Secret 解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Spec中。Secret 可以以 Volume 或者环境变量的方式使用

Secret 有三种类型

Service Account:用来访问 Kubernetes API,由 Kubernetes 自动创建,并且会自动挂载到 Pod 的 /run/secrets/kubernetes.io/serviceaccount 目录中
Opaque:base64编码格式的Secret,用来存储密码、密钥等
kubernetes.io/dockerconfigjson:用来存储私有 docker registry 的认证信息

使用方式

1)、将 Secret 挂载到 Volume 中
  1. apiVersion: v1
  2. kind: Secret
  3. metadata:
  4.   name: mysecret         #secret的name
  5. type: Opaque      #指定为base64编码格式
  6. data:
  7.   password: MWYyZDFlMmU2N2Rm
  8.   username: YWRtaW4=
apiVersion: v1
kind: Pod
metadata:
  labels:
    name: secret-test
  name: secret-test
spec:
  volumes:
  - name: secrets
    secret:                    #secret使用方案
      secretName: mysecret       #使用secret的name
  containers:
  - image: hub.atguigu.com/library/nginx:latest
    name: db
    volumeMounts:
    - name: secrets
      mountPath: "/etc/secrets"
      readOnly: true

2)、将 Secret 导出到环境变量中
apiVersion: v1
kind: Deployment
metadata:
  name: pod-deployment
spec:
  replicas: 2
  template:
    metadata:
      labels:
        app: pod-deployment
    spec:
      containers:
      - name: pod-1
        image: hub.atguigu.com/library/nginx:latest
        ports:
        - containerPort: 80
        env:
        - name: TEST_USER       #设置为环境变量名
          valueFrom:
            secretKeyRef:
              name: mysecret
              key: username
        - name: TEST_PASSWORD
          valueFrom:
            secretKeyRef:
              name: mysecret
              key: password