Kubernetes存储之Secret

Secret解决了密码、token、密钥等敏感数据的配置问题，而不需要把这些敏感数据暴露到镜像或者Pod Spec中，Secret可以以Volume或者环境变量的方式使用

Secret有三种类型：

Service Account：用来访问Kubernetes API，有Kubernetes自动创建，并且会自动挂载到Pod的/run/secrets/kubernetes.io/serviceaccount 目录中
Opaque：base64编码格式的Secret，用来存储密码、密钥等
kubernetes.io/dockerconfigjson:用来存储私有docker registry的认证信息

Service Account

Service Account用来访问Kubernetes API，有Kubernetes自动创建，并且会自动挂载到Pod的/run/secrets/kubernetes.io/serviceaccount 目录中

$ kubectl run nginx --image nginx
deployment "nginx" created
$ kubectl get pods
...
$ kubectl exec nginx-xxx ls /run/secrets/kubernetes.io/serviceaccount
ca.crt
namespace
token

Opaque Secret

1.创建说明

$ echo -n "admin" | base64
YWRtaW4=
$ echo -n "1f2d1e2e67df" | base64
MWYyZDFlMmU2N2Rm

secrets.yaml

apiVersion: v1
kind: Secret
metadata:name: mysecret
type: Opaque
data:password: MWYyZDFlMmU2N2Rmusername: YWRtaW4=

2.使用方式

2.1 将Secret挂载到Volume中

apiVersion: v1
kind: Pod
metadata:labels:name: secret-testname: secret-test
spec:volumes:- name: secretssecret:secretName: mysecretcontainers:- image: myapp:v1name: dbvolumeMounts:- name: secretsmountPath: "/etc/secrets"readOnly: true

2.2 将Secret导入到环境变量中

apiVersion: extensions/v1beta1
kind: Deployment
metadata:name: pod-deployment
spec:replicas: 2template:metadata:labels:app: pod-deploymentspec:containers:- name: pod-1image: myapp:v1ports:- containerPort: 80env:- name: TEST_USERvalueFrom:secretKeyRef:name: mysecretkey: username- name: TEST_PASSWORDvalueFrom:secreKeyRef:name: mysecretkey: password

Kubernetes.io/dockerconfigjson

使用Kubectl创建docker registry认证的secret

$ kubectl create docker-registry myregistrykey --docker-server=hub.example.com --docker-username=admin --docker-password=Harbor12345 --docker-email=Yuan_sr@163.com

在创建Pod的时候，通过imagePullSecrets 来引用刚创建的myregistrykey

apiVersion: v1
kind: Pod
metadata:name: foo
spec:containers:- name: fooimage: wst/example:v1 #私有仓库中的镜像imagePullSecrets:- name: myregistrykey

Kubernetes存储之Secret相关推荐

Kubernetes 存储（Configmap、Secret、Volume、PV-PVC）
Kubernetes 存储一.ConfigMap 1.ConfigMap描述信息 2.ConfigMap的创建 3.Pod中使用ConfigMap 4.ConfigMap的热更新二.Secret ...
运维实操——kubernetes（九）存储之Secret配置管理Service Account、Opaque、dockerconfigjson
存储之Secret配置管理Service Account.Opaque.dockerconfigjson 1.什么是Secret? 2.Service Account 3.Opaque (1)从文件中 ...
课时 21：Kubernetes 存储架构及插件使用（阚俊宝）
本文将主要分享以下三方面的内容: Kubernetes 存储体系架构: Flexvolume 介绍及使用: CSI 介绍及使用. Kubernetes 存储体系架构引例: 在 Kubernetes ...
从零开始入门 K8s | Kubernetes 存储架构及插件使用
作者 | 阚俊宝阿里巴巴高级技术专家本文整理自<CNCF x Alibaba 云原生技术公开课>第 21 讲. 关注"阿里巴巴云原生"公众号,回复关键词**&quo ...
第7章：Kubernetes存储
Kubernetes存储 1.为什么需要存储卷? 容器部署过程中一般有以下三种数据: ·启动时需要的初始数据,可以是配置文件 ·启动过程中产生的临时数据,该临时数据需要多个容器间共享 ·启动过程中产生 ...
深入浅出聊聊Kubernetes存储（二）：搞定持久化存储
回顾在本系列文章的上一篇中,我们讲到了PV,PVC,Storage Class以及Provisioner 简单回顾一下: PV在最一开始是设计成了一个需要管理员预先分配的存储块.引入Storage ...
KUBERNETES存储之PERSISTENT VOLUMES简介
KUBERNETES存储之PERSISTENT VOLUMES简介简介管理存储和管理计算有着明显的不同.PersistentVolume子系统给用户和管理员提供了一套API,从而抽象出存储是如何提 ...
kubernetes存储：local，openEBS，rook ceph
文章目录 Local 存储(PV) 概念 hostPath Local PV storageClassName指定延迟绑定动作 pv的删除流程 OpenEBS存储控制平面 OpenEBS PV Pr ...
Kubernetes存储之Heketi管理GlusterFS
Kubernetes存储之Heketi管理GlusterFS GlusterFS是一个可扩展,分布式文件系统,集成来自多台服务器上的磁盘存储资源到单一全局命名空间,以提供共享文件存储特点:可以扩展到几 ...

Kubernetes存储之Secret

Service Account

Opaque Secret

Kubernetes.io/dockerconfigjson

Kubernetes存储之Secret相关推荐

最新文章

热门文章