Kuebrnetes 0-1 了解Secret
通常我们的应用程序的配置都会包含一些敏感信息,例如数据库连接字符串,证书,私钥等,为了保证其安全性,K8S提供了Secret资源对象来保存敏感数据,它和CongfigMap类似,也是键值对的映射,并且使用方式也几乎一样。
介绍Secret
Secret中存储着键值对数据,可以
- 作为环境变量传递给容器
- 作为文件挂载到容器的Volume
Secret会存储在Pod所调度的节点的内存中,而不是写入磁盘。
Pod默认生成的Secret
每个Pod都会被自动挂载一个Secret卷,只需要使用kubectl desribe pod
命令就能看到一个名称类似default-token-n4q6m
的Secret,Secret也是一种K8S资源,所以,可以使用kubectl get secret
或kubectl describe secret
获取查看。
从上面图例可以看出,Pod默认生成的Secret会包含三个配置项:ca.crt、namespace、token。其实这三个配置项是Pod内部安全访问Kubernetes API服务的所有信息,而在kubectl describe pod
的时候,你可以看到Secret所挂载的具体目录在/var/run/secrets/kubernetes.io/serviceaccount
.
每个Pod会默认生成default-token-xxxxx
的Secret,可以通过在Pod中定义pod.spec.automountServiceAccountToken
为false来关闭这种默认行为。
创建Secret
可以直接通过kubectl create secret
命令创建,也可以先编写secret的yaml文件再使用kubectl apply -f <filename>
创建,推荐使用后者。
单行命令创建Secret
- 创建一个键值对的secret:
kubectl create secret generic first-secret --from-literal=user=admin --from-literal=password=admin123
创建完成之后,使用kubectl describe secret first-secret
查看,可以看到这个secret的键值内容并不会直接打印出来,而是只显示了占用了多少个字节。
- 创建一个文件内容的Secret
假如我当前有一个配置文件secret.json,文件内容如下:
{
"User": "admin",
"Password": "admin123"
}
使用以下命令创建Secret:
kubectl create secret generic second-secret --from-file=secret.json
创建完成之后,使用kubectl describe secret second-secret
查看secret的键值内容,同样也不会将文件内容显示出来:
默认使用文件名称secret.json作为键值对的key,也可以通过
--from-file=second_secret=app.json
指定key为second_secret
;可以使用多组
--from-file=<key>=<filename>
参数,在secret中定义多组文件;
--from-file=
后面可以直接跟某个文件路径,这样会将目录下的所有文件引入到Secret;
--from-literal
和--from-file
可以共同使用,键值合并。
删除创建的first-secret
和second-secret
:
kubectl delete secret first-secret
kubectl delete secret second-secret
基于资源清单文件创建Secret
- 创建一个键值对的Secret:
首先定义Secret的资源文件first-secret.yaml,定义如下:
先使用base64对secret资源文件中要保存的键值编码
echo "admin" | base64 # 得到 YWRtaW4K
echo "admin123" | base64 # 得到 YWRtaW4xMjMK
vim first-secret.yaml
apiVersion: v1
kind: Secret
metadata:
name: first-secret
data:
user: "YWRtaW4K"
password: "YWRtaW4xMjMK"
使用kubectl apply
命令创建Secret资源:
kubectl apply -f first-secret.yaml
创建完成之后,使用kubectl describe secret first-secret
查看。
可以在
data
下定义多组键值对。
- 创建一个文件内容的Secret
首先定义Secret的资源文件second-secret.yaml,定义如下:
先使用base64对上文中的secret.json文件内容编码:
echo $(cat secret.json) | base64 # 得到 eyAiVXNlciI6ICJhZG1pbiIsICJQYXNzd29yZCI6ICJhZG1pbjEyMyIgfQo=
vim second-secret.yaml
apiVersion: v1
kind: Secret
metadata:
name: second-secret
data:
secret.json: eyAiVXNlciI6ICJhZG1pbiIsICJQYXNzd29yZCI6ICJhZG1pbjEyMyIgfQo=
使用kubectl apply
命令创建Secret资源:
kubectl apply -f second-secret.yaml
创建完成之后,使用kubectl describe secret second-secret
查看。
可以在
data
下定义多组文件,也可以和键值对一起定义;
删除创建的first-secret
和second-secret
:
kubectl delete secret first-secret
kubectl delete secret second-secret
使用Secret
Secret的用途也与ConfigMap相差无几:
- 使用Secret作为容器的环境变量
- 使用Secret作为Volume向容器提供文件
使用Secret作为容器的环境变量
假如有一个名为first-secret
的Secret,里面包含了一个键为user
,我想将这个Secret中user
键用到我的环境变量USER_NAME
中,可以使用如下方式:
...
env:
- name: USER_NAME
valueFrom:
secretKeyRef:
name: first-secret
key: user
...
如果有一个名为second-secret
Secret中包含多个键如USER_NAME
,PASSWORD
,我想将这个Secret中所有的键都用到我的环境变量中,可以使用如下方式:
...
spec:
container:
- image: <some-image>
envFrom:
- prefix: MYSQL_
secretRef:
name: second-secret
...
容器将会生成DB_USER_NAME
,DB_PASSWORD
环境变量,prefix
也可以不配置,则直接使用Secret的键。
注意:
secretRef
与上面secretKeyRef
的区别;- 如果Secret中有一个为
USER-NAME
键,那么将不会生成MYSQL_USER-NAME
的环境变量,因为MYSQL_USER-NAME
不是一个合法的环境变量名称。
使用Secret为容器的Volume提供文件
上次的文章——《了解ConfigMap》中,使用ConfigMap向容器提供文件,这次使用Secret来实际使用一下。
我们现在有一个文件secret.json要传递到容器中,文件内容如下:
{
"User": "admin",
"Password": "admin123"
}
创建Secret
kubectl create secret generic helloweb-secret --from-file=secret.json
定义helloweb-pod.yaml文件如下:
apiVersion: v1
kind: Pod
metadata:
name: helloweb
spec:
containers:
- name: helloweb
image: med1tator/helloweb:v1
ports:
- containerPort: 80
volumeMounts:
- mountPath: /app/mysettings/secret.json
name: helloweb-secret
subPath: secret.json
volumes:
- name: helloweb-secret
secret:
secretName: helloweb-secret
创建Pod:
kubectl apply -f helloweb-pod.yaml
一段时间后,可以验证文件是否挂载到容器:
Yeah!没毛病。
使用Secret拉取私有镜像
当我们要访问拉取私有仓库或者私有镜像时,我们需要可能需要使用到Secret。
比如我现在将我docker仓库中的镜像helloweb设置成私有镜像,这是我使用该镜像创建Pod是会显示镜像拉取失败的,很明显,我需要登录docker。
- 创建镜像仓库Secret
kubectl create secret docker-registry docker-hub-secret --docker-username=<my_username> --docker-password=<my_password>
私有仓库的话使用
--docker-server
指定;更多使用
kubectl create secret docker-registry --help
查看
- Pod中使用imagePullSecrets:
...
kind: Pod
spec:
imagePullSecrets:
- name: docker-hub-secret
containers:
- name: helloweb
image: med1tator/helloweb:v1
...
- 使用ServiceAccount
如果很多镜像都要从私有仓库拉取,那最好将secret添加到一个固定的ServiceAccount中,一个ServiceAccount可以包含多个镜像仓库Secret:
apiVersion: v1
kind: ServiceAccount
metadata:
name: docker-service-account
imagePullSecrets:
- name: docker-hub-secret
- name: harbor-secret
这时Pod使用ServiceAccount即可:
...
kind: Pod
spec:
serviceAccountName: docker-service-account
...