k8s的secret的使用方法
1. Secret类型
Secret有三种类型:python
Opaque:使用base64编码存储信息,能够经过base64 --decode解码得到原始数据,所以安全性弱。nginx
kubernetes.io/dockerconfigjson:用于存储docker registry的认证信息。redis
kubernetes.io/service-account-token:用于被 serviceaccount 引用。serviceaccout 建立时 Kubernetes 会默认建立对应的 secret。Pod 若是使用了 serviceaccount,对应的 secret 会自动挂载到 Pod 的 /run/secrets/kubernetes.io/serviceaccount 目录中。docker
指定secret的类型时,须要在metadata中声明annotation name信息json
metadata: api
annotations:
安全
kubernetes.io/service-account.name: defaultruby
type:kubernetes.io/service-account-tokenbash
2. Opaque Secret
Opaque类型的Secret,其value为base64编码后的值。app
2.1 从文件中建立Secret
分别建立两个名为username.txt和password.txt的文件:
$ echo -n "admin" > ./username.txt $ echo -n "1f2d1e2e67df" > ./password.txt
使用kubectl create secret命令建立secret:
$ kubectl create secret generic db-user-pass --from-file=./username.txt --from-file=./password.txt secret "db-user-pass" created
2.2 使用描述文件建立Secret
首先使用base64对数据进行编码:
$ echo -n 'admin' | base64 YWRtaW4= $ echo -n '1f2d1e2e67df' | base64 MWYyZDFlMmU2N2Rm
建立一个类型为Secret的描述文件:
apiVersion: v1 kind: Secret metadata: name: mysecret type: Opaque data: username: YWRtaW4= password: MWYyZDFlMmU2N2Rm $ kubectl create -f ./secret.yaml secret "mysecret" created
查看此Secret:
$ kubectl get secret mysecret -o yaml apiVersion: v1 data: username: YWRtaW4= password: MWYyZDFlMmU2N2Rm kind: Secret metadata: creationTimestamp: 2016-01-22T18:41:56Z name: mysecret namespace: default resourceVersion: "164619" selfLink: /api/v1/namespaces/default/secrets/mysecret uid: cfee02d6-c137-11e5-8d73-42010af00002type: Opaque
2.3 Secret的使用
建立好Secret以后,能够经过两种方式使用:
以Volume方式
以环境变量方式
2.3.1 将Secret挂载到Volume中
apiVersion: v1 kind: Pod metadata: name: mypod spec: containers: - name: mypod image: redis volumeMounts: - name: foo mountPath: "/etc/foo" readOnly: true volumes: - name: foo secret: secretName: mysecret
进入Pod查看挂载的Secret:
# ls /etc/secrets password username # cat /etc/secrets/username admin # cat /etc/secrets/password 1f2d1e2e67df
也能够只挂载Secret中特定的key:
apiVersion: v1 kind: Podmetadata: name: mypod spec: containers: - name: mypod image: redis volumeMounts: - name: foo mountPath: "/etc/foo" readOnly: true volumes: - name: foo secret: secretName: mysecret items: - key: username path: my-group/my-username
在这种状况下:
username 存储在/etc/foo/my-group/my-username中
password未被挂载
2.3.2 将Secret设置为环境变量
apiVersion: v1 kind: Pod metadata: name: secret-env-pod spec: containers: - name: mycontainer image: redis env: - name: SECRET_USERNAME valueFrom: secretKeyRef: name: mysecret key: username - name: SECRET_PASSWORD valueFrom: secretKeyRef: name: mysecret key: password restartPolicy: Never
须要注意的是,环境变量读取Secret很方便,但没法支撑Secret动态更新
3. kubernetes.io/dockerconfigjson
kubernetes.io/dockerconfigjson用于存储docker registry的认证信息,能够直接使用kubectl create secret命令建立:
$ kubectl create secret docker-registry myregistrykey --docker-server=DOCKER_REGISTRY_SERVER --docker-username=DOCKER_USER --docker-password=DOCKER_PASSWORD --docker-email=DOCKER_EMAILsecret "myregistrykey" created.#$kubectl create secret docker-registry regcred --docker-server=<your-registry-server> --docker-username=<your-name> --docker-password=<your-pword> --docker-email=<your-email>
查看secret的内容:
$ kubectl get secret myregistrykey -o yaml apiVersion: v1 data: .dockercfg: eyJjY3IuY2NzLnRlbmNlbnR5dW4uY29tL3RlbmNlbnR5dW4iOnsidXNlcm5hbWUiOiIzMzIxMzM3OTk0IiwicGFzc3dvcmQiOiIxMjM0NTYuY29tIiwiZW1haWwiOiIzMzIxMzM3OTk0QHFxLmNvbSIsImF1dGgiOiJNek15TVRNek56azVORG94TWpNME5UWXVZMjl0In19 kind: Secret metadata: creationTimestamp: 2017-08-04T02:06:05Z name: myregistrykey namespace: default resourceVersion: "1374279324" selfLink: /api/v1/namespaces/default/secrets/myregistrykey uid: 78f6a423-78b9-11e7-a70a-525400bc11f0type: kubernetes.io/dockercfg
经过 base64 对 secret 中的内容解码:
$ echo "eyJjY3IuY2NzLnRlbmNlbnR5dW4uY29tL3RlbmNlbnR5dW4iOnsidXNlcm5hbWUiOiIzMzIxMzM3OTk0IiwicGFzc3dvcmQiOiIxMjM0NTYuY29tIiwiZW1haWwiOiIzMzIxMzM3OTk0QHFxLmNvbSIsImF1dGgiOiJNek15TVRNek56azVORG94TWpNME5UWXVZMjl0XXXX" | base64 --decode
{"ccr.ccs.tencentyun.com/XXXXXXX":{"username":"3321337XXX","password":"123456.com","email":"3321337XXX@qq.com","auth":"MzMyMTMzNzk5NDoxMjM0NTYuY29t"}}
也能够直接读取 ~/.dockercfg 的内容来建立:
$ kubectl create secret docker-registry myregistrykey \ --from-file="~/.dockercfg"
在建立 Pod 的时候,经过 imagePullSecrets 来引用刚建立的 myregistrykey:
apiVersion: v1 kind: Pod metadata: name: foo spec: containers: - name: foo image: janedoe/awesomeapp:v1 imagePullSecrets: - name: myregistrykey
4. kubernetes.io/service-account-token
用于被 serviceaccount 引用。serviceaccout 建立时 Kubernetes 会默认建立对应的 secret。Pod 若是使用了 serviceaccount,对应的 secret 会自动挂载到 Pod 的 /run/secrets/kubernetes.io/serviceaccount 目录中。
$ kubectl run nginx --image nginx deployment "nginx" created $ kubectl get podsNAME READY STATUS RESTARTS AGEnginx-3137573019-md1u2 1/1 Running 0 13s $ kubectl exec nginx-3137573019-md1u2 ls /run/secrets/kubernetes.io/serviceaccount ca.crt namespace token
ServiceAccount
每一个namespace下有一个名为default的默认的ServiceAccount对象,这个ServiceAccount里有一个名为Tokens的能够做为Volume同样被Mount到Pod里的Secret,当Pod启动时这个Secret会被自动Mount到Pod的指定目录下,用来协助完成Pod中的进程访问API Server时的身份鉴权过程。
apiVersion: v1 kind: Podmetadata: ......spec: containers: .... volumeMounts: - mountPath: /var/run/secrets/kubernetes.io/serviceaccount name: default-token-xxxx readOnly: true ...... ......
apiVersion: v1 kind: Secret data: ca.crt: xxxx namespace: xxxx service-ca.crt: xxxxx token: xxxx metadata: ......type: kubernetes.io/service-account-token
若是一个Pod在定义时没有指定spec.service.AccountName属性,则系统会自动为其赋值为“Default”,即便用同一namespace下默认的ServiceAccount,若是某个Pod须要使用非default的ServiceAccount,须要在定义时指定:
apiVersion:v1 kind:Pod metadata: name:mypod spec: containers: - name:mycontainer image: serviceAccountName:myserviceaccount
- 1. k8s中的secret
- 2. k8s之configmap、secret
- 3. k8s之Secret
- 4. k8s之configmap和secret
- 5. kubernetes Configmap secret的使用
- 6. Kubernetes的Secret对象使用
- 7. k8s之源之secret和serviceaccount
- 8. k8s学习笔记之secret
- 9. Kubernetes里的secret最基本的用法
- 10. k8s的使用
- 更多相关文章...
- • Redis哨兵(Sentinel)模式的配置方法及其在Java中的用法 - Redis教程
- • Spring中Bean的作用域 - Spring教程
- • C# 中 foreach 遍历的用法
- • Git可视化极简易教程 — Git GUI使用方法
-
每一个你不满意的现在,都有一个你没有努力的曾经。