kubernetes之secret - 使用secret - 《kubernetes集群》

在 Pod 中使用 Secret 文件
将 Secret 键名映射到特定路径
Secret 文件权限
使用来自卷中的 Secret 值
挂载的 Secret 会被自动更新
使用来自环境变量的 Secret 值
不可更改的 Secret
详细说明

Secret 可以作为数据卷被挂载，或作为环境变量暴露出来以供 Pod 中的容器使用。它们也可以被系统的其他部分使用，而不直接暴露在 Pod 内。例如，它们可以保存凭据，系统的其他部分将用它来代表你与外部系统进行交互。

在 Pod 中使用 Secret 文件

在 Pod 中使用存放在卷中的 Secret：

创建一个 Secret 或者使用已有的 Secret。多个 Pod 可以引用同一个 Secret。
修改你的 Pod 定义，在 spec.volumes[] 下增加一个卷。可以给这个卷随意命名，它的 spec.volumes[].secret.secretName 必须是 Secret 对象的名字。
将 spec.containers[].volumeMounts[] 加到需要用到该 Secret 的容器中。指定 spec.containers[].volumeMounts[].readOnly = true 和 spec.containers[].volumeMounts[].mountPath 为你想要该 Secret 出现的尚未使用的目录。
修改你的镜像并且／或者命令行，让程序从该目录下寻找文件。 Secret 的 data 映射中的每一个键都对应 mountPath 下的一个文件名。

这是一个在 Pod 中使用存放在挂载卷中 Secret 的例子：

apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: mypod
    image: redis
    volumeMounts:
    - name: foo
      mountPath: "/etc/foo"
      readOnly: true
  volumes:
  - name: foo
    secret:
      secretName: mysecret

您想要用的每个 Secret 都需要在 spec.volumes 中引用。

如果 Pod 中有多个容器，每个容器都需要自己的 volumeMounts 配置块，但是每个 Secret 只需要一个 spec.volumes。

您可以打包多个文件到一个 Secret 中，或者使用的多个 Secret，怎样方便就怎样来。

将 Secret 键名映射到特定路径

我们还可以控制 Secret 键名在存储卷中映射的的路径。你可以使用 spec.volumes[].secret.items 字段修改每个键对应的目标路径：

apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: mypod
    image: redis
    volumeMounts:
    - name: foo
      mountPath: "/etc/foo"
      readOnly: true
  volumes:
  - name: foo
    secret:
      secretName: mysecret
      items:
      - key: username
        path: my-group/my-username

将会发生什么呢：

username Secret 存储在 /etc/foo/my-group/my-username 文件中而不是 /etc/foo/username 中。
password Secret 没有被映射

如果使用了 spec.volumes[].secret.items，只有在 items 中指定的键会被映射。要使用 Secret 中所有键，就必须将它们都列在 items 字段中。所有列出的键名必须存在于相应的 Secret 中。否则，不会创建卷。

Secret 文件权限

你还可以指定 Secret 将拥有的权限模式位。如果不指定，默认使用 0644。你可以为整个 Secret 卷指定默认模式；如果需要，可以为每个密钥设定重载值。

例如，您可以指定如下默认模式：

apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: mypod
    image: redis
    volumeMounts:
    - name: foo
      mountPath: "/etc/foo"
  volumes:
  - name: foo
    secret:
      secretName: mysecret
      defaultMode: 256

之后，Secret 将被挂载到 /etc/foo 目录，而所有通过该 Secret 卷挂载所创建的文件的权限都是 0400。

请注意，JSON 规范不支持八进制符号，因此使用 256 值作为 0400 权限。如果你使用 YAML 而不是 JSON，则可以使用八进制符号以更自然的方式指定权限。

注意，如果你通过 kubectl exec 进入到 Pod 中，你需要沿着符号链接来找到所期望的文件模式。例如，下面命令检查 Secret 文件的访问模式：

kubectl exec mypod -it sh

cd /etc/foo
ls -l
输出类似于：

total 0
lrwxrwxrwx 1 root root 15 May 18 00:18 password -> ..data/password
lrwxrwxrwx 1 root root 15 May 18 00:18 username -> ..data/username

沿着符号链接，可以查看文件的访问模式：

cd /etc/foo/..data
ls -l
输出类似于：

total 8
-r-------- 1 root root 12 May 18 00:18 password
-r-------- 1 root root  5 May 18 00:18 username

你还可以使用映射，如上一个示例，并为不同的文件指定不同的权限，如下所示：

apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: mypod
    image: redis
    volumeMounts:
    - name: foo
      mountPath: "/etc/foo"
  volumes:
  - name: foo
    secret:
      secretName: mysecret
      items:
      - key: username
        path: my-group/my-username
        mode: 511

在这里，位于 /etc/foo/my-group/my-username 的文件的权限值为 0777。由于 JSON 限制，必须以十进制格式指定模式，即 511。

请注意，如果稍后读取此权限值，可能会以十进制格式显示。

使用来自卷中的 Secret 值

在挂载了 Secret 卷的容器内，Secret 键名显示为文件名，并且 Secret 的值使用 base-64 解码后存储在这些文件中。这是在上面的示例容器内执行的命令的结果：

ls /etc/foo/
输出类似于：

username
password
cat /etc/foo/username
输出类似于：

admin
cat /etc/foo/password
输出类似于：

1f2d1e2e67df

容器中的程序负责从文件中读取 secret。

挂载的 Secret 会被自动更新

当已经存储于卷中被使用的 Secret 被更新时，被映射的键也将终将被更新。组件 kubelet 在周期性同步时检查被挂载的 Secret 是不是最新的。但是，它会使用其本地缓存的数值作为 Secret 的当前值。

缓存的类型可以使用 KubeletConfiguration 结构中的 ConfigMapAndSecretChangeDetectionStrategy 字段来配置。它可以通过 watch 操作来传播（默认），基于 TTL 来刷新，也可以将所有请求直接重定向到 API 服务器。因此，从 Secret 被更新到将新 Secret 被投射到 Pod 的那一刻的总延迟可能与 kubelet 同步周期 + 缓存传播延迟一样长，其中缓存传播延迟取决于所选的缓存类型。对应于不同的缓存类型，该延迟或者等于 watch 传播延迟，或者等于缓存的 TTL，或者为 0。

说明：使用 Secret 作为子路径卷挂载的容器不会收到 Secret 更新。
以环境变量的形式使用 Secrets
将 Secret 作为 Pod 中的环境变量使用：

创建一个 Secret 或者使用一个已存在的 Secret。多个 Pod 可以引用同一个 Secret。
修改 Pod 定义，为每个要使用 Secret 的容器添加对应 Secret 键的环境变量。使用 Secret 键的环境变量应在 env[x].valueFrom.secretKeyRef 中指定要包含的 Secret 名称和键名。
更改镜像并／或者命令行，以便程序在指定的环境变量中查找值。
这是一个使用来自环境变量中的 Secret 值的 Pod 示例：

apiVersion: v1
kind: Pod
metadata:
  name: secret-env-pod
spec:
  containers:
  - name: mycontainer
    image: redis
    env:
      - name: SECRET_USERNAME
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: username
      - name: SECRET_PASSWORD
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: password
  restartPolicy: Never

使用来自环境变量的 Secret 值

在一个以环境变量形式使用 Secret 的容器中，Secret 键表现为常规的环境变量，其中包含 Secret 数据的 base-64 解码值。这是从上面的示例在容器内执行的命令的结果：

echo $SECRET_USERNAME
输出类似于：

admin
echo $SECRET_PASSWORD
输出类似于：

1f2d1e2e67df

Secret 更新之后对应的环境变量不会被更新
如果某个容器已经在通过环境变量使用某 Secret，对该 Secret 的更新不会被容器马上看见，除非容器被重启。有一些第三方的解决方案能够在 Secret 发生变化时触发容器重启。

不可更改的 Secret

FEATURE STATE: Kubernetes v1.21 [stable]
Kubernetes 的特性不可变的 Secret 和 ConfigMap 提供了一种可选配置，可以设置各个 Secret 和 ConfigMap 为不可变的。对于大量使用 Secret 的集群（至少有成千上万各不相同的 Secret 供 Pod 挂载），禁止变更它们的数据有下列好处：

防止意外（或非预期的）更新导致应用程序中断
通过将 Secret 标记为不可变来关闭 kube-apiserver 对其的监视，从而显著降低 kube-apiserver 的负载，提升集群性能。
这个特性通过 ImmutableEmphemeralVolumes 特性门控来控制，从 v1.19 开始默认启用。你可以通过将 Secret 的 immutable 字段设置为 true 创建不可更改的 Secret。例如：

apiVersion: v1
kind: Secret
metadata:
  ...
data:
  ...
immutable: true

说明：
一旦一个 Secret 或 ConfigMap 被标记为不可更改，撤销此操作或者更改 data 字段的内容都是不可能的。只能删除并重新创建这个 Secret。现有的 Pod 将维持对已删除 Secret 的挂载点 - 建议重新创建这些 Pod。

使用 imagePullSecret
imagePullSecrets 字段中包含一个列表，列举对同一名字空间中的 Secret 的引用。你可以使用 imagePullSecrets 将包含 Docker（或其他）镜像仓库密码的 Secret 传递给 kubelet。kubelet 使用此信息来替你的 Pod 拉取私有镜像。关于 imagePullSecrets 字段的更多信息，请参考 PodSpec API 文档。

手动指定 imagePullSecret
你可以阅读容器镜像文档以了解如何设置 imagePullSecrets。

设置自动附加 imagePullSecrets
您可以手动创建 imagePullSecret，并在 ServiceAccount 中引用它。使用该 ServiceAccount 创建的任何 Pod 和默认使用该 ServiceAccount 的 Pod 将会将其的 imagePullSecret 字段设置为服务帐户的 imagePullSecret 值。有关该过程的详细说明，请参阅将 ImagePullSecrets 添加到服务帐户。

详细说明

限制
Kubernetes 会验证 Secret 作为卷来源时所给的对象引用确实指向一个类型为 Secret 的对象。因此，Secret 需要先于任何依赖于它的 Pod 创建。

Secret API 对象处于某名字空间中。它们只能由同一命名空间中的 Pod 引用。

每个 Secret 的大小限制为 1MB。这是为了防止创建非常大的 Secret 导致 API 服务器和 kubelet 的内存耗尽。然而，创建过多较小的 Secret 也可能耗尽内存。更全面得限制 Secret 内存用量的功能还在计划中。

kubelet 仅支持从 API 服务器获得的 Pod 使用 Secret。这包括使用 kubectl 创建的所有 Pod，以及间接通过副本控制器创建的 Pod。它不包括通过 kubelet —manifest-url 标志，—config 标志或其 REST API 创建的 Pod（这些不是创建 Pod 的常用方法）。

以环境变量形式在 Pod 中使用 Secret 之前必须先创建 Secret，除非该环境变量被标记为可选的。 Pod 中引用不存在的 Secret 时将无法启动。

使用 secretKeyRef 时，如果引用了指定 Secret 不存在的键，对应的 Pod 也无法启动。

对于通过 envFrom 填充环境变量的 Secret，如果 Secret 中包含的键名无法作为合法的环境变量名称，对应的键会被跳过，该 Pod 将被允许启动。不过这时会产生一个事件，其原因为 InvalidVariableNames，其消息中包含被跳过的无效键的列表。下面的示例显示一个 Pod，它引用了包含 2 个无效键 1badkey 和 2alsobad。

kubectl get events
输出类似于：

LASTSEEN   FIRSTSEEN   COUNT     NAME            KIND      SUBOBJECT                         TYPE      REASON
0s         0s          1         dapi-test-pod   Pod                                         Warning   InvalidEnvironmentVariableNames   kubelet, 127.0.0.1      Keys [1badkey, 2alsobad] from the EnvFrom secret default/mysecret were skipped since they are considered invalid environment variable names.

Secret 与 Pod 生命周期的关系
通过 API 创建 Pod 时，不会检查引用的 Secret 是否存在。一旦 Pod 被调度，kubelet 就会尝试获取该 Secret 的值。如果获取不到该 Secret，或者暂时无法与 API 服务器建立连接， kubelet 将会定期重试。kubelet 将会报告关于 Pod 的事件，并解释它无法启动的原因。一旦获取到 Secret，kubelet 将创建并挂载一个包含它的卷。在 Pod 的所有卷被挂载之前， Pod 中的容器不会启动。