Secret

百度网盘链接：https://pan.baidu.com/s/15t_TSH5RRpCFXV-93JHpNw?pwd=8od3  提取码：8od3

16 Secret

16.1 Secret是什么？

上面我们学习的Configmap一般是用来存放明文数据的，如配置文件，对于一些敏感数据，如密码、私钥等数据时，要用secret类型。

Secret解决了密码、token、秘钥等敏感数据的配置问题，而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。

要使用 secret，pod 需要引用secret。Pod可以用两种方式使用secret：作为volume中的文件被挂载到pod中的一个或者多个容器里，或者当kubelet为pod拉取镜像时使用。

secret可选参数有三种:

generic: 通用类型，通常用于存储密码数据。
　　tls：此类型仅用于存储私钥和证书。
　　docker-registry: 若要保存docker仓库的认证信息的话，就必须使用此种类型来创建。

Secret类型：

Service Account：用于被serviceaccount引用。serviceaccout创建时Kubernetes会默认创建对应的secret。Pod 如果使用了serviceaccount，对应的secret会自动挂载到Pod的/run/secrets/kubernetes.io/serviceaccount目录中。

Opaque：base64编码格式的Secret，用来存储密码、秘钥等。可以通过base64 --decode解码获得原始数据，安全性弱。

kubernetes.io/dockerconfigjson：用来存储私有docker registry的认证信息。

16.2 使用Secret

16.2.1 通过环境变量引入Secret

把mysql的root用户的password创建成secret

[root@master1 ~]# kubectl create secret generic mysql-password --from-literal=password=pod**lucky66

[root@master1 ~]# kubectl get secret

NAME                          TYPE                                  DATA   AGE

mysql-password                Opaque                                1      30s

[root@master1 ~]# kubectl describe secret mysql-password

Name:         mysql-password

Namespace:    default

Labels:       <none>

Annotations:  <none>

Type:  Opaque

Data

====

password: 12bytes   #password的值是加密的，但secret的加密是一种伪加密，它仅仅是将数据做了base64的编码。

16.2.2 创建pod，引用secret

[root@master1 ~]# vim pod-secret.yaml

apiVersion: v1

kind: Pod

metadata:

  name: pod-secret

  labels:

    app: myapp

spec:

  containers:

  - name: myapp

    image: ikubernetes/myapp:v1

    imagePullPolicy: IfNotPresent

    ports:

    - name: http

      containerPort: 80

    env:

    - name: MYSQL_ROOT_PASSWORD    #它是Pod启动成功后，Pod中容器的环境变量名

      valueFrom:

        secretKeyRef:

          name: mysqlpassword      #这是secret的对象名

          key: password            #它是secret中的key名

[root@master1 ~]# kubectl apply -f pod-secret.yaml

[root@master1 ~]# kubectl exec -it pod-secret -- /bin/sh

/ # printenv

MYSQL_ROOT_PASSWORD=pod**lucky66

16.2.3 通过volume挂载Secret

1）创建Secret

[root@master1 ~]# echo -n 'admin' | base64    //手动加密，基于base64加密

YWRtaW4=

[root@master1 ~]# echo -n '123456' | base64

MTIzNDU2

[root@master1 ~]# echo MTIzNDU2 | base64 -d   //解码

2）创建yaml文件

[root@master1 ~]# vim secret.yaml

apiVersion: v1

kind: Secret

metadata:

  name: mysecret

type: Opaque

data:

  username: YWRtaW4=

  password: MTIzNDU2

[root@master1 ~]# kubectl apply -f secret.yaml

[root@master1 ~]# kubectl describe secret mysecret

Name:         mysecret

Namespace:    default

Labels:       <none>

Annotations:  <none>

 

Type:  Opaque

Data

====

password:  6 bytes

username:  5 bytes

3）将Secret挂载到Volume中

[root@master1 ~]# vim pod_secret_volume.yaml

apiVersion: v1

kind: Pod

metadata:

  name: pod-secret-volume

spec:

  containers:

  - name: myapp

    image: busybox:1.28

    imagePullPolicy: IfNotPresent

    command: ["/bin/sh","-c","sleep 3600"]

    volumeMounts:

    - name: secret-volume

      mountPath: /etc/secret

      readOnly: true

  volumes:

  - name: secret-volume

    secret:

      secretName: mysecret

[root@master1 ~]# kubectl apply -f pod_secret_volume.yaml

[root@master1 ~]# kubectl exec -it pod-secret-volume -- /bin/sh

/ # ls /etc/secret

password  username

/ # cat /etc/secret/username

admin

/ # cat /etc/secret/password

123456

由上可见，在pod中的secret信息实际已经被解密。