Kubernetes 是一个流行的开源容器编排工具,它的核心思想是将容器应用与基础设施解耦合,以实现高效的部署、扩展、维护和管理。在 Kubernetes 中,Secret 是一种安全存储方式,它用于存储敏感信息,例如密码、证书等。
Secret 的类型
Kubernetes 中有三种类型的 Secret:
- Opaque:用于存储任意类型的数据,它不会对数据进行解析或转换。
- kubernetes.io/service-account-token:用于存储服务账户的访问 Token,它会自动从 Kubernetes API Server 中获取密钥。
- kubernetes.io/dockerconfigjson:用于存储私有 Docker Registry 的凭证,它会将凭证编码成 JSON 格式并存储。
创建 Secret
在 Kubernetes 中创建一个 Secret 的过程非常简单,可以通过命令行工具 kubectl 来完成。以下是一个创建 Opaque 类型 Secret 的例子:
apiVersion: v1 kind: Secret metadata: name: my-secret type: Opaque data: username: dGVzdA== password: cGFzc3dvcmQ=
在上面的例子中,我们创建了一个名为 my-secret 的 Opaque 类型 Secret,它包含两个属性 username 和 password。这两个属性的值是经过 Base64 编码的,这是为了保护敏感信息不被直接暴露。如果要查看 Secret 的明文内容,可以使用以下命令:
kubectl get secret my-secret -o yaml
在 Pod 中使用 Secret
创建好 Secret 后,就可以在 Pod 中使用它了。以下是一个使用 Secret 的例子:
-- -------------------- ---- -------
----------- --
----- ---
---------
----- ------
-----
-----------
- ----- ------------
------ --------
----
- ----- -----------
----------
-------------
----- ---------
---- --------
- ----- -----------
----------
-------------
----- ---------
---- --------在这个例子中,我们在 Pod 中定义了两个环境变量 MY_USERNAME 和 MY_PASSWORD,它们分别从 my-secret Secret 的属性 username 和 password 中获取值。这样,我们就可以在容器中使用这些敏感信息了。
通过 Volume 使用 Secret
除了可以在环境变量中使用 Secret,我们还可以在 Pod 中定义一个 Volume 并将 Secret 挂载到这个 Volume 下。这样,容器就可以通过本地文件系统读取 Secret 的值了。以下是一个使用 Volume 的例子:
-- -------------------- ---- -------
----------- --
----- ---
---------
----- ------
-----
-----------
- ----- ------------
------ --------
-------------
- ----- ---------
---------- --------------
--------- ----
--------
- ----- ---------
-------
----------- ---------在这个例子中,我们在 Pod 中定义了一个名为 my-volume 的 Volume,并将 my-secret Secret 挂载到这个 Volume 中的 /etc/my-secret 目录下。容器可以通过这个目录下的文件读取 Secret 的值。
总结
在 Kubernetes 中使用 Secret 可以帮助我们安全地存储和管理敏感信息,例如密码、证书等。我们可以在 Pod 中使用环境变量或 Volume 来读取 Secret 的值,以便容器应用访问这些敏感信息。
如果想要了解更多 Kubernetes 中 Secret 的使用方法,可以参考 Kubernetes 官方文档。
来源:JavaScript中文网 ,转载请注明来源 https://www.javascriptcn.com/post/645709b9968c7c53b09e4378