上次说了ConfigMap,ConfigMap在kubernetes中核心的对象,一般就存储一些非安全的配置信息。kubernetes也考虑到了对于安全信息的处理办法,就是使用Secret,用来保存密码、私钥、口令等敏感信息。将这些信息放在Secret中比放在Pod的定义中或者docker镜像中来说更加安全和灵活。
(一) Secret 总体介绍
Opaque
base64 编码格式的 Secret,用来存储密码、密钥等;但数据也可以通过base64 –decode解码得到原始数据,所有加密性很弱。
kubernetes.io/dockerconfigjson
用来存储私有docker registry的认证信息。
kubernetes.io/service-account-token
用于被serviceaccount引用,serviceaccout 创建时Kubernetes会默认创建对应的secret。Pod如果使用了serviceaccount,对应的secret会自动挂载到Pod目录/run/secrets/kubernetes.io/serviceaccount中。
(二)Opaque 详解
介绍
Opaque 类型的数据是一个 map 类型,要求value是base64编码格式,
演示
比如我们来创建一个用户名为 admin,密码为 admin123 的 Secret 对象,把这用户名和密码做 base64 编码。
需要记住上班的 2个对应的 base64 编码,下面要用。创建一个yaml的Secret。
1.创建一个secret2.获取secret,里面包含了一个默认的secret3.通过describe查看只显示Data 4.通过-o yaml 显示保存的秘钥内容
secret使用方式
环境变量的形式。
Volume的形式挂载。
环境变量
创建一个简单的buybox的pod,secretKeyRef关键字,上次的configMapKeyRef比较类似
运行yaml,查看打印效果
可以看到有 USERNAME 和 PASSWORD 两个环境变量输出出来。admin admin123
Volume 挂载
验证下Volume挂载。创建一个yaml文件。
运行yaml,查看打印效果
(二)kubernetes.io/dockerconfigjson
介绍
创建用户docker registry认证的Secret,也k8s调取私有的仓库需要的秘钥信息保存
通过命令的方式创建
查看秘钥信息
从仓库中拉取,并使用仓库秘钥
私有仓库镜像192.168.1.200:5000/test:v1,我们就需要针对该私有仓库来创建一个如上的Secret,然后在Pod的 YAML 文件中指定imagePullSecrets。
没搭建仓库,所以这个不演示了,比较同意理解
(三)kubernetes.io/service-account-token
介绍
记得在搞dashboard的时候,也搞过token的为了可以正常的登录。其实就是一种验证机制。
Service Account为Pod中的进程和外部用户提供身份信息。所有的kubernetes集群中账户分为两类,Kubernetes管理的serviceaccount(服务账户)和useraccount(用户账户)。都知道api server的集群的入口,对于kunbernetes的api server 是肯定不能随便访问。所以我们必须需要一些认证信息。
例如:当用户访问集群(例如使用kubectl命令)时,apiserver 会将您认证为一个特定的 User Account(目前通常是admin,除非您的系统管理员自定义了集群配置)。Pod 容器中的进程也可以与 apiserver 联系。当它们在联系 apiserver 的时候,它们会被认证为一个特定的 Service Account。
生成tokenaccount
`
在pod中使用service account
运行pod。Kubernetes集群会自动创建一个token的secert,并被jaxzhai这个serviceaccount引用。设置非默认的 service account,只需要在 pod 的spec.serviceAccountName 字段中将name设置为您想要用的 service account 名字即可。在 pod 创建之初 service account 就必须已经存在,否则创建将被拒绝。您不能更新已创建的 pod 的 service account。
(四)Secret 与 ConfigMap 对比
相同点
key/value的形式。属于某个特定的namespace。可以导出到环境变量。可以通过目录/文件形式挂载。通过 volume 挂载的配置信息均可热更新。
不同点:
Secret 可以被 ServerAccount 关联。Secret 可以存储 docker register 的鉴权信息,用在 ImagePullSecret 参数中,用于拉取私有仓库的镜像。Secret 支持 Base64 加密。Secret 分为 kubernetes.io/service-account-token、kubernetes.io/dockerconfigjson、Opaque 三种类型,而 Configmap 不区分类型。
PS:为了确保kubernetes集群的安全性,Api Server 都会给客户端进行身份认证,但是Pod访问Kubernetes Api Server服务时,也是需要身份认证的。配置在容器中使用很多,特别是隐私的强烈建议使用Secret。
领取专属 10元无门槛券
私享最新 技术干货