secret)及配置信息(ConfigMap)
Secret
-
secret也是k8s中的一个资源对象,主要用于保存轻量的敏感信息,好比数据库用户名和密码,令牌,认证密钥等。docker
- 咱们能够将这类敏感信息放在secret对象中,若是把它们暴露到镜像或者pod spec中稍显不妥,将其放在secret对象中能够更好地控制及使用,并下降意外暴露的风险。
Secret可使用volume或者环境变量的方式来使用这些轻量级数据。
Secret有三种类型:数据库
Service Account:用来访问kubernetes API,由k8s自动建立,而且会自动挂载到pod的/run/secrets/kubernetes.io/serviceaccount 目录中。 Opaque:base64编码格式的Secret,用来存储密码,密钥等。 kubernetes.io/dockerconfigjson: 用来存储私有docker registry的认证信息。
secret能够经过命令行或YAML文件来建立,假设咱们须要存放在secret对象中的信息:json
1, 用户名:root
2,密码:123456api
1,建立Secret
建立Secret有如下四种方法:
1.1 经过--from-literal(以文字的方法建立)安全
[root@master ~]# kubectl create secret generic mysecret --from-literal=username=root --from-literal=password=123456 secret/mysecret created
//查看建立的secret:
//查看该secret的详细信息:app
特色:每一个--from-literal只能对应一条信息。比较繁琐。ide
1.2 经过--from-file(以文件的方式建立)测试
[root@master ~]# echo root > username [root@master ~]# echo 123456 > password [root@master ~]# kubectl create secret generic newsecret --from-file=username --from-file=password secret/newsecret created
//查看建立的secret:编码
[root@master ~]# kubectl get secrets | grep newsecret newsecret Opaque 2 64s
特色:一样是每一个文件对应一条信息。每一个文件中只能保存一个,为了保证机密性,导入后有必要将本地的文件删除掉。加密
1.3 经过--from-env-file(以变量的方式建立)
[root@master ~]# cat > env.txt <<EOF > username=root > password=123456 > EOF
[root@master ~]# kubectl create secret generic env-secret --from-env-file=env.txt secret/env-secret created
特色:能够在文件里面保存多条信息,文件env.txt中每条key=value对应一条信息条目。
1.4 经过yaml配置文件:
#文件中的敏感数据必须是经过 base64 编码后的结果。
[root@master ~]# echo root | base64 cm9vdAo= [root@master ~]# echo 123456 | base64 MTIzNDU2Cg==
#编写yaml文件:
apiVersion: v1 kind: Secret metadata: name: secret-app data: #该字段为存放数据的字段,与其余资源对象不一样,没有spec字段。 username: cm9vdAo= password: MTIzNDU2Cg==
//建立secert:
[root@master ~]# kubectl apply -f secret.yaml secret/secret-app created
//反向解析加密数据:
[root@master ~]# echo -n cm9vdAo= | base64 --decode root [root@master ~]# echo -n MTIzNDU2Cg== | base64 --decode 123456
特色:便于保存,跨主机使用时会很是方便。
2,如何使用secret
一,以volume方式使用secret:
pod经过volume的方式使用secret:
pod的配置文件以下所示:
apiVersion: v1
kind: Pod
metadata:
name: secret-pod
spec:
containers:
- name: secret-pod
image: busybox
args:
- /bin/sh
- -c
- sleep 10; touch /tmp/healthy; sleep 3000
volumeMounts:
- name: foo
mountPath: /etc/foo
readOnly: true
volumes:
- name: foo
secret:
secretName: secret-app
(1)定义volume foo,来源为secret(secret-app)
(2)将foo mount到容器路径/etc/foo,可指定读写权限为readOnly。
//建立pod并在容器中读取secret:
[root@master secret]# kubectl apply -f secret-pod.yaml pod/secret-pod created [root@master secret]# kubectl exec -it secret-pod /bin/sh / # cd /etc/foo/ /etc/foo # ls password username /etc/foo # cat password 123456 /etc/foo # cat username root
能够看到,k8s会在指定路径/etc/foo下为每条敏感数据建立一个文件,文件名就是数据条目的key,这里是/etc/foo/username和/etc/foo/password,value则以铭文存放在文件中。
(2)咱们也能够自定义存放数据的文件名,完整的配置文件以下:
apiVersion: v1
kind: Pod
metadata:
name: secret-pod
spec:
containers:
- name: secret-pod
image: busybox
args:
- /bin/sh
- -c
- sleep 10; touch /tmp/healthy; sleep 3000
volumeMounts:
- name: foo
mountPath: /etc/foo
readOnly: true
volumes:
- name: foo
secret:
secretName: secret-app
items:
- key: username:
path: my-group/my-username
- key: password
path: my-group/my-password
这时数据分别存放在/etc/foo/my-group/my-username和/etc/foo/my-group/my-password中。
//验证数据存放位置:
[root@master secret]# kubectl delete -f secret-pod.yaml pod "secret-pod" deleted [root@master secret]# kubectl apply -f secret-pod.yaml pod/secret-pod created
[root@master secret]# kubectl exec -it secret-pod /bin/sh / # cd /etc/foo/ /etc/foo # ls my-group /etc/foo # cd my-group/ /etc/foo/..2020_02_03_05_37_09.892671465/my-group # cat my-password 123456 /etc/foo/..2020_02_03_05_37_09.892671465/my-group # cat my-username root
(3)以volume方式使用secret支持动态更新:secret更新后,容器中的数据也会更新。
//咱们有需求将password更新为“123456.com”
[root@master secret]# echo 123456.com | base64 MTIzNDU2LmNvbQo=
修改secret配置文件:
apiVersion: v1 kind: Secret metadata: name: secret-app data: username: cm9vdAo= password: MTIzNDU2LmNvbQo=
//更新secret:
[root@master secret]# kubectl apply -f secret.yaml secret/secret-app configured
//验证password是否更新成功:
[root@master secret]# kubectl exec -it secret-pod /bin/sh / # cd /etc/foo/my-group/ /etc/foo/..2020_02_03_05_40_42.995350019/my-group # cat my-password 123456.com
特色:若是secert的数据发生变化,引用数据的资源对象内的数据也会随之改变,当secret更新-----pod也会更新。
二:以环境变量的方式使用
经过volume使用secret时,容器必须从文件读取数据,会稍嫌麻烦,k8s还支持经过环境变量来使用secret。
pod配置文件示例以下:
apiVersion: v1
kind: Pod
metadata:
name: secret-pod
spec:
containers:
- name: secret-pod
image: busybox
args:
- /bin/sh
- -c
- sleep 10; touch /tmp/healthy; sleep 3000
env:
- name: SECRET_USERNAME
valueFrom:
secretKeyRef:
name: secret-app
key: username
- name: SECRET_PASSWORD
valueFrom:
secretKeyRef:
name: secret-app
key: password
//建立pod并读取secret:
[root@master secret]# kubectl apply -f secret-pod.yaml pod/secret-pod created [root@master secret]# kubectl exec -it secret-pod /bin/sh / # echo $SECRET_USERNAME root / # echo $SECRET_PASSWORD 123456.com
(2)验证:接下来咱们修改secret中password的值,查看pod内的数据是否会改变?
通过测试,发现pod中的值是不会发生改变的。
特色:环境变量读取secret很方便,但没法支撑secret动态更新。
configMap
- Secret能够为pod提供密码,Token,私钥等敏感数据。而对于一些非敏感数据,好比应用的配置信息,则能够用ConfigMap。
- ConfigMap与secret很是类似,主要不一样的是,他保存的数据是以明文的方式存放。
假设咱们须要存放在ConfigMap对象中的信息:
config1=xxx
config2=yyy
1,建立ConfigMap
一样拥有如下四种方法:
1.1 经过--from-literal建立:
[root@master configMap]# kubectl create configmap configmap1 --from-literal=config1=xxx --from-literal=config2=yyy configmap/configmap1 created
//查看configmap信息:
能够看到保存的数据是以明文的方式存放。
特色:每一个--from-literal对应一条信息。
1.2 经过--from-file建立:
[root@master configMap]# echo xxx > config1 [root@master configMap]# echo yyy > config2
//建立configmap: [root@master configMap]# kubectl create configmap configmap2 --from-file=config1 --from-file=config2 configmap/configmap2 created
特色:每一个文件对应一条信息,每一个文件中只能保存一个,为了机密性,导入后须要将本地的文件删除掉。
1.3 经过--from-env-file的方式建立:
[root@master configMap]# cat > env.txt <<EOF > config1=xxx > config2=yyy > EOF
//建立configmap:
[root@master configMap]# kubectl create configmap configmap3 --from-env-file=env.txt configmap/configmap3 created
特色:能够再文件里面保存多条信息,文件env.txt中每条key=value 对应一条信息条目。
1.4 经过yaml配置文件:
#文件中的敏感数据必须是经过 base64 编码后的结果。
configmap配置文件以下:
apiVersion: v1 kind: ConfigMap metadata: name: configmap-app data: config1: xxx #文件中的数据直接以明文输入便可 config2: yyy
//建立configmap:
[root@master configMap]# kubectl apply -f configmap.yaml configmap/configmap-app created
特色:便于保存,跨主机使用时会很是方便。
2,数据的引用
与Secret同样,pod也能够经过volume或者环境变量的方式使用secret。
一:volume方式
yaml配置文件以下:
apiVersion: v1
kind: Pod
metadata:
name: configmap-pod
spec:
containers:
- name: configmap-pod
image: busybox
args:
- /bin/sh
- -c
- sleep 10; touch /tmp/healthy; sleep 3000
volumeMounts:
- name: foo
mountPath: /etc/foo
volumes:
- name: foo
configMap:
name: configmap-app
//建立pod,并在pod中读取数据:
[root@master configMap]# kubectl apply -f configmap-pod.yaml pod/configmap-pod created [root@master configMap]# kubectl exec -it configmap-pod /bin/sh / # cd /etc/foo/ /etc/foo # ls config1 config2 /etc/test # cat config1 xxx /etc/test # cat config2 yyy
二:env环境变量方式
yaml配置文件内容以下所示:
apiVersion: v1
kind: Pod
metadata:
name: configmap-pod
spec:
containers:
- name: configmap-pod
image: busybox
args:
- /bin/sh
- -c
- sleep 10; touch /tmp/healthy; sleep 3000
env:
- name: CONFIG1
valueFrom:
configMapKeyRef:
name: configmap-app
key: config1
- name: CONFIG2
valueFrom:
configMapKeyRef:
name: configmap-app
key: config2
//建立pod并查看pod中的数据:
[root@master configMap]# kubectl delete -f configmap-pod.yaml pod "configmap-pod" deleted [root@master configMap]# kubectl apply -f configmap-pod.yaml pod/configmap-pod created
[root@master configMap]# kubectl exec -it configmap-pod /bin/sh / # echo $CONFIG1 xxx / # echo $CONFIG2 yyy
通过测试:一样configmap和secret的两种引用方式同样,volume挂载的方式,若是configmap的数据更新,引用的资源对象内的数据也会更新,而以env环境变量的方式,则不支持动态更新(可本身进行测试验证)。
注意:以上只是例子,要知道在大多数状况下,配置信息都是以文件形式提供,因此建立ConfigMap时通常只采用--from-file或YAML方式,而读取ConfigMap时一般采用volume方式。
小结:向pod传递配置信息。若是信息须要加密,可以使用Secret; 若是是通常的配置信息,则可以使用ConfigMap。Secret和ConfigMap支持四种定义方法,pod在使用它们时,能够选择volume方式或环境变量方式,不过只有volume方式支持动态更新。
- 1. k8s之configmap、secret
- 2. k8s ConfigMap报错信息
- 3. k8s之configmap和secret
- 4. 信息安全之信息伪装
- 5. K8s入门到精通-k8s通过configmap管理应用配置信息
- 6. 信息安全
- 7. k8s数据持久化之Secret和configMap
- 8. SpringBoot基础篇配置信息之多环境配置信息
- 9. Git安装及配置用户信息
- 10. 信息安全-RSA
- 更多相关文章...
- • netwox显示网络配置信息 - TCP/IP教程
- • 浏览器信息 - 浏览器信息
- • IntelliJ IDEA 代码格式化配置和快捷键
- • IDEA下SpringBoot工程配置文件没有提示
-
每一个你不满意的现在,都有一个你没有努力的曾经。