和创建其他类型的 API 对象(Pod、Deployment、StatefulSet、ConfigMap 等)一样,您也可以先在 yaml 文件中定义好 Secret,然后通过 kubectl apply -f 命令创建。此时,您可以通过如下两种方式在 yaml 文件中定义 Secret:

  • data:使用 data 字段时,取值的内容必须是 base64 编码的
  • stringData:使用 stringData 时,更为方便,您可以直接将取值以明文的方式写在 yaml 文件中

    在 yaml 中定义 data

  • 假设您要保存 username=admin 和 password=1f2d1e2e67df 到 Secret 中,请先将数据的值转化为 base64 编码,执行如下命令: ```bash echo -n ‘admin’ | base64 YWRtaW4= echo -n ‘1f2d1e2e67df’ | base64 MWYyZDFlMmU2N2Rm
  2. - 创建 secret.yaml 文件,内容如下所示:
  3. ```yaml
  4. apiVersion: v1
  5. kind: Secret
  6. metadata:
  7.   name: mysecret
  8. type: Opaque
  9. data:
  10.   username: YWRtaW4=
  11.   password: MWYyZDFlMmU2N2Rm

  • 执行命令 kubectl apply -f ./secret.yaml 输出结果如下所示: ```yaml secret “mysecret” created
  1. <br />    此时 Secret 创建成功
  2. <a name="wzyOx"></a>
  3. ## 在 yaml 中定义 stringData
  5. ---
  7. 有时,您并不想先将用户名和密码转换为 base64 编码之后再创建 Secret,则,您可以通过定义 stringData 来达成,此时 stringData 中的取值部分将被 apiserver 自动进行 base64 编码之后再保存。
  9. - 创建文件 secret.yaml,内容如下所示:
  10. ```yaml
  11. apiVersion: v1
  12. kind: Secret
  13. metadata:
  14.   name: mysecret
  15. type: Opaque
  16. stringData:
  17.   username: admin
  18.   password: 1f2d1e2e67df

  • 执行命令 kubectl apply -f ./secret.yaml 输出结果如下所示: ```bash secret “mysecret” created
  1. 此时 Secret 创建成功
  3. - 执行命令 kubectl get -f ./secret.yaml -o yaml 输出结果如下所示:
  4. ```yaml
  5. apiVersion: v1
  6. data:
  7.   password: MWYyZDFlMmU2N2Rm
  8.   username: YWRtaW4=
  9. kind: Secret
  10. metadata:
  11.   annotations:
  12.     kubectl.kubernetes.io/last-applied-configuration: |
  13.       {"apiVersion":"v1","kind":"Secret","metadata":{"annotations":{},"name":"mysecret","namespace":"default"},"stringData":{"password":"1f2d1e2e67df","username":"admin"},"type":"Opaque"}
  14.   creationTimestamp: "2019-09-23T14:16:56Z"
  15.   name: mysecret
  16.   namespace: default
  17.   resourceVersion: "10318365"
  18.   selfLink: /api/v1/namespaces/default/secrets/mysecret
  19.   uid: 24602031-e18d-467a-b7fe-0962af8ec8b8
  20. type: Opaque


注意

  • 此时 annotation 中可以看到 password 的明文,这也许并不是您所期望的
  • 输出的 Secret 对象中,stringData 字段不再出现

同时定义了 data 和 stringData

TIP 如果您同时定义了 data 和 stringData,对于两个对象中 key 重复的字段,最终将采纳 stringData 中的 value

  • 创建文件 secret.yaml,该文件同时定义了 data 和 stringData,内容如下所示: ```yaml apiVersion: v1 kind: Secret metadata: name: mysecret type: Opaque data: username: YWRtaW4= stringData: username: administrator
  2. - <br />
  3. - 执行命令 kubectl apply -f ./secret.yaml 输出结果如下所示:
  4. ```bash
  5. secret "mysecret" created

此时 Secret 创建成功

  • 执行命令 kubectl get -f ./secret.yaml -o yaml 输出结果如下所示: ```yaml apiVersion: v1 kind: Secret metadata: creationTimestamp: 2018-11-15T20:46:46Z name: mysecret namespace: default resourceVersion: “7579” uid: 91460ecb-e917-11e8-98f2-025000000001 type: Opaque data: username: YWRtaW5pc3RyYXRvcg==
  1. > <br />**    TIP**此处 YWRtaW5pc3RyYXRvcg== 解码后的值是 administrator
  3. <a name="vwOK1"></a>
  4. ## 
  5. <a name="qvnia"></a>
  6. ## 将配置文件存入 Secret
  8. ---
  10. 假设您的某个应用程序需要从一个配置文件中读取敏感信息,此时,您可以将该文件的内容存入 Secret,再通过数据卷的形式挂载到容器。[挂载方式未完待续]
  12. 例如,您的应用程序需要读取如下配置文件内容:
  13. ```bash
  14. apiUrl: "https://my.api.com/api/v1"
  15. username: user
  16. password: password

您可以使用下面的 secret.yaml 创建 Secret

  1. apiVersion: v1
  2. kind: Secret
  3. metadata:
  4.   name: mysecret
  5. type: Opaque
  6. stringData:
  7.   config.yaml: |-
  8.     apiUrl: "https://my.api.com/api/v1"
  9.     username: user
  10.     password: password
  • 执行命令 kubectl apply -f ./secret.yaml 输出结果如下所示: ```bash secret “mysecret” created
  1. 此时 Secret 创建成功
  3. - 执行命令 kubectl get -f ./secret.yaml -o yaml 输出结果如下所示:
  4. ```yaml
  5. apiVersion: v1
  6. kind: Secret
  7. metadata:
  8.   creationTimestamp: 2018-11-15T20:40:59Z
  9.   name: mysecret
  10.   namespace: default
  11.   resourceVersion: "7225"
  12.   uid: c280ad2e-e916-11e8-98f2-025000000001
  13. type: Opaque
  14. data:
  15.   config.yaml: YXBpVXJsOiAiaHR0cHM6Ly9teS5hcGkuY29tL2FwaS92MSIKdXNlcm5hbWU6IHt7dXNlcm5hbWV9fQpwYXNzd29yZDoge3twYXNzd29yZH19