当前位置: 首页 > news >正文

k8s应用机密信息与配置管理(九)--技术流ken

news 来源:原创 2024/4/27 10:37:42

 

secret

 

应用启动过程中可能需要一些敏感信息,比如访问数据库的用户名密码或者秘钥。将这些信息直接保存在容器镜像中显然不妥,Kubernetes 提供的解决方案是 Secret。

Secret 会以密文的方式存储数据,避免了直接在配置文件中保存敏感信息。Secret 会以 Volume 的形式被 mount 到 Pod,容器可通过文件的方式使用 Secret 中的敏感数据;此外,容器也可以环境变量的方式使用这些数据。

Secret 可通过命令行或 YAML 创建。比如希望 Secret 中包含如下信息:

 

用户名 admin

密码 123456

 

创建 Secret

有四种方法创建 Secret:

 

1. 通过 --from-literal:

kubectl create secret generic mysecret --from-literal=username=admin --from-literal=password=123456

每个 --from-literal 对应一个信息条目。

 

2. 通过 --from-file:

echo -n admin > ./username
echo -n 123456 > ./password
kubectl create secret generic mysecret --from-file=./username --from-file=./password

每个文件内容对应一个信息条目。

 

3. 通过 --from-env-file:

cat << EOF > env.txt
username=admin
password=123456
EOF
kubectl create secret generic mysecret --from-env-file=env.txt
文件 env.txt 中每行 Key=Value 对应一个信息条目。

 

4. 通过 YAML 配置文件:

 

文件中的敏感数据必须是通过 base64 编码后的结果。

 

[root@ken ~]# echo -n admin | base64
YWRtaW4=
[root@ken ~]# echo -n 123456 | base64
MTIzNDU2

 

执行 kubectl apply 创建 Secret

[root@ken ~]# kubectl apply -f mysecret.yml
secret/mysecret created

 

查看secret

 

第一步:通过kubectl get secret查看

[root@ken ~]# kubectl get secret mysecret
NAME       TYPE     DATA   AGE
mysecret   Opaque   2      99s

 

第二步:显示有两个数据条目,kubectl describe secret 查看条目的 Key:

[root@ken ~]# kubectl describe secret mysecret
Name:         mysecret
Namespace:    default
Labels:       <none>
Annotations:  
Type:         Opaque

Data
====
password:  6 bytes
username:  5 bytes

 

第三步:如果还想查看 Value,可以用 kubectl edit secret mysecret:

[root@ken ~]# kubectl edit secret mysecret
# Please edit the object below. Lines beginning with a '#' will be ignored,
# and an empty file will abort the edit. If an error occurs while saving this file will be
# reopened with the relevant failures.
#
apiVersion: v1
data:
  password: MTIzNDU2
  username: YWRtaW4=
kind: Secret
metadata:
  annotations:
    kubectl.kubernetes.io/last-applied-configuration: |
      {"apiVersion":"v1","data":{"password":"MTIzNDU2","username":"YWRtaW4="},"kind":"Secret","metadata":{"annotations":{},"name":"mysecret","namespace":"default"}}
  creationTimestamp: "2019-01-30T12:28:34Z"
  name: mysecret
  namespace: default
  resourceVersion: "111466"
  selfLink: /api/v1/namespaces/default/secrets/mysecret
  uid: 8f86e1f4-248a-11e9-9172-000c292d5bb8
type: Opaque

 

第四步:然后通过 base64 将 Value 反编码:

[root@ken ~]# echo -n MTIzNDU2 | base64 --decode
123456

[root@ken ~]# echo -n YWRtaW4= | base64 --decode
admin

 

volume 方式使用 Secret

 

Pod 可以通过 Volume 或者环境变量的方式使用 Secret

 

第一步:Pod 的配置文件如下所示:

① 定义 volume foo,来源为 secret mysecret。

② 将 foo mount 到容器路径 /etc/foo,可指定读写权限为 readOnly。

 

第二步:创建 Pod 并在容器中读取 Secret:

[root@ken ~]# kubectl apply -f mypod.yml
pod/mypod created
[root@ken ~]# kubectl exec -it mypod sh
/ # ls /etc/foo
password  username
/ # cat /etc/foo/password 
/ # cat /etc/foo/password 
123456/ # 
/ # cat /etc/foo/username 
admin/ #

可以看到,Kubernetes 会在指定的路径 /etc/foo 下为每条敏感数据创建一个文件,文件名就是数据条目的 Key,这里是 /etc/foo/username /etc/foo/passwordValue 则以明文存放在文件中。

 

第三步:我们也可以自定义存放数据的文件名,比如将配置文件改为:

这时数据将分别存放在 /etc/foo/my-group/my-username 和 /etc/foo/my-group/my-password 中。

 

以 Volume 方式使用的 Secret 支持动态更新:Secret 更新后,容器中的数据也会更新。

 

第四步:将 password 更新为 abcdefbase64 编码为 YWJjZGVm

更新 Secret。

[root@ken ~]# kubectl apply -f mysecret.yml
secret/mysecret configured

 

第五步:几秒钟后,新的 password 会同步到容器。

[root@ken ~]# kubectl exec -it mypod sh
/ # ls /etc/foo
password  username

/ # cat /etc/foo/password 
abcdef/ #

 

ConfigMap 管理配置

 

Secret 可以为 Pod 提供密码、Token、私钥等敏感数据;对于一些非敏感数据,比如应用的配置信息,则可以用 ConfigMap。

 

ConfigMap 的创建和使用方式与 Secret 非常类似,主要的不同是数据以明文的形式存放。

与 Secret 一样,ConfigMap 也支持四种创建方式:

 

1. 通过 --from-literal:

kubectl create configmap myconfigmap --from-literal=config1=xxx --from-literal=config2=yyy

每个 --from-literal 对应一个信息条目。

 

2. 通过 --from-file:

echo -n xxx > ./config1
echo -n yyy > ./config2
kubectl create configmap myconfigmap --from-file=./config1 --from-file=./config2

每个文件内容对应一个信息条目。

 

3. 通过 --from-env-file:

cat << EOF > env.txt
config1=xxx
config2=yyy
EOF
kubectl create configmap myconfigmap --from-env-file=env.txt
文件 env.txt 中每行 Key=Value 对应一个信息条目。

 

4. 通过 YAML 配置文件:

 


文件中的数据直接以明文输入。

与 Secret 一样,Pod 也可以通过 Volume 或者环境变量的方式使用 Secret。

 

Volume 方式:

 

 

大多数情况下,配置信息都以文件形式提供,所以在创建 ConfigMap 时通常采用 --from-file 或 YAML 方式,读取 ConfigMap 时通常采用 Volume 方式。

 

与 Secret 一样,Volume 形式的 ConfigMap 也支持动态更新。

 

转载于:https://www.cnblogs.com/kenken2018/p/10338859.html

相关文章:

  • 如何使用 JavaScript 解析 URL
  • patchwork.ffmpeg.org 里面未被选中的优秀代码
  • c# 设计模式
  • Spark in action on Kubernetes - Playground搭建与架构浅析
  • __setitem__,__getitem,__delitem__的作用
  • MQ框架的比较
  • 更好用的集群限流功能,Sentinel 发布 v1.4.2
  • Promise面试题,控制异步流程
  • opencv 增强现实(二):特征点匹配
  • CentOS 7 root口令恢复
  • [UOJ430]line
  • JavaScript 复习之 Object对象的相关方法
  • Fundebug计费标准解释:事件数是如何定义的?
  • mysql的备份脚本
  • mysql 数据库四种事务隔离级别
  • 2017 前端面试准备 - 收藏集 - 掘金
  • classpath对获取配置文件的影响
  • docker python 配置
  • ES10 特性的完整指南
  • Flannel解读
  • niucms就是以城市为分割单位,在上面 小区/乡村/同城论坛+58+团购
  • Spark学习笔记之相关记录
  • UMLCHINA 首席专家潘加宇鼎力推荐
  • 从零开始的webpack生活-0x009:FilesLoader装载文件
  • 关于 Cirru Editor 存储格式
  • 深入浅出webpack学习(1)--核心概念
  • 实现菜单下拉伸展折叠效果demo
  • 世界编程语言排行榜2008年06月(ActionScript 挺进20强)
  • 通过来模仿稀土掘金个人页面的布局来学习使用CoordinatorLayout
  • Oracle Portal 11g Diagnostics using Remote Diagnostic Agent (RDA) [ID 1059805.
  • 如何在招聘中考核.NET架构师
  • ​iOS实时查看App运行日志
  • ​虚拟化系列介绍(十)
  • #数学建模# 线性规划问题的Matlab求解
  • #我与Java虚拟机的故事#连载14:挑战高薪面试必看
  • (06)Hive——正则表达式
  • (10)工业界推荐系统-小红书推荐场景及内部实践【排序模型的特征】
  • (6)【Python/机器学习/深度学习】Machine-Learning模型与算法应用—使用Adaboost建模及工作环境下的数据分析整理
  • (done) ROC曲线 和 AUC值 分别是什么?
  • (PWM呼吸灯)合泰开发板HT66F2390-----点灯大师
  • (附源码)ssm户外用品商城 毕业设计 112346
  • (三维重建学习)已有位姿放入colmap和3D Gaussian Splatting训练
  • (四)鸿鹄云架构一服务注册中心
  • (转)JVM内存分配 -Xms128m -Xmx512m -XX:PermSize=128m -XX:MaxPermSize=512m
  • (转)MVC3 类型“System.Web.Mvc.ModelClientValidationRule”同时存在
  • (转)树状数组
  • .360、.halo勒索病毒的最新威胁:如何恢复您的数据?
  • .dwp和.webpart的区别
  • .md即markdown文件的基本常用编写语法
  • .Mobi域名介绍
  • .MyFile@waifu.club.wis.mkp勒索病毒数据怎么处理|数据解密恢复
  • .NET 5种线程安全集合
  • .NET Core 将实体类转换为 SQL(ORM 映射)
  • .Net 应用中使用dot trace进行性能诊断
  • .NET 中 GetProcess 相关方法的性能