2. 技术
    3. kubernetes存储(二)——Secret配置管理+应用+挂载+映射 secret 密钥+Secret定义为环境变量

    kubernetes存储(二)——Secret配置管理+应用+挂载+映射 secret 密钥+Secret定义为环境变量

    技术2022-07-15  68

    一、secret的介绍 Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 ssh key。 敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。 Pod 可以用两种方式使用 secret:

    作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里。 当 kubelet 为 pod 拉取镜像时使用。

    Secret的类型: Service Account:Kubernetes 自动创建包含访问 API 凭据的 secret,并自动修改 pod 以使用此类型的 secret。 Opaque:使用base64编码存储信息,可以通过base64 --decode解码获得原始数据,因此安全性弱。 kubernetes.io/dockerconfigjson:用于存储docker registry的认证信息。 二、serviceaccout 创建 2.1serviceaccout 创建时 Kubernetes 会默认创建对应的 secret。对应的 secret 会自动挂载到 Pod 的 /run/secrets/kubernetes.io/serviceaccount 目录中。 每个namespace下有一个名为default的默认的ServiceAccount对象

    [root@server2 cm]# kubectl get sa NAME SECRETS AGE default 1 36h

    ServiceAccount里有一个名为Tokens的可以作为Volume一样被Mount到Pod里的Secret,当Pod启动时这个Secret会被自动Mount到Pod的指定目录下,用来协助完成Pod中的进程访问API Server时的身份鉴权过程。 2.2从文件中创建Secret

    分别创建两个名为username.txt和password.txt的文件 echo -n 'admin' > ./username.txt echo -n 'westos' > ./password.txt

    如果密码具有特殊字符,则需要使用 \ 字符对其进行转义,执行以下命令:

    kubectl create secret generic dev-db-secret --from-literal=username=devuser --from-literal=password=S\!B\\*d\$zDsb

    默认情况下 kubectl get和kubectl describe 为了安全是不会显示密码的内容 2.3编写一个 secret 对象

    [root@server2 cm]# echo -n 'admin' | base64 用户 YWRtaW4= [root@server2 cm]# echo -n 'westos' | base64 密码 d2VzdG9z [root@server2 cm]# echo -n 'YWRtaW4=' | base64 -d 解码 admin [root@server2 cm]# vim cm2.yaml apiVersion: v1 kind: Secret metadata: name: mysecret type: Opaque data: username: YWRtaW4= password: d2VzdG9z

    三、secret的应用 3.1将Secret挂载到Volume中

    [root@server2 cm]# vim cm2.yaml apiVersion: v1 kind: Secret metadata: name: mysecret type: Opaque data: username: YWRtaW4= 用户 password: d2VzdG9z 密码 --- apiVersion: v1 kind: Pod metadata: name: mysecret spec: containers: - name: nginx image: nginx volumeMounts: - name: secrets mountPath: "/secret" readOnly: true volumes: - name: secrets secret: secretName: mysecret [root@server2 cm]# kubectl apply -f cm2.yaml secret/mysecret unchanged pod/mysecret created [root@server2 cm]# kubectl get pod NAME READY STATUS RESTARTS AGE my-nginx-6bcb6dc97-r4cjw 1/1 Running 0 8h mysecret 0/1 ContainerCreating 0 3s [root@server2 cm]# kubectl get pod NAME READY STATUS RESTARTS AGE my-nginx-6bcb6dc97-r4cjw 1/1 Running 0 8h mysecret 1/1 Running 0 6s [root@server2 cm]# kubectl exec mysecret -- ls /secret password username [root@server2 cm]# kubectl exec mysecret -- cat /secret/password westos [root@server2 cm]# kubectl exec mysecret -- cat /secret/username admin

    3.2向指定路径映射 secret 密钥

    [root@server2 cm]# vim cm2.yaml apiVersion: v1 kind: Secret metadata: name: mysecret type: Opaque data: username: YWRtaW4= password: d2VzdG9z --- apiVersion: v1 kind: Pod metadata: name: mysecret spec: containers: - name: nginx image: nginx volumeMounts: - name: secrets mountPath: "/secret" 一个base readOnly: true volumes: - name: secrets secret: secretName: mysecret items: 指定挂载路径 - key: username path: my-group/my-username 把username挂载到此目录 (名称自定义)向指定路径映射 secret 密钥 [root@server2 cm]# kubectl apply -f cm2.yaml secret/mysecret created pod/mysecret created [root@server2 cm]# kubectl get pod NAME READY STATUS RESTARTS AGE mysecret 1/1 Running 0 5s 查看用户 [root@server2 cm]# kubectl exec mysecret -- cat /secret/my-group/my-username admin

    3.3将Secret设置为环境变量

    vim cm2.yaml apiVersion: v1 kind: Secret metadata: name: mysecret type: Opaque data: username: YWRtaW4= password: d2VzdG9z --- apiVersion: v1 kind: Pod metadata: name: secret-env spec: containers: - name: nginx image: nginx env: - name: SECRET_USERNAME 指定变量(将Secret设置为环境变量) valueFrom: secretKeyRef: name: mysecret key: username - name: SECRET_PASSWORD 将Secret设置为环境变量 valueFrom: secretKeyRef: name: mysecret key: password [root@server2 cm]# kubectl apply -f cm2.yaml secret/mysecret created pod/secret-env created [root@server2 cm]# kubectl get pod NAME READY STATUS RESTARTS AGE mysecret 1/1 Running 0 2m57s secret-env 1/1 Running 0 32s [root@server2 cm]# kubectl exec secret-env -- env PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin HOSTNAME=secret-env SECRET_USERNAME=admin 用户 SECRET_PASSWORD=westos 密码 KUBERNETES_PORT_443_TCP_ADDR=10.96.0.1 KUBERNETES_SERVICE_HOST=10.96.0.1 KUBERNETES_SERVICE_PORT=443 KUBERNETES_SERVICE_PORT_HTTPS=443 KUBERNETES_PORT=tcp://10.96.0.1:443 KUBERNETES_PORT_443_TCP=tcp://10.96.0.1:443 KUBERNETES_PORT_443_TCP_PROTO=tcp KUBERNETES_PORT_443_TCP_PORT=443 NGINX_VERSION=1.13.9-1~stretch NJS_VERSION=1.13.9.0.1.15-1~stretch HOME=/root

    环境变量读取Secret很方便,但无法支撑Secret动态更新

    [root@server2 ~]# kubectl get secrets NAME TYPE DATA AGE default-token-gq7ls kubernetes.io/service-account-token 3 16h myregistrykey kubernetes.io/dockerconfigjson 1 9h kubernetes.io/dockerconfigjson 用于存储docker registry的认证信息

    harbor仓库中有一个私有项目里面有个镜像如下图所示 对于私有仓库的拉取,需要登录认证否则无法成功拉取,登录认证信息存放在主机上(.docker/config.json)有安全隐患。

    设置pod所需的镜像到secret卷里面自动拉取

    参数详解: kubectl create secret docker-registry: 创建与Docker registry一起使用的secret。 myregistrykey :自定义secret名称 Docker secret用于对Docker registry进行安全认证; 当使用Docker命令push镜像时,可以进行Docker registries认证. [root@server2 cm]# kubectl create secret docker-registry myregistrykey \ 创建secret --docker-server=reg.westos.org \ 指定仓库地址 --docker-username=admin \ 认证用户 --docker-password=westos \ 认证密码 --docker-email=yakexi007@westos.org 邮箱 vim cm cm3.yaml apiVersion: v1 kind: Pod metadata: name: mypod spec: containers: - name: game2048 image: reg.westos.org/westos/game2048 指定镜像拉取路径 imagePullSecrets: 镜像在拉取时的secret - name: myregistrykey secret名称 [root@server2 cm]# kubectl get pod NAME READY STATUS RESTARTS AGE mypod 1/1 Running 0 5s [root@server2 cm]# kubectl describe pod mypod 镜像成功拉取

    Processed: 0.044, SQL: 10