一佳互联
虚拟化容器,大数据,DBA,中间件,监控。

Kubernetes secret使用详解

21 12月
作者:admin|分类:容器虚拟化

Secret 存在意义

K8s configmap可以注入pod之内成为环境变量或者是配置文件,这些都是以明文方式保存,如果碰到密码这种的以明文方式保存就不行了,Secret更加倾向于保存要加密的文件。 

Secret 解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Spec中。Secret 可以以 Volume 或者环境变量的方式使用。密码这种可以先存储到secret里面,然后挂载到Pod里面即可。

Secret 有三种类型:

  • Service Account:用来访问 Kubernetes API,由 Kubernetes 自动创建,并且会自动挂载到 Pod 的/run/secrets/kubernetes.io/serviceaccount目录中
  • Opaque:base64编码格式的Secret,用来存储密码、密钥等
  • kubernetes.io/dockerconfigjson:用来存储私有 docker registry 的认证信息

Service Account:对于有些pod来说需要和apiserver进行交互,比如flanned,coredns这些需要和api进行交互,kube api不是谁都可以过来访问的,因为它是一切访问的入口。所以pod的访问方式就是挂载Service Account

Opaque:这种方式就是加密的方式存储,加密程度并不高,很容易就进行解密

kubernetes.io/dockerconfigjson: 如果有私有仓库那么下载的时候需要认证,这些认证方案是由docker仓库去完成的,这个可以保存私有仓库认证的用户名密码信息

 

Service Account

Service Account 用来访问 Kubernetes API,由 Kubernetes 自动创建,并且会自动挂载到 Pod的/run/secrets/kubernetes.io/serviceaccount目录中

$ kubectl run nginx --image nginxdeployment "nginx" created

$ kubectlget podsNAME                     READY     STATUS    RESTARTS   AGEnginx-3137573019-md1u2   1/1       Running   0          13s

$ kubectl exec nginx-3137573019-md1u2 ls /run/secrets/kubernetes.io/serviceaccount 
ca.crt namespace token

Sa是不需要我们去创建管理的,是由k8s自动创建的

[root@k8s-master ~]# kubectl exec kube-flannel-ds-amd64-lb6vm -it  -n kube-system -- /bin/sh
/ # cd /run/secrets/kubernetes.io/serviceaccount/
/run/secrets/kubernetes.io/serviceaccount # ls
ca.crt (证书信息,双向认证)    namespace  token(认证的密钥信息)
/run/secrets/kubernetes.io/serviceaccount # cat namespace 
kube-system

上面这三个组成了sa,这三个使得flanneld可以访问api达成一致

 

Opaque Secret

1.创建说明

Opaque 类型的数据是一个 map 类型,要求 value 是 base64 编码格式,如果要进行用户名密码的保存,那么先要将其以base64位加密,再将加密的值保存在文件当中

[root@k8s-master ~]# echo -n "admin" | base64
YWRtaW4=
[root@k8s-master ~]# echo -n "1f2d1e2e67df" | base64
MWYyZDFlMmU2N2Rm

只要字符串一样加密的结果就是一样的
[root@k8s-master ~]# echo -n "YWRtaW4=" | base64 -d
Admin
解密

创建一个secret

[root@k8s-master secret]# cat test.yml 
apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  password: MWYyZDFlMmU2N2Rm
  username: YWRtaW4=
[root@k8s-master secret]# kubectl get secret
NAME                  TYPE                                  DATA   AGE
default-token-dfmvc   kubernetes.io/service-account-token   3      42d
mysecret              Opaque                                2      48s

[root@k8s-master ~]# kubectl describe secret mysecret
Name:         mysecret
Namespace:    default
Labels:       <none>
Annotations:  <none>

Type:  Opaque

Data
====
username:  5 bytes
password:  12 bytes

这里有默认的default-token-dfmvc,其实在任何的名称空间下都有

[root@k8s-master secret]# kubectl get secret -n kube-system
NAME                          TYPE                                  DATA   AGE
default-token-hdkh5           kubernetes.io/service-account-token   3      42d

K8s会为每个名称空间下都创建sa用于pod挂载

 2.使用方式

1.将 Secret 挂载到 Volume 中

[root@k8s-master secret]# cat mytest.yml
apiVersion: v1
kind: Pod
metadata:
    name: secret-test
spec:
  volumes:
  - name: secrets
    secret:
      secretName: mysecret
  containers: 
  - name: busybox
    image: busybox
    command: ["/bin/sh","-c","sleep 3600s"]
    volumeMounts:    
    - name: secrets      
      mountPath: "/etc/secrets"      
      readOnly: true
[root@k8s-master secret]# kubectl exec -it secret-test -- /bin/sh
/ # cd /etc/secrets/
/etc/secrets # ls
password  username

/etc/secrets # cat password 
1f2d1e2e67df
/etc/secrets # cat username 
Admin

可以看到在创建的时候是加密保存的,在使用的时候会自动完成解密

2、将 Secret 导出到环境变量中

[root@k8s-master secret]# kubectl apply -f mytest1.yml 
pod/secret-test-env created
[root@k8s-master secret]# cat mytest1.yml 
apiVersion: v1
kind: Pod
metadata:
    name: secret-test-env
spec:
  containers: 
  - name: busybox
    image: busybox
    command: ["/bin/sh","-c","sleep 3600s"]
    env:
    - name: TEST_USER
      valueFrom:
        secretKeyRef:
          name: mysecret
          key: username
    - name: TEST_PASSWORD
      valueFrom:
        secretKeyRef:
          name: mysecret
          key: password
[root@k8s-master secret]# kubectl exec -it secret-test-env -- /bin/sh
/ # echo $TEST_USER
admin
/ # echo $TEST_PASSWORD
1f2d1e2e67df

 

Secret保存docker仓库认证信息  harbor

对于公司内部的项目, 我们不可能使用公有开放的镜像仓库, 一般情况可能会花钱买 docker私仓服务, 或者说自己在服务器上搭建自己的私仓, 但不管怎样, 我们如何让k8s能够拉取私有仓库的镜像 

 使用 Kuberctl 创建 docker registry 认证的 secret,格式如下

kubectl create secret docker-registry myregistrykey --docker-server=DOCKER_REGISTRY_SERVER --docker-username=DOCKER_USER --docker-password=DOCKER_PASSWORD --docker-email=DOCKER_EMAIL
[root@k8s-master ~]# kubectl create secret docker-registry myregistrykey --docker-server=hub.test.com --docker-username=admin --docker-password=Harbor12345 --docker-email=test@163.com
secret/myregistrykey created
[root@k8s-master ~]# kubectl describe secret myregistrykey 
Name:         myregistrykey
Namespace:    default
Labels:       <none>
Annotations:  <none>

Type:  kubernetes.io/dockerconfigjson

Data
====
.dockerconfigjson:  129 bytes

其中:
regsecret: 指定密钥的键名称, 可自行定义
--docker-server: 指定docker仓库地址
--docker-username: 指定docker仓库账号
--docker-password: 指定docker仓库密码
--docker-email: 指定邮件地址(选填)

 yml文件加入密钥参数

在创建 Pod 的时候,通过imagePullSecrets来引用刚创建的 `myregistrykey`

apiVersion: v1
kind: Pod
metadata:  
  name: foo
spec:  
  containers:    
    - name: foo      
    image: reg.harbor.com/library:v1  
  imagePullSecrets:    
  - name: myregistrykey

其中imagePullSecrets是声明拉取镜像时需要指定密钥, myregistrykey 必须和上面生成密钥的键名一致, 另外检查一下pod和密钥是否在同一个namespace, 之后k8s便可以拉取镜像

更多文章推荐

历史上的今天
12月
21
浏览464 评论0
返回
目录 返回
首页
Kubernetes PV 动态供给 Kubernetes 持久化存储 PV PVC