kubernetes存储(二)——Secret配置管理+应用+挂载+映射 secret 密钥+Secret定义为环境变量
一、secret的介绍
Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 ssh key。
敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。
Pod 可以用两种方式使用 secret:
作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里。
当 kubelet 为 pod 拉取镜像时使用。
Secret的类型:
Service Account:Kubernetes 自动创建包含访问 API 凭据的 secret,并自动修改 pod 以使用此类型的 secret。
Opaque:使用base64编码存储信息,可以通过base64 --decode解码获得原始数据,因此安全性弱。
kubernetes.io/dockerconfigjson:用于存储docker registry的认证信息。
二、serviceaccout 创建
2.1serviceaccout 创建时 Kubernetes 会默认创建对应的 secret。对应的 secret 会自动挂载到 Pod 的 /run/secrets/kubernetes.io/serviceaccount 目录中。
每个namespace下有一个名为default的默认的ServiceAccount对象
[root@server2 cm]# kubectl get sa
NAME SECRETS AGE
default 1 36h
ServiceAccount里有一个名为Tokens的可以作为Volume一样被Mount到Pod里的Secret,当Pod启动时这个Secret会被自动Mount到Pod的指定目录下,用来协助完成Pod中的进程访问API Server时的身份鉴权过程。
2.2从文件中创建Secret
分别创建两个名为username.txt和password.txt的文件
echo -n 'admin' > ./username.txt
echo -n 'westos' > ./password.txt
如果密码具有特殊字符,则需要使用 \ 字符对其进行转义,执行以下命令:
kubectl create secret generic dev-db-secret --from-literal=username=devuser --from-literal=password=S\!B\\*d\$zDsb
默认情况下 kubectl get和kubectl describe 为了安全是不会显示密码的内容
2.3编写一个 secret 对象
[root@server2 cm]# echo -n 'admin' | base64 用户
YWRtaW4=
[root@server2 cm]# echo -n 'westos' | base64 密码
d2VzdG9z
[root@server2 cm]# echo -n 'YWRtaW4=' | base64 -d 解码
admin
[root@server2 cm]# vim cm2.yaml
apiVersion: v1
kind: Secret
metadata:
name: mysecret
type: Opaque
data:
username: YWRtaW4=
password: d2VzdG9z
三、secret的应用
3.1将Secret挂载到Volume中
[root@server2 cm]# vim cm2.yaml
apiVersion: v1
kind: Secret
metadata:
name: mysecret
type: Opaque
data:
username: YWRtaW4= 用户
password: d2VzdG9z 密码
---
apiVersion: v1
kind: Pod
metadata:
name: mysecret
spec:
containers:
- name: nginx
image: nginx
volumeMounts:
- name: secrets
mountPath: "/secret"
readOnly: true
volumes:
- name: secrets
secret:
secretName: mysecret
[root@server2 cm]# kubectl apply -f cm2.yaml
secret/mysecret unchanged
pod/mysecret created
[root@server2 cm]# kubectl get pod
NAME READY STATUS RESTARTS AGE
my-nginx-6bcb6dc97-r4cjw 1/1 Running 0 8h
mysecret 0/1 ContainerCreating 0 3s
[root@server2 cm]# kubectl get pod
NAME READY STATUS RESTARTS AGE
my-nginx-6bcb6dc97-r4cjw 1/1 Running 0 8h
mysecret 1/1 Running 0 6s
[root@server2 cm]# kubectl exec mysecret -- ls /secret
password
username
[root@server2 cm]# kubectl exec mysecret -- cat /secret/password
westos
[root@server2 cm]# kubectl exec mysecret -- cat /secret/username
admin
3.2向指定路径映射 secret 密钥
[root@server2 cm]# vim cm2.yaml
apiVersion: v1
kind: Secret
metadata:
name: mysecret
type: Opaque
data:
username: YWRtaW4=
password: d2VzdG9z
---
apiVersion: v1
kind: Pod
metadata:
name: mysecret
spec:
containers:
- name: nginx
image: nginx
volumeMounts:
- name: secrets
mountPath: "/secret" 一个base
readOnly: true
volumes:
- name: secrets
secret:
secretName: mysecret
items: 指定挂载路径
- key: username
path: my-group/my-username 把username挂载到此目录
(名称自定义)向指定路径映射 secret 密钥
[root@server2 cm]# kubectl apply -f cm2.yaml
secret/mysecret created
pod/mysecret created
[root@server2 cm]# kubectl get pod
NAME READY STATUS RESTARTS AGE
mysecret 1/1 Running 0 5s
查看用户
[root@server2 cm]# kubectl exec mysecret -- cat /secret/my-group/my-username
admin
3.3将Secret设置为环境变量
vim cm2.yaml
apiVersion: v1
kind: Secret
metadata:
name: mysecret
type: Opaque
data:
username: YWRtaW4=
password: d2VzdG9z
---
apiVersion: v1
kind: Pod
metadata:
name: secret-env
spec:
containers:
- name: nginx
image: nginx
env:
- name: SECRET_USERNAME 指定变量(将Secret设置为环境变量)
valueFrom:
secretKeyRef:
name: mysecret
key: username
- name: SECRET_PASSWORD 将Secret设置为环境变量
valueFrom:
secretKeyRef:
name: mysecret
key: password
[root@server2 cm]# kubectl apply -f cm2.yaml
secret/mysecret created
pod/secret-env created
[root@server2 cm]# kubectl get pod
NAME READY STATUS RESTARTS AGE
mysecret 1/1 Running 0 2m57s
secret-env 1/1 Running 0 32s
[root@server2 cm]# kubectl exec secret-env -- env
PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
HOSTNAME=secret-env
SECRET_USERNAME=admin 用户
SECRET_PASSWORD=westos 密码
KUBERNETES_PORT_443_TCP_ADDR=10.96.0.1
KUBERNETES_SERVICE_HOST=10.96.0.1
KUBERNETES_SERVICE_PORT=443
KUBERNETES_SERVICE_PORT_HTTPS=443
KUBERNETES_PORT=tcp://10.96.0.1:443
KUBERNETES_PORT_443_TCP=tcp://10.96.0.1:443
KUBERNETES_PORT_443_TCP_PROTO=tcp
KUBERNETES_PORT_443_TCP_PORT=443
NGINX_VERSION=1.13.9-1~stretch
NJS_VERSION=1.13.9.0.1.15-1~stretch
HOME=/root
环境变量读取Secret很方便,但无法支撑Secret动态更新
[root@server2 ~]# kubectl get secrets
NAME TYPE DATA AGE
default-token-gq7ls kubernetes.io/service-account-token 3 16h
myregistrykey kubernetes.io/dockerconfigjson 1 9h
kubernetes.io/dockerconfigjson 用于存储docker registry的认证信息
harbor仓库中有一个私有项目里面有个镜像如下图所示
对于私有仓库的拉取,需要登录认证否则无法成功拉取,登录认证信息存放在主机上(.docker/config.json)有安全隐患。
设置pod所需的镜像到secret卷里面自动拉取
参数详解:
kubectl create secret docker-registry: 创建与Docker registry一起使用的secret。
myregistrykey :自定义secret名称
Docker secret用于对Docker registry进行安全认证;
当使用Docker命令push镜像时,可以进行Docker registries认证.
[root@server2 cm]# kubectl create secret docker-registry myregistrykey \ 创建secret
--docker-server=reg.westos.org \ 指定仓库地址
--docker-username=admin \ 认证用户
--docker-password=westos \ 认证密码
--docker-email=yakexi007@westos.org 邮箱
vim cm cm3.yaml
apiVersion: v1
kind: Pod
metadata:
name: mypod
spec:
containers:
- name: game2048
image: reg.westos.org/westos/game2048 指定镜像拉取路径
imagePullSecrets: 镜像在拉取时的secret
- name: myregistrykey secret名称
[root@server2 cm]# kubectl get pod
NAME READY STATUS RESTARTS AGE
mypod 1/1 Running 0 5s
[root@server2 cm]# kubectl describe pod mypod 镜像成功拉取
