kubernetes存储-secrets

目录

一、从文件创建

二、编写yaml文件

三、将Secret挂载到Volume中

四、向指定路径映射secret密钥

五、将Secret设置为环境变量

六、存储dockerregistry的认证信息

Kubernetes中的Secrets是用于存储敏感信息的一种对象类型，例如密码、令牌、证书等。Secrets可以以编码、加密或未加密的形式存储。使用Secrets可以保护敏感信息不被直接暴露在Pod定义中，从而增加了应用程序的安全性。

一、从文件创建

echo -n 'admin' > ./username.txtecho -n '123456' > ./password.txtkubectl create secret generic db-user-pass --from-file=./username.txt --from-file=./password.txtkubectl get secrets db-user-pass -o yamlecho MTIzNDU2 | base64 -d

二、编写yaml文件

echo -n 'admin' | base64echo -n '123456' | base64vim mysecret.yamlapiVersion: v1kind: Secretmetadata:name: mysecrettype: Opaquedata:username: YWRtaW4=#必须编码后的值password: MTIzNDU2kubectl apply -f mysecret.yamlkubectl get secrets mysecret -o yaml

三、将Secret挂载到Volume中

vim pod1.yamlapiVersion: v1kind: Podmetadata:name: mysecretspec:containers:- name: nginximage: nginxvolumeMounts:- name: secretsmountPath: "/secret"readOnly: truevolumes:- name: secretssecret:secretName: mysecretkubectl apply-f pod1.yamlkubectl get podkubectl execmysecret -- ls /secretkubectl delete-f pod1.yaml

四、向指定路径映射secret密钥

vim pod2.yamlapiVersion: v1kind: Podmetadata:name: mysecretspec:containers:- name: nginximage: nginxvolumeMounts:- name: secretsmountPath: "/secret"readOnly: truevolumes:- name: secretssecret:secretName: mysecretitems:- key: usernamepath: my-group/my-usernamekubectl apply -f pod2.yamlkubectl execmysecret -- cat /secret/my-group/my-usernamekubectl delete-f pod2.yaml

五、将Secret设置为环境变量

vim pod3.yamlapiVersion: v1kind: Podmetadata:name: secret-envspec:containers:- name: pod3image: busyboxcommand: ["/bin/sh", "-c", "env"]env:- name: SECRET_USERNAMEvalueFrom:secretKeyRef:name: mysecretkey: username- name: SECRET_PASSWORDvalueFrom:secretKeyRef:name: mysecretkey: passwordrestartPolicy: Neverkubectl apply -f pod3.yamlkubectl logs secret-env

六、存储dockerregistry的认证信息

新建私有仓库

kubectl create secret docker-registry myregistrykey --docker-server=reg.westos.org --docker-username=admin --docker-password=123456 --docker-email=yyl@westos.orgvim pod4.yamlapiVersion: v1kind: Podmetadata:name: mypodspec:containers:- name: game2048image: reg.westos.org/westos/game2048imagePullSecrets:- name: myregistrykeykubectl apply -f pod4.yamlkubectl get pod

推荐把registrykey绑定到sa，这样yaml文件中就可以不用指定，更加安全。

kubectl patch serviceaccount default -p '{"imagePullSecrets": [{"name": "myregistrykey"}]}'kubectl describe sa default