Kubernetes 之 Secret
Kubernetes 之 Secret
Secret 的定义
Secret 解决了密码、token、秘钥等敏感数据的配置问题,它避免了把这些敏感数据直接暴露在镜像或者 Pod 的配置文件中。但是它只是一种相对安全的策略,我们还是可以在容器内找到这些信息。
Secret 的认证方式
| 认证方式 | 描述 |
|---|---|
| Generic | 用来给通用字符串进行加密 |
| TLS | 用来加密 HTTPS、SSH 等密钥 |
| Docker Registry | 用来加密 Docker 仓库登录凭证 |
Secret 的使用
Secret 也存在多种加密类型,我们用其最常见的Base64加密方式Opaque。
apiVersion: v1
kind: Secret
metadata:name: secret-mysql
type: Opaque
data:MYSQL_ROOT_PASSWORD: Q2hhbmdlTWU=
root@k8s-master1:~# kubectl describe secret/secret-mysql
Name: secret-mysql
Namespace: default
Labels: <none>
Annotations: <none>Type: OpaqueData
====
MYSQL_ROOT_PASSWORD: 8 bytes
apiVersion: v1
kind: Pod
metadata:name: pod-secret
spec:containers:- name: secret-testimage: busyboxcommand: [ "/bin/sh", "-c", "sleep 3600" ]env:- name: MYSQL_ROOT_PASSWORDvalueFrom:secretKeyRef:name: secret-mysqlkey: MYSQL_ROOT_PASSWORDvolumeMounts:- name: volume-secretmountPath: /etc/mysqlvolumes:- name: volume-secretsecret:secretName: secret-mysqlrestartPolicy: Neverroot@k8s-master1:~# kubectl exec -it pod-secret -- /bin/sh
/ # env
KUBERNETES_PORT=tcp://10.96.0.1:443
KUBERNETES_SERVICE_PORT=443
HOSTNAME=pod-secret
SHLVL=1
HOME=/root
MYSQL_ROOT_PASSWORD=ChangeMe
TERM=xterm
KUBERNETES_PORT_443_TCP_ADDR=10.96.0.1
PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
KUBERNETES_PORT_443_TCP_PORT=443
KUBERNETES_PORT_443_TCP_PROTO=tcp
KUBERNETES_PORT_443_TCP=tcp://10.96.0.1:443
KUBERNETES_SERVICE_PORT_HTTPS=443
KUBERNETES_SERVICE_HOST=10.96.0.1
PWD=/
/ # cat /etc/mysql/MYSQL_ROOT_PASSWORD
ChangeMe
/ #