Kubernetes——机密数据管理

k8s——机密数据管理
1、secret
2、configMap
kubectl explain secret    #查看帮助手册
然后将你要加密的变量值做些许处理:
echo 123 | base64      #返回MTIzCg==作为加密后的值
通过编写secret的yaml文件实现机密数据管理
secret的配置
vim secret.yaml
apiVersion: v1
kind: Secret
metadata:
 name: mysec
data:
 name: ken
 mypass: 123
 
kubectl apply secret.yaml  #如果你的data下面是明文,那么就会报错。
解决方式就是加密:
apiVersion: v1
kind: Secret
metadata:
 name: mysec
data:
 name: a2VuCg==
 pass: MTIzCg==
 
kubectl apply -f secret.yaml   #secret创建成功
kubectl get secret   #能够查看到自己创建的mysec
kubectl describe secret mysec   #能够查看的只是加密后的信息的字节长度
如果要查看具体的值需要的操作:
kubectl edit secret mysec
然后复制data内容:
 name: a2VuCg==
 mypass: MTIzCg==
解码即可得到相应的信息:
[jerry@centos ~]$ echo a2VuCg== | base64 --decode
ken
[jerry@centos ~]$ echo MTIzCg== | base64 --decode
123
secret的使用
1、volumes
2、env
volume的形式使用secret:
vim pod-sec.yaml    #这里pod是直接创建的没有创建deploy,不受deploy的管控,pod可以不受deploy的管控。
apiVersion: v1
kind: Pod
metadata:
 name: mypod
spec:
 containers:
 - name: busybox
   image: busybox
   imagePullPolicy: IfNotPresent
   args:
   - /bin/sh
   - -c
   - echo 1;sleep 500
   volumeMounts:
   - name: pod
  mountPath: /ken/
 volumes:
 - name: pod
   secret:
  secretName: mysec
 
使用注意:要先创建secret,否则pod起不来
kubectl apply -f secret.yaml
kubectl apply -f pod-sec.yaml
kubectl exec -it mypod sh  #进入pod中查看/ken/目录中的内容,发现是两个连接文件
cat mypass #返回你设置的mypass值(非加密)
cat name    #返回你设置的name值(非加密)
如果你想要修改密码的值,只需要再secret的yaml文件中修改相应的加密信息即可,而且volume形式支持动态更新。
也就是说你更改了secret的值后执行kubectl apply -f secret.yaml,在pod中也能够查看到新的值。相应的,如果
使用了kubectl edit secret mysec 那么也能看到已经修改后的加密值。
env的形式使用secret:
kubectl explain po.spec.containers.env  
vim pod-env.yaml
apiVersion: v1
kind: Pod
metadata:
 name: mypod1
sepc:
 containers:
 - name: busybox
   image: busybox
   imagePullPolicy: IfNotPresent
   args:
   - /bin/sh
   - -c
   - echo 1;sleep 500
   env:
   - name: MYSQL_ROOT_PASSWORD
  valueFrom:
   secretKeyRef:
    name: mysec
    key: "mypass"
   - name: MYSQL_USER
     valueFrom:
   secretKeyRef:
    name: mysec
    key: "name"
    
kubectl apply -f pod-env.yaml
kubectl exec -it mypod1 sh
执行printenv,就能够看到你设置的环境变量和其对应的值了(明文)。
但是需要注意的是环境变量是不支持动态更新的,环境变量一旦建立就无法动态更新。
configMap管理配置
secret可以为pod提供密码、token、密钥等敏感数据,对于一些非敏感数据,如应用的配置信息,则可以使用configMap
configMap的使用和创建方式和secret非常类似,主要不同的是数据以明文的形式存放。
configMap的使用
1、volumes
2、env
编写yaml文件
vim cmap.yaml
apiVerison: v1
kind: ConfigMap
metadata:
 name:mycm
data:
 name: ken
 mima: ken123
kubectl apply -f cmap.yaml
kubectl get cm
kubectl describe cm mycm  #可以查看到以明文形式存放的数据
使用env示例:
vim cm-env.yaml
apiVersion: v1
kind: Pod
metadata:
 name: mypod2
sepc:
 containers:
 - name: busybox
   image: busybox
   imagePullPolicy: IfNotPresent
   args:
   - /bin/sh
   - -c
   - echo 1;sleep 500
   env:
   - name: MYSQL_ROOT_PASSWORD
     valueFrom:
   configMapKeyRef:
    name: mycm
    key: "mima"
   - name: MYSQL_USER
  valueFrom:
   configMapKeyRef:
    name: mycm
    key: "name"
kubectl apply -f cm-env.yaml
kubectl get po
kubectl exec mypod2 printenv   #打印出相应的env变量可以看到。
k8s监控
weave scope——在docker的相关博文已经提到过这款可视化的监控软件,实际上也可以用于k8s
它提供了至上而下的集群基础设施和应用的完整视图,用户可以轻松对分布式的容器化应用进行实时的监控和问题诊断。
安装weave scope:
kubectl apply -f "https://cloud.weave.works/k8s/scope.yaml?k8s-version=$(kubectl version | base64 | tr -d '\n')&k8s-service-type=NodePort"
kubectl get ns  #可以查看到一个名为weave的namespace
kubectl get ds -n weave   #发现每个节点上都运行一个daemon,也就是weave scope 的agent
在每台node上执行docker ps 也可以查看。
kubectl get svc -n weave  #可以看到从外网访问该pod的端口映射,因为在安装的时候使用了k8s-service-type=NodePort参数
kubectl get po -n weave  #发现都是running状态即可
使用网络的时候要使用flannel网络
kubectl get po -n kube-system   #可以查看到使用的网络类型
然后通过浏览器打开就能够打开相应的监控web视图。
 
posted @ 2019-10-13 18:26  假如菜鸟不是鸟  阅读(345)  评论(0编辑  收藏  举报