kubernetes存储之Secret配置管理

一、简介

Secret配置只要用来存放一些敏感信息，例如用户名认证，镜像的拉取中仓库的用户认证等等。Secret 对象类型用来保存敏感信息，例如密码、OAuth 令牌和 ssh key。敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。
Pod 可以用两种方式使用 secret：
• 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里。
• 当 kubelet 为 pod 拉取镜像时使用。
Secret的类型：
• Service Account：Kubernetes 自动创建包含访问 API 凭据的 secret，并自动修改
pod 以使用此类型的 secret。
• Opaque：使用base64编码存储信息，可以通过base64 --decode解码获得原始数据，
因此安全性弱。很容易看到源码
• kubernetes.io/dockerconfigjson：用于存储docker registry的认证信息
serviceaccout 创建时 Kubernetes 会默认创建对应的 secret。对应的 secret 会自动挂载到
Pod 的 /run/secrets/kubernetes.io/serviceaccount 目录中
在每一个namespace的sa都有一个默认的default用来使得pod连接apiserver
每个namespace下有一个名为default的默认的ServiceAccount对象
ServiceAccount里有一个名为Tokens的可以作为Volume一样被Mount到Pod里的Secret，
当Pod启动时这个Secret会被自动Mount到Pod的指定目录下，用来协助完成Pod中的进程

二、从文件创建secret

三、将secret通过卷的方式挂接到pod内

向指定路径映射 secret 密钥
将Secret设置为环境变量