Secret详解

secret介绍

  1. secret用来保存小片敏感数据的k8s资源,例如密码,token,或者秘钥。
  2. 这类数据当然也可以存放在Pod或者镜像中,
  3. 但是放在Secret中是为了更方便的控制如何使用数据,并减少暴露的风险。
  5. 用户可以创建自己的secret,系统也会有自己的secret
  6. Pod需要先引用才能使用某个secret
  8. Pod2种方式来使用secret
  9. 1. 作为volume的一个域被一个或多个容器挂载
  10. 2. 在拉取镜像的时候被kubelet引用。

secret类型

  1. 內建的Secrets:
  2. ServiceAccount创建的API证书附加的秘钥
  3. k8s自动生成的用来访问apiserverSecret,所有Pod会默认使用这个Secretapiserver通信 
  5. 创建自己的Secret:
  6. 方式1:使用kubectl create secret命令
  7. 方式2yaml文件创建Secret

创建secret

命令方式创建secret

  1. 假如某个Pod要访问数据库,需要用户名密码,分别存放在2个文件中:username.txtpassword.txt
  3. eg
  4. # echo -n 'admin' > ./username.txt
  5. # echo -n '1f2d1e2e67df' > ./password.txt
  7. kubectl create secret指令将用户名密码写到secret中,并在apiserver创建Secret
  8. # kubectl create secret generic db-user-pass --from-file=./username.txt --from-file=./password.txt
  9. 多个文件可以使用多个  --from-file
  11. secret "db-user-pass" created
  13. 查看创建结果
  14. # kubectl get secrets
  15. NAME                  TYPE                      DATA    AGE
  17. db-user-pass      Opaque                     2         51s
  19. # kubectl describe secrets/db-user-pass
  21. Name:       db-user-pass
  23. Namespace:    default
  25. Labels:      <none>
  27. Annotations:   <none>
  29. Type:       Opaque
  30. Data
  31. ====
  32. password.txt:   12 bytes
  33. username.txt:   5 bytes

Yaml方式创建Secret

  1. 创建一个secret.yaml文件,内容用base64编码
  2. # echo -n 'admin' | base64
  3. YWRtaW4=
  5. # echo -n '1f2d1e2e67df' | base64
  6. MWYyZDFlMmU2N2Rm
  9. yaml文件内容
  10. [root@master kubernetes]# cat secret.yaml 
  11. apiVersion: v1
  12. kind: Secret
  13. metadata:
  14.  name: mysecret
  15. type: Opaque
  16. data:
  17.   username: YWRtaW4=
  18.   password: MWYyZDFlMmU2N2Rm 
  19. 创建
  20. [root@master kubernetes]# kubectl  create -f secret.yaml 
  21. secret/mysecret created
  23. 查看
  24. [root@master kubernetes]# kubectl  get secret
  25. NAME                  TYPE                                  DATA   AGE
  26. default-token-cl8gq   kubernetes.io/service-account-token   3      19d
  27. mysecret              Opaque                                2      5m23s
  30. base64解码:
  31. [root@master kubernetes]# echo 'MWYyZDFlMmU2N2Rm'|base64 --decode
  32. 1f2d1e2e67df[

secret查看

  1. [root@master kubernetes]# kubectl   describe  secret mysecret 
  2. Name:         mysecret
  3. Namespace:    default
  4. Labels:       <none>
  5. Annotations:  <none>
  7. Type:  Opaque
  9. Data
  10. ====
  11. password:  12 bytes
  12. username:  5 bytes
  15. 解析Secret中内容
  16. [root@master kubernetes]# kubectl get secret mysecret -o yaml
  17. apiVersion: v1
  18. data:
  19.   password: MWYyZDFlMmU2N2Rm
  20.   username: YWRtaW4=
  21. kind: Secret
  22. metadata:
  23.   creationTimestamp: "2022-09-26T10:57:55Z"
  24.   name: mysecret
  25.   namespace: default
  26.   resourceVersion: "799379"
  27.   selfLink: /api/v1/namespaces/default/secrets/mysecret
  28.   uid: 55829a00-bc2a-4c58-8bac-26c7a46d15de
  29. type: Opaque
  32. [root@master kubernetes]# kubectl  get secret mysecret -o json
  33. {
  34.     "apiVersion": "v1",
  35.     "data": {
  36.         "password": "MWYyZDFlMmU2N2Rm",
  37.         "username": "YWRtaW4="
  38.     },
  39.     "kind": "Secret",
  40.     "metadata": {
  41.         "creationTimestamp": "2022-09-26T10:57:55Z",
  42.         "name": "mysecret",
  43.         "namespace": "default",
  44.         "resourceVersion": "799379",
  45.         "selfLink": "/api/v1/namespaces/default/secrets/mysecret",
  46.         "uid": "55829a00-bc2a-4c58-8bac-26c7a46d15de"
  47.     },
  48.     "type": "Opaque"
  49. }