思享工具箱

k8s应用机密信息与配置管理(九)

摘要:
秘密应用程序在启动期间可能需要一些敏感信息,例如用户名、密码或访问数据库的密钥。将此信息直接存储在容器图像中显然是不合适的。Kubernetes提供的解决方案是Secret。Secret将数据存储在密文中,避免将敏感信息直接保存在配置文件中。例如,您希望密码包含以下信息:用户名admin密码123456创建密码有四种方法:1。通过–from literal:kubectlcreatesecretgenericmysecret--from literal=username=admin--from literature=password=12346每个–from literature对应一个信息条目。

secret

应用启动过程中可能需要一些敏感信息,比如访问数据库的用户名密码或者秘钥。将这些信息直接保存在容器镜像中显然不妥,Kubernetes 提供的解决方案是 Secret。

Secret 会以密文的方式存储数据,避免了直接在配置文件中保存敏感信息。Secret 会以 Volume 的形式被 mount 到 Pod,容器可通过文件的方式使用 Secret 中的敏感数据;此外,容器也可以环境变量的方式使用这些数据。

Secret 可通过命令行或 YAML 创建。比如希望 Secret 中包含如下信息:

用户名 admin

密码 123456

创建 Secret

有四种方法创建 Secret:

1. 通过 –from-literal:

kubectl create secret generic mysecret --from-literal=username=admin --from-literal=password=123456

每个 –from-literal 对应一个信息条目。

2. 通过 –from-file:

echo -n admin > ./username
echo -n 123456 > ./password
kubectl create secret generic mysecret --from-file=./username --from-file=./password

每个文件内容对应一个信息条目。

3. 通过 –from-env-file:

cat << EOF > env.txt
username=admin
password=123456
EOF
kubectl create secret generic mysecret --from-env-file=env.txt
文件 env.txt 中每行 Key=Value 对应一个信息条目。

4. 通过 YAML 配置文件:

k8s应用机密信息与配置管理(九)第1张k8s应用机密信息与配置管理(九)第2张

文件中的敏感数据必须是通过 base64 编码后的结果。

[root@ken ~]# echo  admin | base64
YWRtaW4=
[root@ken ~]# echo  123456 | base64
MTIzNDU2

执行 kubectl apply 创建 Secret:

[root@ken ~]# kubectl apply -f mysecret.yml
secret/mysecret created

查看secret

第一步:通过kubectl get secret查看

[root@ken ~]# kubectl get secret mysecret
NAME       TYPE     DATA   AGE
mysecret   Opaque   2      99s

第二步:显示有两个数据条目,kubectl describe secret 查看条目的 Key:

 
[root@ken ~]# kubectl describe secret mysecret
Name:         mysecret
Namespace:    default
Labels:       <none>
Annotations:  
Type:         Opaque

Data
====
password:  6 bytes
username:  5 bytes
 

第三步:如果还想查看 Value,可以用 kubectl edit secret mysecret:

 
[root@ken ~]# kubectl edit secret mysecret
# Please edit the object below. Lines beginning with a '#' will be ignored,
# and an empty file will abort the edit. If an error occurs while saving this file will be
# reopened with the relevant failures.
#
apiVersion: v1
data:
  password: MTIzNDU2
  username: YWRtaW4=
kind: Secret
metadata:
  annotations:
    kubectl.kubernetes.io/last-applied-configuration: |
      {"apiVersion":"v1","data":{"password":"MTIzNDU2","username":"YWRtaW4="},"kind":"Secret","metadata":{"annotations":{},"name":"mysecret","namespace":"default"}}
  creationTimestamp: "2019-01-30T12:28:34Z"
  name: mysecret
  namespace: default
  resourceVersion: "111466"
  selfLink: /api/v1/namespaces/default/secrets/mysecret
  uid: 8f86e1f4-248a-11e9-9172-000c292d5bb8
type: Opaque
 

第四步:然后通过 base64 将 Value 反编码:

[root@ken ~]# echo  MTIzNDU2 | base64 --decode
123456

[root@ken ~]# echo  YWRtaW4= | base64 --decode
admin

volume 方式使用 Secret

Pod 可以通过 Volume 或者环境变量的方式使用 Secret

第一步:Pod 的配置文件如下所示:

k8s应用机密信息与配置管理(九)第3张k8s应用机密信息与配置管理(九)第4张

① 定义 volume foo,来源为 secret mysecret。

② 将 foo mount 到容器路径 /etc/foo,可指定读写权限为 readOnly。

第二步:创建 Pod 并在容器中读取 Secret:

 
[root@ken ~]# kubectl apply -f mypod.yml
pod/mypod created
[root@ken ~]# kubectl exec -it mypod sh
/ # ls /etc/foo
password  username
/ # cat /etc/foo/password 
/ # cat /etc/foo/password 
123456/ # 
/ # cat /etc/foo/username 
admin/ #
 

可以看到,Kubernetes 会在指定的路径 /etc/foo 下为每条敏感数据创建一个文件,文件名就是数据条目的 Key,这里是 /etc/foo/username 和 /etc/foo/password,Value 则以明文存放在文件中。

第三步:我们也可以自定义存放数据的文件名,比如将配置文件改为:

k8s应用机密信息与配置管理(九)第5张k8s应用机密信息与配置管理(九)第6张

这时数据将分别存放在 /etc/foo/my-group/my-username 和 /etc/foo/my-group/my-password 中。

以 Volume 方式使用的 Secret 支持动态更新:Secret 更新后,容器中的数据也会更新。

第四步:将 password 更新为 abcdef,base64 编码为 YWJjZGVm

k8s应用机密信息与配置管理(九)第7张k8s应用机密信息与配置管理(九)第8张

更新 Secret。

[root@ken ~]# kubectl apply -f mysecret.yml
secret/mysecret configured

第五步:一段时间后十几秒到几分钟,新的 password 会同步到容器。

[root@ken ~]# kubectl exec -it mypod sh
/ # ls /etc/foo
password  username

/ # cat /etc/foo/password 
abcdef/ #

ConfigMap 管理配置

Secret 可以为 Pod 提供密码、Token、私钥等敏感数据;对于一些非敏感数据,比如应用的配置信息,则可以用 ConfigMap。

ConfigMap 的创建和使用方式与 Secret 非常类似,主要的不同是数据以明文的形式存放。

与 Secret 一样,ConfigMap 也支持四种创建方式:

1. 通过 –from-literal:

kubectl create configmap myconfigmap --from-literal=config1=xxx --from-literal=config2=yyy

每个 –from-literal 对应一个信息条目。

2. 通过 –from-file:

echo -n xxx > ./config1
echo -n yyy > ./config2
kubectl create configmap myconfigmap --from-file=./config1 --from-file=./config2

每个文件内容对应一个信息条目。

3. 通过 –from-env-file:

cat << EOF > env.txt
config1=xxx
config2=yyy
EOF
kubectl create configmap myconfigmap --from-env-file=env.txt
文件 env.txt 中每行 Key=Value 对应一个信息条目。

4. 通过 YAML 配置文件:配置文件data里面不能是纯数字
k8s应用机密信息与配置管理(九)第9张k8s应用机密信息与配置管理(九)第10张

5.查看configmap

[root@ken-master ~]# kubectl get configmap
NAME       DATA   AGE
myconfig   2      117s

6.查看configmap中的详细信息

[root@ken-master ~]# kubectl get configmap
NAME       DATA   AGE
myconfig   2      117s
[root@ken-master ~]# kubectl describe configmap myconfig
Name:         myconfig
Namespace:    default
Labels:       <none>
Annotations:  kubectl.kubernetes.io/last-applied-configuration:
                {"apiVersion":"v1","data":{"password":"kenken13","username":"ken"},"kind":"ConfigMap","metadata":{"annotations":{},"name":"myconfig","name...

Data
====
username:
----
ken
password:
----
kenken13
Events:  <none>


文件中的数据直接以明文输入。

7.与 Secret 一样,Pod 也可以通过 Volume 或者环境变量的方式使用 Secret。

Volume 方式:
k8s应用机密信息与配置管理(九)第11张

k8s应用机密信息与配置管理(九)第12张

大多数情况下,配置信息都以文件形式提供,所以在创建 ConfigMap 时通常采用 –from-file 或 YAML 方式,读取 ConfigMap 时通常采用 Volume 方式。

标签:#k8s#volume | 浏览:184 | 发布日期:

免责声明:文章转载自《k8s应用机密信息与配置管理(九)》仅用于学习参考。如对内容有疑问,请及时联系本站处理。

上篇QT5中如何使用QFtp类(这个类虽然没有被收录,但一直在更新)linux下使用source insight下篇

宿迁高防,2C2G15M,22元/月;香港BGP,2C5G5M,25元/月 雨云优惠码:MjYwNzM=

相关文章

K8s集群搭建(一)

第3篇K8S集群部署一、利用ansible部署kubernetes准备:集群介绍本系列文档致力于提供快速部署高可用k8s集群的工具,并且也努力成为k8s实践、使用的参考书;基于二进制方式部署和利用ansible-playbook实现自动化:既提供一键安装脚本,也可以分步执行安装各个组件,同时讲解每一步主要参数配置和注意事项;二进制方式部署有助于理解系统各组...

K8S 上部署 Redis-cluster 三主三从 集群

介绍 Redis代表REmote DIctionary Server是一种开源的内存中数据存储,通常用作数据库,缓存或消息代理。它可以存储和操作高级数据类型,例如列表,地图,集合和排序集合。 由于Redis接受多种格式的密钥,因此可以在服务器上执行操作,从而减少了客户端的工作量。 它仅将磁盘用于持久性,而将数据库完全保存在内存中。Redis是一种流行的数据...

k8s中节点级别的日志

容器化应用程序写入到 stdout 和 stderr 中的任何信息,都将被容器引擎重定向到某个地方。例如,Docker 容器引擎将 stdout 和 stderr 这两个输出流重定向到 logging driver ,Kubernetes的默认配置中,最终 logging driver 最终把日志写入了一个 json 格式的文件。 Docker 的 js...

k8s学习笔记之五:volume,PV ,PVC

一,volume Ⅰ、emptyDir(pod消失就消失) 简介:emptyDir Volume是在Pod分配到node时创建的,从他的名称就能看得出来,它的出事内容为空,并且无需指定宿主机上对应的目录文件, 因为这是kubernetes自动分配的一个目录,当Pod从node上移除时,emptyDir中的数据也会被永久删除emptyDir的用途有: 例子1...

【Devops】 发布一个Python项目(Flask服务后端)到K8S环境

前言: 有一段时间没有更新博客了,今天给大家分享一下如何将一个python项目成功部署并运行到K8S环境,特做一个记录 准备工作 1. 编写一个python项目,我这边提供的一个Flask服务,提供接口的mock能力。(项目里面编写如下文件) dockerfile jenkinsfile deploy文件夹(内含: deploy.yaml   servi...

【原创】K8S使用ceph-csi持久化存储之RBD

一、集群和组件版本 K8S集群:1.17.3+Ceph集群:Nautilus(stables)Ceph-CSI:release-v3.1snapshotter-controller:release-2.1Linue kernel:3.10.0-1127.19.1.el7.x86_64 + 镜像版本: docker pull quay.io/k8scsi/c...

最新文章

随机推荐

思享工具箱导航