申请建设网站的报告书,商务网站开发课程体会,佛山网站营销,百度seo培训要多少钱Secret概述
前面文章中学习ConfigMap的时候#xff0c;我们说ConfigMap这个资源对象是Kubernetes当中非常重要的一个对象#xff0c;一般情况下ConfigMap是用来存储一些非安全的配置信息#xff0c;如果涉及到一些安全相关的数据的话用ConfigMap就非常不妥了#xff0c;因…Secret概述
前面文章中学习ConfigMap的时候我们说ConfigMap这个资源对象是Kubernetes当中非常重要的一个对象一般情况下ConfigMap是用来存储一些非安全的配置信息如果涉及到一些安全相关的数据的话用ConfigMap就非常不妥了因为ConfigMap是名为存储的我们说这个时候我们就需要用到另外一个资源对象了SecretSecret用来保存敏感信息例如密码、OAuth 令牌和 ssh key等等将这些信息放在Secret中比放在Pod的定义中或者docker镜像中来说更加安全和灵活。
Secret有三种类型
Opaquebase64 编码格式的 Secret用来存储密码、密钥等但数据也可以通过base64 –decode解码得到原始数据所有加密性很弱。kubernetes.io/dockerconfigjson用来存储私有docker registry的认证信息。kubernetes.io/service-account-token用于被serviceaccount引用serviceaccout 创建时Kubernetes会默认创建对应的secret。Pod如果使用了serviceaccount对应的secret会自动挂载到Pod目录/run/secrets/kubernetes.io/serviceaccount中。
Opaque Secret
Opaque 类型的数据是一个 map 类型要求value是base64编码格式比如我们来创建一个用户名为 admin密码为 admin321 的 Secret 对象首先我们先把这用户名和密码做 base64 编码
$ echo -n admin | base64
YWRtaW4
$ echo -n admin321 | base64
YWRtaW4zMjE然后我们就可以利用上面编码过后的数据来编写一个YAML文件(secret-demo.yaml)
apiVersion: v1
kind: Secret
metadata:name: mysecret
type: Opaque
data:username: YWRtaW4password: YWRtaW4zMjE然后同样的我们就可以使用kubectl命令来创建了
$ kubectl create -f secret-demo.yaml
secret mysecret created利用get secret命令查看
$ kubectl get secret
NAME TYPE DATA AGE
default-token-n9w2d kubernetes.io/service-account-token 3 33d
mysecret Opaque 2 40s其中default-token-cty7pdefault-token-n9w2d为创建集群时默认创建的 secret被serviceacount/default 引用。 使用describe命令查看详情
$ kubectl describe secret mysecret
Name: mysecret
Namespace: default
Labels: none
Annotations: noneType: OpaqueDatapassword: 8 bytes
username: 5 bytes我们可以看到利用describe命令查看到的Data没有直接显示出来如果想看到Data里面的详细信息同样我们可以输出成YAML文件进行查看
$ kubectl get secret mysecret -o yaml
apiVersion: v1
data:password: YWRtaW4zMjEusername: YWRtaW4
kind: Secret
metadata:creationTimestamp: 2018-06-19T15:27:06Zname: mysecretnamespace: defaultresourceVersion: 3694084selfLink: /api/v1/namespaces/default/secrets/mysecretuid: 39c139f5-73d5-11e8-a101-525400db4df7
type: Opaque创建好Secret对象后有两种方式来使用它
以环境变量的形式以Volume的形式挂载
环境变量
首先我们来测试下环境变量的方式同样的我们来使用一个简单的busybox镜像来测试下:(secret1-pod.yaml)
apiVersion: v1
kind: Pod
metadata:name: secret1-pod
spec:containers:- name: secret1image: busyboxcommand: [ /bin/sh, -c, env ]env:- name: USERNAMEvalueFrom:secretKeyRef:name: mysecretkey: username- name: PASSWORDvalueFrom:secretKeyRef:name: mysecretkey: password主要上面环境变量中定义的secretKeyRef关键字和我们上节课的configMapKeyRef是不是比较类似一个是从Secret对象中获取一个是从ConfigMap对象中获取创建上面的Pod
$ kubectl create -f secret1-pod.yaml
pod secret1-pod created然后我们查看Pod的日志输出
$ kubectl logs secret1-pod
...
USERNAMEadmin
PASSWORDadmin321
...可以看到有 USERNAME 和 PASSWORD 两个环境变量输出出来。
Volume 挂载
同样的我们用一个Pod来验证下Volume挂载创建一个Pod文件(secret2-pod.yaml)
apiVersion: v1
kind: Pod
metadata:name: secret2-pod
spec:containers:- name: secret2image: busyboxcommand: [/bin/sh, -c, ls /etc/secrets]volumeMounts:- name: secretsmountPath: /etc/secretsvolumes:- name: secretssecret:secretName: mysecret创建Pod:
$ kubectl create -f secret-pod2.yaml
pod secret2-pod created然后我们查看输出日志
$ kubectl logs secret2-pod
password
username可以看到secret把两个key挂载成了两个对应的文件。当然如果想要挂载到指定的文件上面是不是也可以使用上一节课的方法在secretName下面添加items指定 key 和 path这个大家可以参考上节课ConfigMap中的方法去测试下。
kubernetes.io/dockerconfigjson
除了上面的Opaque这种类型外我们还可以来创建用户docker registry认证的Secret直接使用kubectl create命令创建即可如下
$ kubectl create secret docker-registry myregistry --docker-serverDOCKER_SERVER --docker-usernameDOCKER_USER --docker-passwordDOCKER_PASSWORD --docker-emailDOCKER_EMAIL
secret myregistry created然后查看Secret列表
$ kubectl get secret
NAME TYPE DATA AGE
default-token-n9w2d kubernetes.io/service-account-token 3 33d
myregistry kubernetes.io/dockerconfigjson 1 15s
mysecret Opaque 2 34m注意看上面的TYPE类型myregistry是不是对应的kubernetes.io/dockerconfigjson同样的可以使用describe命令来查看详细信息
$ kubectl describe secret myregistry
Name: myregistry
Namespace: default
Labels: none
Annotations: noneType: kubernetes.io/dockerconfigjsonData.dockerconfigjson: 152 bytes同样的可以看到Data区域没有直接展示出来如果想查看的话可以使用-o yaml来输出展示出来
$ kubectl get secret myregistry -o yaml
apiVersion: v1
data:.dockerconfigjson: eyJhdXRocyI6eyJET0NLRVJfU0VSVkVSIjp7InVzZXJuYW1lIjoiRE9DS0VSX1VTRVIiLCJwYXNzd29yZCI6IkRPQ0tFUl9QQVNTV09SRCIsImVtYWlsIjoiRE9DS0VSX0VNQUlMIiwiYXV0aCI6IlJFOURTMFZTWDFWVFJWSTZSRTlEUzBWU1gxQkJVMU5YVDFKRSJ9fX0
kind: Secret
metadata:creationTimestamp: 2018-06-19T16:01:05Zname: myregistrynamespace: defaultresourceVersion: 3696966selfLink: /api/v1/namespaces/default/secrets/myregistryuid: f91db707-73d9-11e8-a101-525400db4df7
type: kubernetes.io/dockerconfigjson可以把上面的data.dockerconfigjson下面的数据做一个base64解码看看里面的数据是怎样的呢
$ echo eyJhdXRocyI6eyJET0NLRVJfU0VSVkVSIjp7InVzZXJuYW1lIjoiRE9DS0VSX1VTRVIiLCJwYXNzd29yZCI6IkRPQ0tFUl9QQVNTV09SRCIsImVtYWlsIjoiRE9DS0VSX0VNQUlMIiwiYXV0aCI6IlJFOURTMFZTWDFWVFJWSTZSRTlEUzBWU1gxQkJVMU5YVDFKRSJ9fX0 | base64 -d
{auths:{DOCKER_SERVER:{username:DOCKER_USER,password:DOCKER_PASSWORD,email:DOCKER_EMAIL,auth:RE9DS0VSX1VTRVI6RE9DS0VSX1BBU1NXT1JE}}}如果我们需要拉取私有仓库中的docker镜像的话就需要使用到上面的myregistry这个Secret
apiVersion: v1
kind: Pod
metadata:name: foo
spec:containers:- name: fooimage: 192.168.1.100:5000/test:v1imagePullSecrets:- name: myregistrykey我们需要拉取私有仓库镜像192.168.1.100:5000/test:v1我们就需要针对该私有仓库来创建一个如上的Secret然后在Pod的 YAML 文件中指定imagePullSecrets我们会在后面的私有仓库搭建的课程中跟大家详细说明的。
kubernetes.io/service-account-token
另外一种Secret类型就是kubernetes.io/service-account-token用于被serviceaccount引用。serviceaccout 创建时 Kubernetes 会默认创建对应的 secret。Pod 如果使用了 serviceaccount对应的secret会自动挂载到Pod的/run/secrets/kubernetes.io/serviceaccount目录中。
这里我们使用一个nginx镜像来验证一下大家想一想为什么不是呀busybox镜像来验证当然也是可以的但是我们就不能在command里面来验证了因为token是需要Pod运行起来过后才会被挂载上去的直接在command命令中去查看肯定是还没有 token 文件的。
$ kubectl run secret-pod3 --image nginx:1.7.9
deployment.apps secret-pod3 created
$ kubectl get pods
NAME READY STATUS RESTARTS AGE
...
secret-pod3-78c8c76db8-7zmqm 1/1 Running 0 13s
...
$ kubectl exec secret-pod3-78c8c76db8-7zmqm ls /run/secrets/kubernetes.io/serviceaccount
ca.crt
namespace
token
$ kubectl exec secret-pod3-78c8c76db8-7zmqm cat /run/secrets/kubernetes.io/serviceaccount/token
eyJhbGciOiJSUzI1NiIsImtpZCI6IiJ9.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJkZWZhdWx0Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZWNyZXQubmFtZSI6ImRlZmF1bHQtdG9rZW4tbjl3MmQiLCJrdWJlcm5ldGVzLmlvL3NlcnZpY2VhY2NvdW50L3NlcnZpY2UtYWNjb3VudC5uYW1lIjoiZGVmYXVsdCIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VydmljZS1hY2NvdW50LnVpZCI6IjMzY2FkOWQxLTU5MmYtMTFlOC1hMTAxLTUyNTQwMGRiNGRmNyIsInN1YiI6InN5c3RlbTpzZXJ2aWNlYWNjb3VudDpkZWZhdWx0OmRlZmF1bHQifQ.0FpzPD8WO_fwnMjwpGIOphdVu4K9wUINwpXpBOJAQ-Tawd0RTbAUHcgYy3sEHSk9uvgnl1FJRQpbQN3yVR_DWSIlAtbmd4dIPxK4O7ZVdd4UnmC467cNXEBqL1sDWLfS5f03d7D1dw1ljFJ_pJw2P65Fjd13reKJvvTQnpu5U0SDcfxj675-Z3z-iOO3XSalZmkFIw2MfYMzf_WpxW0yMFCVkUZ8tBSTegA9-NJZededceA_VCOdKcUjDPrDo-CNti3wZqax5WPw95Ou8RJDMAIS5EcVym7M2_zjGiqHEL3VTvcwXbdFKxsNX-1VW6nr_KKuMGKOyx-5vgxebl71QQSecret 与 ConfigMap 对比
最后我们来对比下Secret和ConfigMap这两种资源对象的异同点
相同点
key/value的形式属于某个特定的namespace可以导出到环境变量可以通过目录/文件形式挂载通过 volume 挂载的配置信息均可热更新
不同点
Secret 可以被 ServerAccount 关联Secret 可以存储 docker register 的鉴权信息用在 ImagePullSecret 参数中用于拉取私有仓库的镜像Secret 支持 Base64 加密Secret 分为 kubernetes.io/service-account-token、kubernetes.io/dockerconfigjson、Opaque 三种类型而 Configmap 不区分类型
