1. Secret簡介
Secret解決了密碼、token、密鑰等敏感數據的配置問題,而不需要把這些敏感數據暴露到鏡像或者Pod Spec 中。
Secret 可以以以下兩種方式使用:
volume掛載- 環境變量
2. Secret類型
Secret有四種類型:
注:一些教程說只有三種,經過筆者kubectl create secret --help查看,且回顧之前ingress七層代理的知識點,發現其他教程都漏了一種secret是tsl
Service Account
用來訪問Kubernetes API,由Kubernetes 自動創建,並且會自動掛載到Pod的 /run/secrets/kubernetes.io/serviceaccount 目錄中
Opaque
base64編碼格式的Secret,用來存儲密碼、密鑰等.
kubernetes.io/dockerconfigjson
用來存儲私有
docker registry的認證信息
kubernetes.io/tls
用來存儲
tsl證書。一般是用來配合ingress實現https證書的配置,具體見ingress那章
3. Service Account
- 用來訪問
Kubernetes API Service,由Kubernetes 自動創建,並且會自動掛載到Pod的/run/secrets/kubernetes.io/serviceaccount目錄中 - 即不是所有的pod都有權訪問
api service,不然會給api service造成很大的壓力。 service account不需要我們自己管理!
示例
如下,因為kube-proxy肯定會跟api-servie交互,所以查看他的service account
4. Opaque
4.1 Opaque類型說明
Opaque類型的數據是一個 map類型,要求value是base64編碼格式
示例
- 如下是base64編碼和解碼的:
4.2 Opaque創建方式
4.2.1 命令行創建
- 使用字面值創建
- 通過命令行創建不用將value指定為
base64,但是yaml形式必須指定,不然創建會失敗!
kubectl create secret generic my-sec --from-literal=key1=value1
如下,類型為Opaque:
- 使用文件或者文件夾創建
跟configmap一樣,都是使用
--from-file
kubectl create secret generic my-sec --from-file=/一個文件夾或者一個文件
4.2.2 yaml資源清單創建
apiVersion: v1
kind: Secret
metadata:
name: mysecret
type: Opaque
data:
password: MWYyZDF1MmU2N2Rm
username: YWRtaW4=
4.3 Opaque使用方式
4.3.1 將Secret掛載到Volume
- 使用方式跟
configMap差不多
apiVersion: v1
kind: Pod
metadata:
labels:
name: seret-test
name: seret-test
spec:
# volume中導入secret
volumes:
- name: secrets
secret:
secretName: mysecret
containers:
- image: lzw5399/tocgenerator
name: db
# mounts中使用volume中的secret
volumeMounts:
- name: secrets
mountPath: "/etc/secrets"
readOnly: true
4.3.2 將Secret導出到環境變量中
- 使用方式跟
configMap差不多
apiVersion: extensions/v1beta1
kind: Deployment
metadata:
name: pod-deployment
spec:
replicas: 2
template:
metadata:
labels:
app: pod-deployment
spec:
containers:
- name: pod-1
image: lzw5399/tocgenerator
ports:
- containerPort: 80
# 將secret的值賦給環境變量
env:
- name: TEST_USER
valueFrom:
secretKeyRef:
name: mysecret
key: username
- name: TEST_PASSWORD
valueFrom:
secretKeyRef:
name: mysecret
key: password
5. Dockerconfigjson
用來存儲私有docker registry的認證信息
5.1 創建docker-registry類型的secret
kubectl create secret docker-registry myregistrykey --docker-server=hub.codepie.fun --docker-username=baoshu --docker-password=yourpwd --docker-email=baoshu@test.com
如下可以看到,創建出來的類型是kubernetes.io/dockerconfigjson
5.2 yaml中使用dockerconfigjson
apiVersion: v1
kind: Pod
metadata:
name: foo
spec:
containers:
- name: foo
image: lzw5399/tocgenerator
# 引用創建出來的dockerconfigjson
imagePullSecrets:
- name: myregistrykey
6. Tsl
用來存儲tsl證書。一般是用來配合ingress實現https證書的配置,可以參見ingress那篇
6.1 創建tsl
6.1.1 直接指定文件創建
kubectl create secret tls toc-secret --key tls.key --cert tls.crt
6.1.2 以yaml資源清單方式創建
apiVersion: v1
kind: Secret
metadata:
name: mywebsite-secret
data:
tls.crt: **************************
tls.key: **************************
6.2. 使用tsl secret
- 這里演示的是配置
ingress,實現https域名訪問
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
name: tocgenerator-ingress
spec:
tls:
- hosts:
- toc.codepie.fun
# 使用tsl
secretName: toc-secret
rules:
- host: toc.codepie.fun
http:
paths:
- path: /
backend:
serviceName: tocgenerator-svc
servicePort: 80