k8s-sercret

概念:

Secret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 这样的信息可能会被放在 Pod 规约中或者镜像中。 使用 Secret 意味着你不需要在应用程序代码中包含机密数据。

由于创建 Secret 可以独立于使用它们的 Pod, 因此在创建、查看和编辑 Pod 的工作流程中暴露 Secret(及其数据)的风险较小。 Kubernetes 和在集群中运行的应用程序也可以对 Secret 采取额外的预防措施, 例如避免将敏感数据写入非易失性存储。

Secret 类似于 ConfigMap 但专门用于保存机密数据,其实只是简单的base64编码 一下

secret 的信息其实是存储在etcd下以base64编码形式存储

secret 并不是很安全:

1.https://zhuanlan.zhihu.com/p/671053753

2.https://kubernetes.io/zh-cn/docs/concepts/configuration/secret/#information-security-for-secrets

使用场景

你可以将 Secret 用于以下场景:

  • 设置容器的环境变量。
  • 向 Pod 提供 SSH 密钥或密码等凭据。
  • 允许 kubelet 从私有镜像仓库中拉取镜像。

Kubernetes 控制面也使用 Secret; 例如,引导令牌 Secret 是一种帮助自动化节点注册的机制。

Secret 的类型

创建 Secret 时,你可以使用 Secret 资源的 type 字段,或者与其等价的 kubectl 命令行参数(如果有的话)为其设置类型。 Secret 类型有助于对 Secret 数据进行编程处理。

Kubernetes 提供若干种内置的类型,用于一些常见的使用场景。 针对这些类型,Kubernetes 所执行的合法性检查操作以及对其所实施的限制各不相同。

内置类型 用法
Opaque 用户定义的任意数据(默认类型
kubernetes.io/service-account-token 服务账号令牌
kubernetes.io/dockercfg ~/.dockercfg 文件的序列化形式
kubernetes.io/dockerconfigjson ~/.docker/config.json 文件的序列化形式
kubernetes.io/basic-auth 用于基本身份认证的凭据
kubernetes.io/ssh-auth 用于 SSH 身份认证的凭据
kubernetes.io/tls 用于 TLS 客户端或者服务器端的数据
bootstrap.kubernetes.io/token 启动引导令牌数据

创建和使用

#查看命令详情
kubectl create secret  --help

解密:

#1查看secret data 数据
kubectl get secret  -o jsonpath='{.data}' -n 
# 2 base64解密想看的数据
echo '' | base64 -d 

你可能感兴趣的:(k8s,kubernetes,容器,云原生)