Kuebrnetes 0-1 了解Secret

Run Rsyslog server in Kubernetes - ITNEXT

通常我们的应用程序的配置都会包含一些敏感信息,例如数据库连接字符串,证书,私钥等,为了保证其安全性,K8S提供了Secret资源对象来保存敏感数据,它和CongfigMap类似,也是键值对的映射,并且使用方式也几乎一样。

介绍Secret

Secret中存储着键值对数据,可以

  • 作为环境变量传递给容器
  • 作为文件挂载到容器的Volume

Secret会存储在Pod所调度的节点的内存中,而不是写入磁盘。

Pod默认生成的Secret

每个Pod都会被自动挂载一个Secret卷,只需要使用kubectl desribe pod命令就能看到一个名称类似default-token-n4q6m的Secret,Secret也是一种K8S资源,所以,可以使用kubectl get secretkubectl describe secret 获取查看。

image-20200708223709295

image-20200708224201615

从上面图例可以看出,Pod默认生成的Secret会包含三个配置项:ca.crt、namespace、token。其实这三个配置项是Pod内部安全访问Kubernetes API服务的所有信息,而在kubectl describe pod的时候,你可以看到Secret所挂载的具体目录在/var/run/secrets/kubernetes.io/serviceaccount.

image-20200708225251762

每个Pod会默认生成default-token-xxxxx的Secret,可以通过在Pod中定义pod.spec.automountServiceAccountToken为false来关闭这种默认行为。

创建Secret

可以直接通过kubectl create secret命令创建,也可以先编写secret的yaml文件再使用kubectl apply -f <filename>创建,推荐使用后者。

单行命令创建Secret

  • 创建一个键值对的secret:
kubectl create secret generic first-secret --from-literal=user=admin --from-literal=password=admin123

创建完成之后,使用kubectl describe secret first-secret查看,可以看到这个secret的键值内容并不会直接打印出来,而是只显示了占用了多少个字节。

image-20200717210508133

  • 创建一个文件内容的Secret

假如我当前有一个配置文件secret.json,文件内容如下:

{
  "User": "admin",
  "Password": "admin123"
}

使用以下命令创建Secret:

kubectl create secret generic second-secret --from-file=secret.json

创建完成之后,使用kubectl describe secret second-secret查看secret的键值内容,同样也不会将文件内容显示出来:

image-20200717211045935

默认使用文件名称secret.json作为键值对的key,也可以通过--from-file=second_secret=app.json指定key为second_secret

可以使用多组--from-file=<key>=<filename>参数,在secret中定义多组文件;

--from-file=后面可以直接跟某个文件路径,这样会将目录下的所有文件引入到Secret;

--from-literal--from-file可以共同使用,键值合并。

删除创建的first-secretsecond-secret

kubectl delete secret first-secret
kubectl delete secret second-secret

基于资源清单文件创建Secret

  • 创建一个键值对的Secret:

首先定义Secret的资源文件first-secret.yaml,定义如下:

先使用base64对secret资源文件中要保存的键值编码

echo "admin" | base64 # 得到 YWRtaW4K
echo "admin123" | base64	# 得到 YWRtaW4xMjMK
vim first-secret.yaml
apiVersion: v1
kind: Secret
metadata:
  name: first-secret
data:
  user: "YWRtaW4K"
  password: "YWRtaW4xMjMK"

使用kubectl apply命令创建Secret资源:

kubectl apply -f first-secret.yaml

创建完成之后,使用kubectl describe secret first-secret查看。

可以在data下定义多组键值对。

  • 创建一个文件内容的Secret

首先定义Secret的资源文件second-secret.yaml,定义如下:

先使用base64对上文中的secret.json文件内容编码:

echo $(cat secret.json) | base64 # 得到 eyAiVXNlciI6ICJhZG1pbiIsICJQYXNzd29yZCI6ICJhZG1pbjEyMyIgfQo=
vim second-secret.yaml
apiVersion: v1
kind: Secret
metadata:
  name: second-secret
data:
  secret.json: eyAiVXNlciI6ICJhZG1pbiIsICJQYXNzd29yZCI6ICJhZG1pbjEyMyIgfQo=

使用kubectl apply命令创建Secret资源:

kubectl apply -f second-secret.yaml

创建完成之后,使用kubectl describe secret second-secret查看。

可以在data下定义多组文件,也可以和键值对一起定义;

删除创建的first-secretsecond-secret

kubectl delete secret first-secret
kubectl delete secret second-secret

使用Secret

Secret的用途也与ConfigMap相差无几:

  • 使用Secret作为容器的环境变量
  • 使用Secret作为Volume向容器提供文件

使用Secret作为容器的环境变量

假如有一个名为first-secret的Secret,里面包含了一个键为user,我想将这个Secret中user键用到我的环境变量USER_NAME中,可以使用如下方式:

...
env:
- name: USER_NAME
  valueFrom:
    secretKeyRef:
      name: first-secret
      key: user
...

如果有一个名为second-secretSecret中包含多个键如USER_NAMEPASSWORD,我想将这个Secret中所有的键都用到我的环境变量中,可以使用如下方式:

...
spec:
  container:
  - image: <some-image>
    envFrom:
    - prefix: MYSQL_
      secretRef:
        name: second-secret
...

容器将会生成DB_USER_NAMEDB_PASSWORD环境变量,prefix也可以不配置,则直接使用Secret的键。

注意:

  • secretRef与上面secretKeyRef的区别;
  • 如果Secret中有一个为USER-NAME键,那么将不会生成MYSQL_USER-NAME的环境变量,因为MYSQL_USER-NAME不是一个合法的环境变量名称。

使用Secret为容器的Volume提供文件

上次的文章——《了解ConfigMap》中,使用ConfigMap向容器提供文件,这次使用Secret来实际使用一下。

我们现在有一个文件secret.json要传递到容器中,文件内容如下:

{
  "User": "admin",
  "Password": "admin123"
}

创建Secret

kubectl create secret generic helloweb-secret --from-file=secret.json

定义helloweb-pod.yaml文件如下:

apiVersion: v1
kind: Pod
metadata:
  name: helloweb
spec:
  containers:
  - name: helloweb
    image: med1tator/helloweb:v1
    ports:
      - containerPort: 80
    volumeMounts:
      - mountPath: /app/mysettings/secret.json
        name: helloweb-secret
        subPath: secret.json
  volumes:
  - name:  helloweb-secret
    secret:
      secretName: helloweb-secret

创建Pod:

kubectl apply -f helloweb-pod.yaml

一段时间后,可以验证文件是否挂载到容器:

image-20200717221306742

Yeah!没毛病。

使用Secret拉取私有镜像

当我们要访问拉取私有仓库或者私有镜像时,我们需要可能需要使用到Secret。

比如我现在将我docker仓库中的镜像helloweb设置成私有镜像,这是我使用该镜像创建Pod是会显示镜像拉取失败的,很明显,我需要登录docker。

  • 创建镜像仓库Secret
kubectl create secret docker-registry docker-hub-secret --docker-username=<my_username> --docker-password=<my_password>

私有仓库的话使用--docker-server指定;

更多使用kubectl create secret docker-registry --help查看

  • Pod中使用imagePullSecrets:
...
kind: Pod
spec:
  imagePullSecrets:
    - name: docker-hub-secret
  containers:
  - name: helloweb
    image: med1tator/helloweb:v1
...
  • 使用ServiceAccount

如果很多镜像都要从私有仓库拉取,那最好将secret添加到一个固定的ServiceAccount中,一个ServiceAccount可以包含多个镜像仓库Secret:

apiVersion: v1
kind: ServiceAccount
metadata:
  name:  docker-service-account
imagePullSecrets:
  - name: docker-hub-secret
  - name: harbor-secret

这时Pod使用ServiceAccount即可:

...
kind: Pod
spec:
  serviceAccountName: docker-service-account
...
posted @ 2020-07-17 23:10  pding  阅读(178)  评论(0编辑  收藏  举报