Kubernetes——机密数据管理
k8s——机密数据管理
1、secret
2、configMap
1、secret
2、configMap
kubectl explain secret #查看帮助手册
然后将你要加密的变量值做些许处理:
echo 123 | base64 #返回MTIzCg==作为加密后的值
通过编写secret的yaml文件实现机密数据管理
然后将你要加密的变量值做些许处理:
echo 123 | base64 #返回MTIzCg==作为加密后的值
通过编写secret的yaml文件实现机密数据管理
secret的配置
vim secret.yaml
apiVersion: v1
kind: Secret
metadata:
name: mysec
data:
name: ken
mypass: 123
kubectl apply secret.yaml #如果你的data下面是明文,那么就会报错。
kind: Secret
metadata:
name: mysec
data:
name: ken
mypass: 123
kubectl apply secret.yaml #如果你的data下面是明文,那么就会报错。
解决方式就是加密:
apiVersion: v1
kind: Secret
metadata:
name: mysec
data:
name: a2VuCg==
pass: MTIzCg==
kubectl apply -f secret.yaml #secret创建成功
kubectl get secret #能够查看到自己创建的mysec
kubectl describe secret mysec #能够查看的只是加密后的信息的字节长度
kind: Secret
metadata:
name: mysec
data:
name: a2VuCg==
pass: MTIzCg==
kubectl apply -f secret.yaml #secret创建成功
kubectl get secret #能够查看到自己创建的mysec
kubectl describe secret mysec #能够查看的只是加密后的信息的字节长度
如果要查看具体的值需要的操作:
kubectl edit secret mysec
然后复制data内容:
name: a2VuCg==
mypass: MTIzCg==
解码即可得到相应的信息:
[jerry@centos ~]$ echo a2VuCg== | base64 --decode
ken
[jerry@centos ~]$ echo MTIzCg== | base64 --decode
123
kubectl edit secret mysec
然后复制data内容:
name: a2VuCg==
mypass: MTIzCg==
解码即可得到相应的信息:
[jerry@centos ~]$ echo a2VuCg== | base64 --decode
ken
[jerry@centos ~]$ echo MTIzCg== | base64 --decode
123
secret的使用
1、volumes
2、env
volume的形式使用secret:
vim pod-sec.yaml #这里pod是直接创建的没有创建deploy,不受deploy的管控,pod可以不受deploy的管控。
1、volumes
2、env
volume的形式使用secret:
vim pod-sec.yaml #这里pod是直接创建的没有创建deploy,不受deploy的管控,pod可以不受deploy的管控。
apiVersion: v1
kind: Pod
metadata:
name: mypod
spec:
containers:
- name: busybox
image: busybox
imagePullPolicy: IfNotPresent
args:
- /bin/sh
- -c
- echo 1;sleep 500
volumeMounts:
- name: pod
mountPath: /ken/
volumes:
- name: pod
secret:
secretName: mysec
使用注意:要先创建secret,否则pod起不来
kubectl apply -f secret.yaml
kubectl apply -f pod-sec.yaml
kind: Pod
metadata:
name: mypod
spec:
containers:
- name: busybox
image: busybox
imagePullPolicy: IfNotPresent
args:
- /bin/sh
- -c
- echo 1;sleep 500
volumeMounts:
- name: pod
mountPath: /ken/
volumes:
- name: pod
secret:
secretName: mysec
使用注意:要先创建secret,否则pod起不来
kubectl apply -f secret.yaml
kubectl apply -f pod-sec.yaml
kubectl exec -it mypod sh #进入pod中查看/ken/目录中的内容,发现是两个连接文件
cat mypass #返回你设置的mypass值(非加密)
cat name #返回你设置的name值(非加密)
cat name #返回你设置的name值(非加密)
如果你想要修改密码的值,只需要再secret的yaml文件中修改相应的加密信息即可,而且volume形式支持动态更新。
也就是说你更改了secret的值后执行kubectl apply -f secret.yaml,在pod中也能够查看到新的值。相应的,如果
使用了kubectl edit secret mysec 那么也能看到已经修改后的加密值。
也就是说你更改了secret的值后执行kubectl apply -f secret.yaml,在pod中也能够查看到新的值。相应的,如果
使用了kubectl edit secret mysec 那么也能看到已经修改后的加密值。
env的形式使用secret:
kubectl explain po.spec.containers.env
vim pod-env.yaml
kubectl explain po.spec.containers.env
vim pod-env.yaml
apiVersion: v1
kind: Pod
metadata:
name: mypod1
sepc:
containers:
- name: busybox
image: busybox
imagePullPolicy: IfNotPresent
args:
- /bin/sh
- -c
- echo 1;sleep 500
env:
- name: MYSQL_ROOT_PASSWORD
valueFrom:
secretKeyRef:
name: mysec
key: "mypass"
- name: MYSQL_USER
valueFrom:
secretKeyRef:
name: mysec
key: "name"
kubectl apply -f pod-env.yaml
kubectl exec -it mypod1 sh
执行printenv,就能够看到你设置的环境变量和其对应的值了(明文)。
但是需要注意的是环境变量是不支持动态更新的,环境变量一旦建立就无法动态更新。
kind: Pod
metadata:
name: mypod1
sepc:
containers:
- name: busybox
image: busybox
imagePullPolicy: IfNotPresent
args:
- /bin/sh
- -c
- echo 1;sleep 500
env:
- name: MYSQL_ROOT_PASSWORD
valueFrom:
secretKeyRef:
name: mysec
key: "mypass"
- name: MYSQL_USER
valueFrom:
secretKeyRef:
name: mysec
key: "name"
kubectl apply -f pod-env.yaml
kubectl exec -it mypod1 sh
执行printenv,就能够看到你设置的环境变量和其对应的值了(明文)。
但是需要注意的是环境变量是不支持动态更新的,环境变量一旦建立就无法动态更新。
configMap管理配置
secret可以为pod提供密码、token、密钥等敏感数据,对于一些非敏感数据,如应用的配置信息,则可以使用configMap
configMap的使用和创建方式和secret非常类似,主要不同的是数据以明文的形式存放。
secret可以为pod提供密码、token、密钥等敏感数据,对于一些非敏感数据,如应用的配置信息,则可以使用configMap
configMap的使用和创建方式和secret非常类似,主要不同的是数据以明文的形式存放。
configMap的使用
1、volumes
2、env
1、volumes
2、env
编写yaml文件
vim cmap.yaml
apiVerison: v1
kind: ConfigMap
metadata:
name:mycm
data:
name: ken
mima: ken123
kubectl apply -f cmap.yaml
kubectl get cm
vim cmap.yaml
apiVerison: v1
kind: ConfigMap
metadata:
name:mycm
data:
name: ken
mima: ken123
kubectl apply -f cmap.yaml
kubectl get cm
kubectl describe cm mycm #可以查看到以明文形式存放的数据
使用env示例:
vim cm-env.yaml
使用env示例:
vim cm-env.yaml
apiVersion: v1
kind: Pod
metadata:
name: mypod2
sepc:
containers:
- name: busybox
image: busybox
imagePullPolicy: IfNotPresent
args:
- /bin/sh
- -c
- echo 1;sleep 500
env:
- name: MYSQL_ROOT_PASSWORD
valueFrom:
configMapKeyRef:
name: mycm
key: "mima"
- name: MYSQL_USER
valueFrom:
configMapKeyRef:
name: mycm
key: "name"
kubectl apply -f cm-env.yaml
kind: Pod
metadata:
name: mypod2
sepc:
containers:
- name: busybox
image: busybox
imagePullPolicy: IfNotPresent
args:
- /bin/sh
- -c
- echo 1;sleep 500
env:
- name: MYSQL_ROOT_PASSWORD
valueFrom:
configMapKeyRef:
name: mycm
key: "mima"
- name: MYSQL_USER
valueFrom:
configMapKeyRef:
name: mycm
key: "name"
kubectl apply -f cm-env.yaml
kubectl get po
kubectl exec mypod2 printenv #打印出相应的env变量可以看到。
kubectl exec mypod2 printenv #打印出相应的env变量可以看到。
k8s监控
weave scope——在docker的相关博文已经提到过这款可视化的监控软件,实际上也可以用于k8s
它提供了至上而下的集群基础设施和应用的完整视图,用户可以轻松对分布式的容器化应用进行实时的监控和问题诊断。
安装weave scope:
kubectl apply -f "https://cloud.weave.works/k8s/scope.yaml?k8s-version=$(kubectl version | base64 | tr -d '\n')&k8s-service-type=NodePort"
kubectl get ns #可以查看到一个名为weave的namespace
kubectl get ds -n weave #发现每个节点上都运行一个daemon,也就是weave scope 的agent
在每台node上执行docker ps 也可以查看。
kubectl get svc -n weave #可以看到从外网访问该pod的端口映射,因为在安装的时候使用了k8s-service-type=NodePort参数
kubectl get po -n weave #发现都是running状态即可
使用网络的时候要使用flannel网络
kubectl get po -n kube-system #可以查看到使用的网络类型
然后通过浏览器打开就能够打开相应的监控web视图。
weave scope——在docker的相关博文已经提到过这款可视化的监控软件,实际上也可以用于k8s
它提供了至上而下的集群基础设施和应用的完整视图,用户可以轻松对分布式的容器化应用进行实时的监控和问题诊断。
安装weave scope:
kubectl apply -f "https://cloud.weave.works/k8s/scope.yaml?k8s-version=$(kubectl version | base64 | tr -d '\n')&k8s-service-type=NodePort"
kubectl get ns #可以查看到一个名为weave的namespace
kubectl get ds -n weave #发现每个节点上都运行一个daemon,也就是weave scope 的agent
在每台node上执行docker ps 也可以查看。
kubectl get svc -n weave #可以看到从外网访问该pod的端口映射,因为在安装的时候使用了k8s-service-type=NodePort参数
kubectl get po -n weave #发现都是running状态即可
使用网络的时候要使用flannel网络
kubectl get po -n kube-system #可以查看到使用的网络类型
然后通过浏览器打开就能够打开相应的监控web视图。