kubernetesr进阶--Secret概述

概述

Kubernetes Secret 对象可以用来储存敏感信息，例如：密码、OAuth token、ssh 密钥等。如果不使用 Secret，此类信息可能被放置在 Pod 定义中或者容器镜像中。将此类敏感信息存储到 Secret 中，可以更好地：

• 控制其使用
• 降低信息泄露的风险

用户可以直接创建 Secret，Kubernetes 系统也会创建一些 Secret。

Secret有如下几种使用方式：

• 作为 Pod 的数据卷挂载
• 作为 Pod 的环境变量
• kubelet 在抓取容器镜像时，作为 docker 镜像仓库的用户名密码

内建Secret

Service Account 将自动创建 Secret

Kubernetes 自动创建包含访问 Kubernetes APIServer 身份信息的 Secret，并自动修改 Pod 使其引用这类 Secret。

如果需要，可以禁用或者自定义自动创建并使用 Kubernetes APIServer 身份信息的特性。然而，如果您期望安全地访问 Kubernetes APIServer，您应该使用默认的 Secret 创建使用过程。

自建Secret

您可以使用如下方式创建自己的 Secret：

• 使用 kubectl 创建 Secret

• 手动创建 Secret

• 使用 Generator 创建 Secret

解码和编辑

Kubenetes 中，Secret 使用 base64 编码存储，您可以将其 解码获得对应信息的原文，创建 Secret 之后，您也可以再次 编辑Secret