企业实战--kubernetes(九)---存储（Secret）

一、Secret简介

Secret对象类型用来保存敏感信息，例如密码、OAuth令牌和ssh key。

敏感信息放在Secret中比放在Pod的定义或者容器镜像中来说更加安全和灵活。

Pod可以用两种方式来使用Secret：

作为volume中的文件被挂载到pod中的一个或多个容器中。 当kubelet为pod拉取镜像时使用。

Secret的类型：

Service Account：Kubernetes自动创建包含访问API凭据的secret，并自动修改pod以使用此类型的secret。 Opaque：使用base64编码储存信息，可以通过base64 --decode解码获得原始数据，因此安全性弱。 kubernetes.io/dockerconfigjson：用来存储docker registy的认证信息。

二、Service Account

serviceaccount创建时Kubernetes会默认创建对应的secret。对应的secret会自动挂载到Pod的/var/run/secret/kubernetes.io/serviceaccount目录中：

运行一个pod查看详细信息：

[root@server1 secert]# kubectl run test --image=busybox --restart=Never pod/test created [root@server1 secert]# kubectl get pod NAME READY STATUS RESTARTS AGE test 0/1 Completed 0 12s [root@server1 secert]# kubectl describe pod test

会自动挂载一个叫token的secret，这个secret是Service Account自动创建的，用于访问API凭据的 查看serviceaccount：

[root@server1 secert]# kubectl get sa NAME SECRETS AGE default 1 11d [root@server1 secert]# kubectl describe sa default Name: default Namespace: default Labels: <none> Annotations: <none> Image pull secrets: <none> Mountable secrets: default-token-25448 Tokens: default-token-25448 Events: <none>

可以看出上述命令输出的secrets和pod内挂载的相同。

实验后删除pod：

[root@server1 secert]# kubectl delete pod test pod "test" deleted

每个namespace下有一个名为default的默认Service Account对象：

[root@server1 secert]# kubectl get secrets NAME TYPE DATA AGE default-token-25448 kubernetes.io/service-account-token 3 11d

Service Account里有一个名为token的里可以作为Volume一样被Mount到Pod里的Secret，当pod启动时这个Secret会被自动挂载到pod的指定目录下，用来协助完成pod中的进程访问API Server时的身份鉴权过程。

三、Opaque Secret

Opaque Secret其value为base64加密后的值。

用文件创建Secret：

[root@server1 secert]# echo -n 'admin' > ./username.txt [root@server1 secert]# echo -n 'redhat' > ./password.txt [root@server1 secert]# cat username.txt admin[root@server1 secert]# [root@server1 secert]# cat password.txt redhat[root@server1 secert]#

创建secret：

[root@server1 secert]# kubectl create secret generic my-secret --from-file=username.txt --from-file=password.txt secret/my-secret created

上述创建secret的命令中，generic表示通用，my-secret为secret的名称，–from-file= 表示从文件中创建。

查看创建的secret：

[root@server1 secert]# kubectl get secrets NAME TYPE DATA AGE basic-auth Opaque 1 3d20h default-token-25448 kubernetes.io/service-account-token 3 11d my-secret Opaque 2 6s tls-secret kubernetes.io/tls 2 3d20h 查看详细信息： [root@server1 secert]# kubectl describe secrets my-secret Name: my-secret Namespace: default Labels: <none> Annotations: <none> Type: Opaque Data ==== password.txt: 6 bytes #可以看出时加密的信息 username.txt: 5 bytes

也可以通过输出为yaml格式查看：

[root@server1 secert]# kubectl get secrets my-secret -o yaml

上图中的加密信息可以通过以下命令解码：

[root@server1 secert]# echo cmVkaGF0 | base64 -d redhat[root@server1 secert]#

因此这种方式是一种伪加密的方法。

用命令行字面key和value创建

在定义密码信息时，如果密码有特殊字符，则需要使用\ 转义符对其进行转义，比如原密码为A!B\C*D则需要以下方式创建（–from-literal表示通过字符创建）：

[root@server1 secert]# kubectl create secret generic 1-secret --from-literal=username=devuser --from-literal=password=A\!B\\C\*D secret/1-secret created [root@server1 secert]# kubectl get secrets NAME TYPE DATA AGE 1-secret Opaque 2 3s basic-auth Opaque 1 3d20h default-token-25448 kubernetes.io/service-account-token 3 11d my-secret Opaque 2 3m12s tls-secret kubernetes.io/tls 2 3d20h [root@server1 secert]# kubectl get secrets 1-secret -o yamlapiVersion: v1

解码查看原密码：

[root@server1 secert]# echo QSFCXEMqRA== | base64 -d A!B\C*D[root@server1 secert]#

通过yaml文件创建Secret

注意这里一定要是用base64加密了的值 首先查看用户名和密码的加密字符：

[root@server1 secert]# echo -n 'admin' | base64 YWRtaW4= [root@server1 secert]# echo -n 'redhat' | base64 cmVkaGF0

编辑yaml文件：

[root@server1 secret]# vim secret.yaml [root@server1 secret]# cat secret.yaml apiVersion: v1 kind: Secret metadata: name: mysecret type: Opaque data: username: YWRtaW4= #写文件时信息要求是base64编码过的 password: cmVkaGF0

创建Secret并查看信息：

[root@server1 secret]# kubectl create -f secret.yaml secret/mysecret created [root@server1 secret]# kubectl describe secrets mysecret Name: mysecret Namespace: default Labels: <none> Annotations: <none> Type: Opaque Data ==== password: 6 bytes username: 5 bytes [root@server1 secret]# kubectl get secrets mysecret -o yaml

四、secret的使用方法

将Secret挂载到Volume中

[root@server1 secret]# vim pod.yaml [root@server1 secret]# cat pod.yaml apiVersion: v1 kind: Pod metadata: name: mysecret spec: containers: - name: nginx image: nginx volumeMounts: - name: secrets mountPath: "/secret" #挂载路径 readOnly: true #默认权限是读写 volumes: - name: secrets secret: secretName: mysecret

创建pod：

[root@server1 secret]# kubectl create -f pod.yaml pod/mysecret created [root@server1 secret]# kubectl get pod NAME READY STATUS RESTARTS AGE mysecret 1/1 Running 0 11s

进入容器确认：

[root@server1 secret]# kubectl exec -it mysecret -- bash root@mysecret:/# cd /secret/ root@mysecret:/secret# ls \password username root@mysecret:/secret# ls password username root@mysecret:/secret# cat password redhatroot@mysecret:/secret# root@mysecret:/secret# cat username adminroot@mysecret:/secret# root@mysecret:/secret# exit

可以看出信息是mysecret中的信息，key为文件名，vlaue为文件内容。

上面的实验中所有的key和value都被挂载进入了指定目录，我们也可以指定secret中的某一个key挂载：

[root@server1 secret]# vim pod1.yaml [root@server1 secret]# cat pod1.yaml apiVersion: v1 kind: Pod metadata: name: mysecret spec: containers: - name: nginx image: nginx volumeMounts: - name: secrets mountPath: "/secret" readOnly: true volumes: - name: secrets secret: secretName: mysecret items: - key: username path: my-group/my-username #相对路径，绝对路径为/secret/my-group/my-username [root@server1 secret]# kubectl create -f pod1.yaml pod/mysecret created [root@server1 secret]# kubectl get pod NAME READY STATUS RESTARTS AGE mysecret 1/1 Running 0 8s

进入容器查看：

[root@server1 secret]# kubectl exec -it mysecret -- bash root@mysecret:/# cd /secret/ root@mysecret:/secret# ls my-group root@mysecret:/secret# cd my-group root@mysecret:/secret/my-group# ls my-username root@mysecret:/secret/my-group# cd my-username bash: cd: my-username: Not a directory root@mysecret:/secret/my-group# cat my-username adminroot@mysecret:/secret/my-group# root@mysecret:/secret/my-group#

可以看出指定的key被挂载到了我们指定的路径。

实验后删除：

[root@server1 secret]# kubectl delete -f pod1.yaml pod "mysecret" deleted

将Secret设置为环境变量

[root@server1 secret]# vim pod2.yaml [root@server1 secret]# cat pod2.yaml apiVersion: v1 kind: Pod metadata: name: secret-env spec: containers: - name: nginx image: nginx env: - name: SECRET_USERNAME valueFrom: secretKeyRef: name: mysecret key: username - name: SECRET_PASSWORD valueFrom: secretKeyRef: name: mysecret key: password

可以看出Secret创建env变量和configmap类似。

创建pod：

[root@server1 secret]# kubectl create -f pod2.yaml pod/secret-env created [root@server1 secret]# kubectl get pod NAME READY STATUS RESTARTS AGE secret-env 1/1 Running 0 9s

进入容器查看：

[root@server1 secret]# kubectl exec -it secret-env -- bash

五、kubernetes.io/dockerconfigjson 类型

kubernetes.io/dockerconfigjson用于存储docker registry的认证信息。 在server3退出登陆然后尝试拉取私有仓库镜像：

[root@server3 ~]# docker logout reg.westos.org Not logged in to reg.westos.org [root@server3 ~]# docker pull reg.westos.org/cl/ubuntu Using default tag: latest Error response from daemon: pull access denied for reg.westos.org/cl/ubuntu, repository does not exist or may require 'docker login': denied: requested access to the resource is denied

拉取失败，提示需要登陆才能拉取。

我们现在就来配置认证信息：

编辑pod的创建文件，pod中使用的镜像是私有仓库的镜像。

[root@server1 secret]# vim pod3.yaml [root@server1 secret]# cat pod3.yaml apiVersion: v1 kind: Pod metadata: name: mypod spec: containers: - name: nginx image: reg.westos.org/library/nginx imagePullSecrets: - name: myregistrykey #使用的Secret名称

之后创建包含认证信息的Secret：

[root@server1 secret]# kubectl create secret docker-registry myregistrykey --docker-username=admin --docker-password=Harbor --docker-server=reg.westos.org --docker-email=xzt@qq.com secret/myregistrykey created

上面的命令中，secret类型为docker-registry，secret名称为myregistrykey，–docker-username表示仓库用户名，–docker-password仓库密码，–docker-server表示仓库服务器地址，–docker-email表示仓库邮箱。查看secret详细信息：

[root@server1 secret]# kubectl get secrets myregistrykey -o yaml

之后创建pod：

[root@server1 secret]# kubectl create -f pod3.yaml pod/mypod created [root@server1 secret]# kubectl get pod NAME READY STATUS RESTARTS AGE mypod 1/1 Running 0 4s

可以看出pod正常运行。

实验后删除：

[root@server1 secret]# kubectl delete -f pod3.yaml