2. 程式人生 > >Kubernetes(k8s)中文文件 名詞解釋:Secret_Kubernetes中文社群

Kubernetes(k8s)中文文件 名詞解釋:Secret_Kubernetes中文社群

阿新 發佈:2018-12-27

Secret

Secret解決了密碼、token、金鑰等敏感資料的配置問題,而不需要把這些敏感資料暴露到映象或者Pod Spec中。Secret可以以Volume或者環境變數的方式使用。

Secret有三種類型:

  • Service Account:用來訪問Kubernetes API,由Kubernetes自動建立,並且會自動掛載到Pod的/run/secrets/kubernetes.io/serviceaccount目錄中;
  • Opaque:base64編碼格式的Secret,用來儲存密碼、金鑰等;
  • kubernetes.io/dockerconfigjson:用來儲存私有docker registry的認證資訊。

Opaque Secret

Opaque型別的資料是一個map型別,要求value是base64編碼格式:

$ echo -n "admin" | base64
YWRtaW4=
$ echo -n "1f2d1e2e67df" | base64
MWYyZDFlMmU2N2Rm

secrets.yml

apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  password: MWYyZDFlMmU2N2Rm
  username: YWRtaW4=

接著,就可以建立secret了:kubectl create -f secrets.yml

建立好secret之後,有兩種方式來使用它:

  • 以Volume方式
  • 以環境變數方式

將Secret掛載到Volume中

apiVersion: v1
kind: Pod
metadata:
  labels:
    name: db
  name: db
spec:
  volumes:
  - name: secrets
    secret:
      secretName: mysecret
  containers:
  - image: gcr.io/my_project_id/pg:v1
    name: db
    volumeMounts
 
:
    - name: secrets
      mountPath: "/etc/secrets"
      readOnly: true
    ports:
    - name: cp
      containerPort: 5432
      hostPort: 5432

將Secret匯出到環境變數中

apiVersion: extensions/v1beta1
kind: Deployment
metadata:
  name: wordpress-deployment
spec:
  replicas: 2
  strategy:
      type: RollingUpdate
  template:
    metadata:
      labels:
        app: wordpress
        visualize: "true"
    spec:
      containers:
      - name: "wordpress"
        image: "wordpress"
        ports:
        - containerPort: 80
        env:
        - name: WORDPRESS_DB_USER
          valueFrom:
            secretKeyRef:
              name: mysecret
              key: username
        - name: WORDPRESS_DB_PASSWORD
          valueFrom:
            secretKeyRef:
              name: mysecret
              key: password

kubernetes.io/dockerconfigjson

可以直接用kubectl命令來建立用於docker registry認證的secret:

$ kubectl create secret docker-registry myregistrykey --docker-server=DOCKER_REGISTRY_SERVER --docker-username=DOCKER_USER --docker-password=DOCKER_PASSWORD --docker-email=DOCKER_EMAIL
secret "myregistrykey" created.

也可以直接讀取~/.docker/config.json的內容來建立:

$ cat ~/.docker/config.json | base64
$ cat > myregistrykey.yaml <<EOF
apiVersion: v1
kind: Secret
metadata:
  name: myregistrykey
data:
  .dockerconfigjson: UmVhbGx5IHJlYWxseSByZWVlZWVlZWVlZWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWxsbGxsbGxsbGxsbGxsbGxsbGxsbGxsbGxsbGxsbGx5eXl5eXl5eXl5eXl5eXl5eXl5eSBsbGxsbGxsbGxsbGxsbG9vb29vb29vb29vb29vb29vb29vb29vb29vb25ubm5ubm5ubm5ubm5ubm5ubm5ubm5ubmdnZ2dnZ2dnZ2dnZ2dnZ2dnZ2cgYXV0aCBrZXlzCg==
type: kubernetes.io/dockerconfigjson
EOF
$ kubectl create -f myregistrykey.yaml

在建立Pod的時候,通過imagePullSecrets來引用剛建立的myregistrykey:

apiVersion: v1
kind: Pod
metadata:
  name: foo
spec:
  containers:
    - name: foo
      image: janedoe/awesomeapp:v1
  imagePullSecrets:
    - name: myregistrykey

Service Account

Service Account用來訪問Kubernetes API,由Kubernetes自動建立,並且會自動掛載到Pod的/run/secrets/kubernetes.io/serviceaccount目錄中。

$ kubectl run nginx --image nginx
deployment "nginx" created
$ kubectl get pods
NAME                     READY     STATUS    RESTARTS   AGE
nginx-3137573019-md1u2   1/1       Running   0          13s
$ kubectl exec nginx-3137573019-md1u2 ls /run/secrets/kubernetes.io/serviceaccount
ca.crt
namespace
token

原文:https://github.com/rootsongjc/kubernetes-handbook/blob/master/architecture/Secret.md

K8S中文社群微信公眾號

相關推薦

Kubernetesk8s中文 名詞解釋Secret_Kubernetes中文社群

Secret Secret解決了密碼、token、金鑰等敏感資料的配置問題,而不需要把這些敏感資料暴露到映象或者Pod Spec中。Secret可以以Volume或者環境變數的方式使用。 Secret有三種類型: Service Account:用來訪問Kubernetes API,由Kubern

Kubernetesk8s中文 名詞解釋DaemonSet_Kubernetes中文社群

DaemonSet DaemonSet保證在每個Node上都執行一個容器副本,常用來部署一些叢集的日誌、監控或者其他系統管理應用。典型的應用包括: 日誌收集,比如fluentd,logstash等 系統監控,比如Prometheus Node Exporter,collectd,New Relic

Kubernetesk8s中文 名詞解釋Ingress_Kubernetes中文社群

Ingress 術語 在本篇文章中你將會看到一些在其他地方被交叉使用的術語,為了防止產生歧義,我們首先來澄清下。 節點:Kubernetes叢集中的伺服器; 叢集:Kubernetes管理的一組伺服器集合; 邊界路由器:為區域網和Internet路由資料包的路由器,執行防火牆保護區域網絡; 叢集網

Kubernetesk8s中文 名詞解釋PodPreset_Kubernetes中文社群

PodPreset PodPreset用來給指定標籤的Pod注入額外的資訊,如環境變數、儲存卷等。這樣,Pod模板就不需要為每個Pod都顯式設定重複的資訊。 開啟PodPreset 開啟API settings.k8s.io/v1alpha1/podpreset 開啟准入控制 PodPreset

Kubernetesk8s中文 名詞解釋Namespace_Kubernetes中文社群

Namespace Namespace是對一組資源和物件的抽象集合,比如可以用來將系統內部的物件劃分為不同的專案組或使用者組。常見的pods, services, replication controllers和deployments等都是屬於某一個namespace的(預設是default),而n

Kubernetesk8s中文 名詞解釋ThirdPartyResources_Kubernetes中文社群

ThirdPartyResources ThirdPartyResources是一種無需改變程式碼就可以擴充套件Kubernetes API的機制,可以用來管理自定義物件。每個ThirdPartyResource都包含以下屬性 metadata:跟kubernetesmetadata一樣 kind

Kubernetesk8s中文 名詞解釋Node_Kubernetes中文社群

Node Node是Pod真正執行的主機,可以物理機,也可以是虛擬機器。為了管理Pod,每個Node節點上至少要執行container runtime(比如docker或者rkt)、kubelet和kube-proxy服務。 Node管理 不像其他的資源(如Pod和Namespace),Node本

Kubernetesk8s中文 名詞解釋ReplicaSets_Kubernetes中文社群

什麼是ReplicaSet? ReplicaSet是下一代複本控制器。ReplicaSet和 Replication Controller之間的唯一區別是現在的選擇器支援。Replication Controller只支援基於等式的selector(env=dev或environment!=qa),

Kubernetesk8s中文 名詞解釋CronJob_Kubernetes中文社群

CronJob CronJob即定時任務,就類似於Linux系統的crontab,在指定的時間週期執行指定的任務。在Kubernetes 1.5,使用CronJob需要開啟batch/v2alpha1 API,即–runtime-config=batch/v2alpha1。 CronJob Spec

Kubernetesk8s中文 名詞解釋ConfigMap_Kubernetes中文社群

ConfigMap ConfigMap用於儲存配置資料的鍵值對,可以用來儲存單個屬性,也可以用來儲存配置檔案。ConfigMap跟secret很類似,但它可以更方便地處理不包含敏感資訊的字串。 ConfigMap建立 可以使用kubectl create configmap從檔案、目錄或者key-v

Kubernetesk8s中文 名詞解釋StatefulSet_Kubernetes中文社群

StatefulSet StatefulSet是為了解決有狀態服務的問題(對應Deployments和ReplicaSets是為無狀態服務而設計),其應用場景包括 穩定的持久化儲存,即Pod重新排程後還是能訪問到相同的持久化資料,基於PVC來實現 穩定的網路標誌,即Pod重新排程後其PodName

Kubernetesk8s中文 名詞解釋PV/PVC/StorageClass_Kubernetes中文社群

介紹 PersistentVolume(PV)是叢集中已由管理員配置的一段網路儲存。 叢集中的資源就像一個節點是一個叢集資源。 PV是諸如卷之類的卷外掛,但是具有獨立於使用PV的任何單個pod的生命週期。 該API物件捕獲儲存的實現細節,即NFS,iSCSI或雲提供商特定的儲存系統。 Persist

Kubernetesk8s中文 名詞解釋Resource Quotas_Kubernetes中文社群

Resource Quotas 資源配額(Resource Quotas)是用來限制使用者資源用量的一種機制。 它的工作原理為 資源配額應用在Namespace上,並且每個Namespace最多隻能有一個ResourceQuota物件 開啟計算資源配額後,建立容器時必須配置計算資源請求或限制(也可

Kubernetesk8s中文 名詞解釋Network Policy_Kubernetes中文社群

Network Policy Network Policy提供了基於策略的網路控制,用於隔離應用並減少攻擊面。它使用標籤選擇器模擬傳統的分段網路,並通過策略控制它們之間的流量以及來自外部的流量。 在使用Network Policy之前,需要注意 apiserver開啟extensions/v1be

Kubernetesk8s中文 名詞解釋Service Account_Kubernetes中文社群

Service Account Service account是為了方便Pod裡面的程序呼叫Kubernetes API或其他外部服務而設計的。它與User account不同 User account是為人設計的,而service account則是為Pod中的程序呼叫Kubernetes AP

Kubernetesk8s中文 名詞解釋Security Context和PSP_Kubernetes中文社群

Security Context Security Context的目的是限制不可信容器的行為,保護系統和其他容器不受其影響。 Kubernetes提供了三種配置Security Context的方法: Container-level Security Context:僅應用到指定的容器 Pod-

Kubernetesk8s中文 名詞解釋 Replication Controller_Kubernetes中文社群

什麼是Replication Controller Replication Controller 保證了在所有時間內,都有特定數量的Pod副本正在執行,如果太多了,Replication Controller就殺死幾個,如果太少了,Replication Controller會新建幾個,和直接建立的

Kubernetesk8s中文 名稱解釋Deployment_Kubernetes中文社群

簡述 Deployment為Pod和ReplicaSet提供了一個宣告式定義(declarative)方法,用來替代以前的ReplicationController來方便的管理應用。典型的應用場景包括: 定義Deployment來建立Pod和ReplicaSet 滾動升級和回滾應用 擴容和縮容 暫

Kubernetesk8s中文 名詞解釋 Volumes_Kubernetes中文社群

容器中的磁碟的生命週期是短暫的,這就帶來了一系列的問題,第一,當一個容器損壞之後,kubelet 會重啟這個容器,但是檔案會丟失-這個容器會是一個全新的狀態,第二,當很多容器在同一Pod中執行的時候,很多時候需要資料檔案的共享。Kubernete Volume解決了這個問題 Background背景

Kubernetesk8s中文 名詞解釋 Labels_Kubernetes中文社群

標籤 標籤其實就一對 key/value ,被關聯到物件上,比如Pod,標籤的使用我們傾向於能夠標示物件的特殊特點,並且對使用者而言是有意義的(就是一眼就看出了這個Pod是尼瑪資料庫),但是標籤對核心系統是沒有直接意義的。標籤可以用來劃分特定組的物件(比如,所有女的),標籤可以在建立一個物件的時候直