k8s——加密管理

Kubenetes的加密管理:

Secret

Secret 解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Spec 中。Secret 可以以 Volume 或者环境变量的方式使用,SECRET会以密文的方式存储,容器通过文件或者变量访问数据,Secret 主要保存的是一些密码等加密的信息.

Secret的创建(1):

[root@k8smaster~]# kubectl create secret generic mysecret --from-literal=username=test --from-literal=password=123456
secret/mysecret created

generic: 从本地 file, directory 或者 literal value 创建一个 secret
–from-literal: 对应一个键值对

查看:

[root@k8smaster~]# kubectl get secrets 
NAME                  TYPE                                  DATA   AGE
default-token-hvq4p   kubernetes.io/service-account-token   3      18d
mysecret              Opaque                                2      33s

详细查看:

[root@k8smaster~]# kubectl describe secrets mysecret 
Name:         mysecret
Namespace:    default
Labels:       <none>
Annotations:  <none>

Type:  Opaque

Data
====
password:  6 bytes
username:  4 bytes

Secret的创建(2):

[root@k8smaster]# echo -n test>username
[root@k8smaster~]# echo -n 123456 > password
[root@k8smaster~]# kubectl create secret generic mysecret1 --from-file=username --from-file=password secret/mysecret1 created

–from-file 指定文件,每个文件都有一个信息条目

Secret的创建(3):

[root@k8smaster]# cat <<EOF> secret.txt
username=test
password=123456
EOF
[root@k8smaster]# kubectlcreatesecretgenericmysecret2 --from-env-file=secret.txt

–from-env-file :指定一个文件

Secret的创建(4):

[root@k8smaster]# kubectl create secret generic mysecret3 --from-literal=username=test --from-literal=password=123456 --dry-run -o yaml > mysecret.yml
[root@k8smaster]# cat mysecret.yml 
apiVersion: v1
data:
  password: TOvb
  username: dGVzdA==
kind: Secret
metadata:
  creationTimestamp: null
  name: mysecret3
[root@k8smaster]# kubectl apply-f mysecret.yml
Pod通过volume的方式使用secret
apiVersion: v1
kind: Pod
metadata:
  name: pod
spec:
  containers:
  - name: pod
    image: busybox
    args:
    - /bin/sh
    - -c
    - sleep 300000000
    volumeMounts:
    - mountPath: /etc/huge
      name: aa
      readOnly: true
  volumes:				
  - name: aa
    secret:
      secretName: mysecret3

定义volume的名字为 使用下面指定的secret

运行并查看:

[root@k8smaster]# kubectl apply -f pod.yml	
[root@k8smaster]# kubectl exec -it pod sh	
/ # cd /etc/huge
cat username 
test
cat password 
123456

Secret还支持动态更新:

[root@k8smaster]# echo -n  abcde | base64
[root@k8smaster]# YWJjZGU=
[root@k8smaster]# cat secret.yml
apiVersion: v1
data:
  password: YWJjZGU=
  username: dGVzdA==
kind: Secret
metadata:
  creationTimestamp: null
  name: mysecret3

执行查看:

[root@k8smaster]# kubectl apply -f secret.yml	
[root@k8smaster]# kubectl exec -it pod sh	
/ # cd /etc/huge
cat password 
abcde
Pod通过环境变量的方式使用secret
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: mypod
    image: busybox
    args:
    - /bin/sh
    - -c
    - sleep 30000000000
    env:
    - name: myuser
      valueFrom:
        secretKeyRef:
          name: mysecret3
          key: username
    - name: mypas
      valueFrom:
        secretKeyRef:
          name: mysecret3
          key: password

运行并查看:

[root@k8smaster]# kubectl apply -f pod.yml
[root@k8smaster]# kubectl exec -it mypod sh
/ # echo $myuser
test
/ # echo $mypas
abc

环境变量的方式不支持动态更新,但是读取很方便

configmap

加密配置文件可以用 configmap,一般情况下配置信息都是文件形式的,用yaml或者 --from-file 比较好

创建 configmap (1):

[root@k8smaster ]# kubectl create configmap myconmap  --from-literal=test=1 --from-literal=test1=2

创建 configmap (2):

[root@k8smaster ]# echo -n 1 > test
[root@k8smaster ]# echo -n 2 > test1
[root@k8smaster ]# kubectl create configmap myconmap1 --from-file=test --from-file=test1

创建 configmap (3):

[root@k8smaster ]# cat <<EOF> envp.txt
test=1
test1=2
EOF
[root@k8smaster ]# kubectl create configmap myconmap2 --from-env-file=envp.txt

创建 configmap (4):

[root@k8smaster ]# kubectl create configmap myconmap2 --from-env-file=envp.txt  --dry-run -o yaml > myconmap.yml
[root@k8smaster ]# cat myconmap.yml
apiVersion: v1
data:
  test: "1"
  test1: "2"
kind: ConfigMap
metadata:
  creationTimestamp: null
  name: myconmap2
Pod通过volume使用configmap:
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: mypod
    image: busybox
    args:
    - /bin/sh
    - -c
    - sleep 300000000000
    volumeMounts:
    - mountPath: /etc/aa
      name: aa
      readOnly: true
  volumes:
    - name: aa
      configMap:
        name: myconmap2

运行并查看:

[root@k8smaster ]# kubectl apply -f pod.yml 
[root@k8smaster ]# kubectl exec -it mypod sh
/ # cd /etc/
cat test
1
cat test1
2
Pod通过环境变量使用configmap
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: mypod
    image: busybox
    args:
    - /bin/sh
    - -c
    - sleep 300000000000
    env:
    - name: myuser
      valueFrom:
        configMapKeyRef:
          name: myconmap3
          key: test
    - name: mypas
      valueFrom:
        configMapKeyRef:
          name: myconmap3
          key: test1

运行并查看:

[root@k8smaster ]# kubectl apply -f pod.yml 
[root@k8smaster ]# kubectl exec -it mypod sh
/ # echo $myuser
1
/ # echo $mypas
2
# docker # 容器 # 运维
Logo
K8S/Kubernetes

K8S/Kubernetes社区为您提供最前沿的新闻资讯和知识内容

更多推荐

【深度】阿里巴巴万级规模 K8s 集群全局高可用体系之美

作者 |  韩堂、柘远、沉醉来源 | 阿里巴巴云原生公众号​前言台湾作家林清玄在接受记者采访的时候,如此评价自己 30 多年写作生涯:“第一个十年我才华横溢,‘贼光闪现’,令周边黯然失色;第二个十年,我终于‘宝光现形’,不再去抢风头,反而与身边的美丽相得益彰;进入第三个十年,繁华落尽见真醇,我进入了‘醇光初现’的阶段,真正体味到了境界之美”。​长夜有穷,真水无香。领略过了 K8s“身在江

avatar K8S/Kubernetes

如何基于 K8s 构建下一代 DevOps 平台?

作者 | 孙健波(天元)导读:当前云原生 DevOps 体系现状如何?面临哪些挑战?如何通过 OAM 解决云原生 DevOps 场景下的诸多问题?云原生开发应用模型 OAM(Open Application Model) 社区核心成员孙健波将为大家一一解答,并分享如何基于 OAM 和 Kubernetes 打造无限能力的下一代 DevOps 平台。什么是 DevOps?为什么基于 Kub

avatar K8S/Kubernetes

k8s 火了!

2020,上云之年,产品云端化成为一种趋势。在一线城市,很多公司都已经构建了自己的私有云环境,比如阿里云、网易云、华为云等。而Kubernetes 作为基于容器编排领域的王者,具备扩展...

avatar K8S/Kubernetes