首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

Kubernetes1.15.1的Secret

上次说了ConfigMap,ConfigMap在kubernetes中核心的对象,一般就存储一些非安全的配置信息。kubernetes也考虑到了对于安全信息的处理办法,就是使用Secret,用来保存密码、私钥、口令等敏感信息。将这些信息放在Secret中比放在Pod的定义中或者docker镜像中来说更加安全和灵活。

(一) Secret 总体介绍

Opaque

base64 编码格式的 Secret,用来存储密码、密钥等;但数据也可以通过base64 –decode解码得到原始数据,所有加密性很弱。

kubernetes.io/dockerconfigjson

用来存储私有docker registry的认证信息。

kubernetes.io/service-account-token

用于被serviceaccount引用,serviceaccout 创建时Kubernetes会默认创建对应的secret。Pod如果使用了serviceaccount,对应的secret会自动挂载到Pod目录/run/secrets/kubernetes.io/serviceaccount中。

(二)Opaque 详解

介绍

Opaque 类型的数据是一个 map 类型,要求value是base64编码格式,

演示

比如我们来创建一个用户名为 admin,密码为 admin123 的 Secret 对象,把这用户名和密码做 base64 编码。

需要记住上班的 2个对应的 base64 编码,下面要用。创建一个yaml的Secret。

1.创建一个secret2.获取secret,里面包含了一个默认的secret3.通过describe查看只显示Data 4.通过-o yaml 显示保存的秘钥内容

secret使用方式

环境变量的形式。

Volume的形式挂载。

环境变量

创建一个简单的buybox的pod,secretKeyRef关键字,上次的configMapKeyRef比较类似

运行yaml,查看打印效果

可以看到有 USERNAME 和 PASSWORD 两个环境变量输出出来。admin admin123

Volume 挂载

验证下Volume挂载。创建一个yaml文件。

运行yaml,查看打印效果

(二)kubernetes.io/dockerconfigjson

介绍

创建用户docker registry认证的Secret,也k8s调取私有的仓库需要的秘钥信息保存

通过命令的方式创建

查看秘钥信息

从仓库中拉取,并使用仓库秘钥

私有仓库镜像192.168.1.200:5000/test:v1,我们就需要针对该私有仓库来创建一个如上的Secret,然后在Pod的 YAML 文件中指定imagePullSecrets。

没搭建仓库,所以这个不演示了,比较同意理解

(三)kubernetes.io/service-account-token

介绍

记得在搞dashboard的时候,也搞过token的为了可以正常的登录。其实就是一种验证机制。

Service Account为Pod中的进程和外部用户提供身份信息。所有的kubernetes集群中账户分为两类,Kubernetes管理的serviceaccount(服务账户)和useraccount(用户账户)。都知道api server的集群的入口,对于kunbernetes的api server 是肯定不能随便访问。所以我们必须需要一些认证信息。

例如:当用户访问集群(例如使用kubectl命令)时,apiserver 会将您认证为一个特定的 User Account(目前通常是admin,除非您的系统管理员自定义了集群配置)。Pod 容器中的进程也可以与 apiserver 联系。当它们在联系 apiserver 的时候,它们会被认证为一个特定的 Service Account。

生成tokenaccount

`

在pod中使用service account

运行pod。Kubernetes集群会自动创建一个token的secert,并被jaxzhai这个serviceaccount引用。设置非默认的 service account,只需要在 pod 的spec.serviceAccountName 字段中将name设置为您想要用的 service account 名字即可。在 pod 创建之初 service account 就必须已经存在,否则创建将被拒绝。您不能更新已创建的 pod 的 service account。

(四)Secret 与 ConfigMap 对比

相同点

key/value的形式。属于某个特定的namespace。可以导出到环境变量。可以通过目录/文件形式挂载。通过 volume 挂载的配置信息均可热更新。

不同点:

Secret 可以被 ServerAccount 关联。Secret 可以存储 docker register 的鉴权信息,用在 ImagePullSecret 参数中,用于拉取私有仓库的镜像。Secret 支持 Base64 加密。Secret 分为 kubernetes.io/service-account-token、kubernetes.io/dockerconfigjson、Opaque 三种类型,而 Configmap 不区分类型。

PS:为了确保kubernetes集群的安全性,Api Server 都会给客户端进行身份认证,但是Pod访问Kubernetes Api Server服务时,也是需要身份认证的。配置在容器中使用很多,特别是隐私的强烈建议使用Secret。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20190829A03S3D00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券