「走进k8s」Kubernetes1.15.1的Secret(27)

上次说了ConfigMap,ConfigMap在kubernetes中核心的对象,一般就存储一些非安全的配置信息。kubernetes也考虑到了对于安全信息的处理办法,就是使用Secret,用来保存密码、私钥、口令等敏感信息。将这些信息放在Secret中比放在Pod的定义中或者docker镜像中来说更加安全和灵活。

(一) Secret 总体介绍

  • ① Opaque

base64 编码格式的 Secret,用来存储密码、密钥等;但数据也可以通过base64 –decode解码得到原始数据,所有加密性很弱。

  • ② kubernetes.io/dockerconfigjson

用来存储私有docker registry的认证信息。

  • ③ kubernetes.io/service-account-token

用于被serviceaccount引用,serviceaccout 创建时Kubernetes会默认创建对应的secret。Pod如果使用了serviceaccount,对应的secret会自动挂载到Pod目录/run/secrets/kubernetes.io/serviceaccount中。

(二)Opaque 详解

  • ① 介绍

Opaque 类型的数据是一个 map 类型,要求value是base64编码格式,

  • ② 演示
    > 比如我们来创建一个用户名为 admin,密码为 admin123 的 Secret 对象,把这用户名和密码做 base64 编码。
echo -n "admin" | base64
# YWRtaW4=

 echo -n "admin123" | base64   
# YWRtaW4xMjM=

需要记住上班的 2个对应的 base64 编码,下面要用。创建一个yaml的Secret。

apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  username: YWRtaW4=
  password: YWRtaW4xMjM=

1.创建一个secret
2.获取secret,里面包含了一个默认的secret
3.通过describe查看只显示Data
4.通过-o yaml 显示保存的秘钥内容

kubectl apply -f mysecret.yaml 

kubectl get secret

kubectl describe secret mysecret

 kubectl get secret mysecret -o yaml

  • ③ secret使用方式
  1. 环境变量的形式。
  2. Volume的形式挂载。
  • ④ 环境变量

创建一个简单的buybox的pod,secretKeyRef关键字,上次的configMapKeyRef比较类似

apiVersion: v1
kind: Pod
metadata:
  name: secret1-pod
spec:
  containers:
  - name: secret1
    image: busybox
    command: [ "/bin/sh", "-c", "echo $(USERNAME) $(PASSWORD)" ]
    env:
    - name: USERNAME
      valueFrom:
        secretKeyRef:
          name: mysecret
          key: username
    - name: PASSWORD
      valueFrom:
        secretKeyRef:
          name: mysecret
          key: password

运行yaml,查看打印效果

kubectl apply -f my-pod-secret.yaml

kubectl get pod

kubectl logs secret1-pod 

可以看到有 USERNAME 和 PASSWORD 两个环境变量输出出来。admin admin123

  • ⑤ Volume 挂载

验证下Volume挂载。创建一个yaml文件。

apiVersion: v1
kind: Pod
metadata:
  name: secret-volume-pod
spec:
  containers:
  - name: secret2
    image: busybox
    command: ["/bin/sh", "-c", "ls /etc/secrets"]
    volumeMounts:
    - name: secrets
      mountPath: /etc/secrets
  volumes:
  - name: secrets
    secret:
     secretName: mysecret

运行yaml,查看打印效果

kubectl apply -f my-volume-secret.yaml

kubectl get pod

kubectl logs secret1-pod 

(二)kubernetes.io/dockerconfigjson

  • ① 介绍

创建用户docker registry认证的Secret,也k8s调取私有的仓库需要的秘钥信息保存

  • ② 通过命令的方式创建
kubectl create secret docker-registry myregistry --docker-server=DOCKER_SERVER --docker-username=DOCKER_USER --docker-password=DOCKER_PASSWORD --docker-email=DOCKER_EMAIL

  • ③ 查看秘钥信息
kubectl get secret
kubectl describe secret myregistry
kubectl get secret myregistry -o yaml

echo eyJhdXRocyI6eyJET0NLRVJfU0VSVkVSIjp7InVzZXJuYW1lIjoiRE9DS0VSX1VTRVIiLCJwYXNzd29yZCI6IkRPQ0tFUl9QQVNTV09SRCIsImVtYWlsIjoiRE9DS0VSX0VNQUlMIiwiYXV0aCI6IlJFOURTMFZTWDFWVFJWSTZSRTlEUzBWU1gxQkJVMU5YVDFKRSJ9fX0= | base64 -d

  • ④ 从仓库中拉取,并使用仓库秘钥

私有仓库镜像192.168.1.200:5000/test:v1,我们就需要针对该私有仓库来创建一个如上的Secret,然后在Pod的 YAML 文件中指定imagePullSecrets。

apiVersion: v1
kind: Pod
metadata:
  name: foo
spec:
  containers:
  - name: foo
    image: 192.168.1.200:5000/test:v1
  imagePullSecrets:
  - name: myregistrykey

没搭建仓库,所以这个不演示了,比较同意理解

(三)kubernetes.io/service-account-token

  • ①介绍

记得在搞dashboard的时候,也搞过token的为了可以正常的登录。 其实就是一种验证机制。

Service Account为Pod中的进程和外部用户提供身份信息。所有的kubernetes集群中账户分为两类,Kubernetes管理的serviceaccount(服务账户)和useraccount(用户账户)。都知道api server的集群的入口,对于kunbernetes的api server 是肯定不能随便访问。所以我们必须需要一些认证信息。

例如:当用户访问集群(例如使用kubectl命令)时,apiserver 会将您认证为一个特定的 User Account(目前通常是admin,除非您的系统管理员自定义了集群配置)。Pod 容器中的进程也可以与 apiserver 联系。 当它们在联系 apiserver 的时候,它们会被认证为一个特定的 Service Account。

  • ② 生成tokenaccount
kubectl create serviceaccount idig8
kubectl get secret
````

![](https://upload-images.jianshu.io/upload_images/11223715-1ce8d1de1bbc4e50.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

* ③ 在pod中使用service account

``` yml
apiVersion: v1
kind: Pod
metadata:
  name: my-sa-demo
  namespace: default
  labels:
    name: myapp
    tier: appfront
spec:
  containers:
  - name: myapp
    image: nginx
    ports:
    - name: http
      containerPort: 80
  serviceAccountName: idig8

运行pod。Kubernetes集群会自动创建一个token的secert,并被jaxzhai这个serviceaccount引用。设置非默认的 service account,只需要在 pod 的spec.serviceAccountName 字段中将name设置为您想要用的 service account 名字即可。在 pod 创建之初 service account 就必须已经存在,否则创建将被拒绝。您不能更新已创建的 pod 的 service account。

kubectl apply -f pom-serviceaccount.yaml 

kubectl describe pod my-sa-demo

(四)Secret 与 ConfigMap 对比

  • ① 相同点

    key/value的形式。
    属于某个特定的namespace。
    可以导出到环境变量。
    可以通过目录/文件形式挂载。
    通过 volume 挂载的配置信息均可热更新。

  • ② 不同点:

Secret 可以被 ServerAccount 关联。
Secret 可以存储 docker register 的鉴权信息,用在 ImagePullSecret 参数中,用于拉取私有仓库的镜像。
Secret 支持 Base64 加密。
Secret 分为 kubernetes.io/service-account-token、kubernetes.io/dockerconfigjson、Opaque 三种类型,而 Configmap 不区分类型。

PS:为了确保kubernetes集群的安全性,Api Server 都会给客户端进行身份认证,但是Pod访问Kubernetes Api Server服务时,也是需要身份认证的。配置在容器中使用很多,特别是隐私的强烈建议使用Secret。

>>原创文章,欢迎转载。转载请注明:转载自IT人故事会,谢谢!
>>原文链接地址:「走进k8s」Kubernetes1.15.1的Secret(27)
上一篇: 下一篇:

发表评论

电子邮件地址不会被公开。 必填项已用*标注