本文基于kubernetes 1.5.2版本编写
secret
概念
secret资源对象主要目的是保存和处理敏感信息/私密数据,比如密码,OAuth tokens,ssh keys等信息。将这些信息放在secret对象中比直接放在pod或docker image中更安全,也更方便使用。
类型
Opaque任意字符串,默认类型
kubernetes.io/service-account-token:作用于Service Account
kubernetes.io/dockercfg:作用于Docker registry,用户下载docker镜像认证使用
Opaque
创建
文件方式
首先把需要加密的内容实现base64编码
echo -n lykops | base64
bHlrb3Bz
echo -n 1qaz2wsx | base64
MXFhejJ3c3g=
然后写入lykops-secret.yaml
apiVersion: v1
kind: Secret
metadata:
name: lykops-secret
namespace: default
type: Opaque
data:
password: MXFhejJ3c3g=
username: bHlrb3Bz
导入kubectl create -f lykops-secret.yaml
命令行方式
kubectl create secret generic lykops --secret --from-literal=username=lykops --from-literal=password=1qaz2wsx
pod引用
cat << EOF > lykops-secret.yaml
apiVersion: v1
kind: Pod
metadata:
name: lykops-secret-pod
labels:
software: apache
project: lykops
app: lykops-secret-pod
version: v1
spec:
containers:
-name: lykops-secret-pod
image: web:apache
command: ['sh' , '/etc/run.sh']
env:
- name: SECRET_USERNAME
valueFrom:
secretKeyRef:
name: lykops-secret
key: username
- name: SECRET_PASSWORD
valueFrom:
secretKeyRef:
name: lykops-secret
key: password
EOF
kubectl create -f lykops-secret-pod.yaml
测试
进入pod kubectl exec -it lykops-secret-pod /bin/bash env | grep -i '^SECRET'
SECRETUSERNAME=lykops SECRET_PASSWORD=1qaz2wsx
imagePullSecrets
当在需要安全验证的环境中拉取镜像时,需要通过用户名和密码。
apiVersion: v1
kind: Secret
metadata:
name: myregistrykey
namespace: awesomeapps
data:
.dockerconfigjson:UmVhbGx5IHJlYWxseSByZWVlZWVlZWVlZWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWxsbGxsbGxsbGxsbGxsbGxsbGxsbGxsbGxsbGxsbGx5eXl5eXl5eXl5eXl5eXl5eXl5eSBsbGxsbGxsbGxsbGxsbG9vb29vb29vb29vb29vb29vb29vb29vb29vb25ubm5ubm5ubm5ubm5ubm5ubm5ubm5ubmdnZ2dnZ2dnZ2dnZ2dnZ2dnZ2cgYXV0aCBrZXlzCg==
type: kubernetes.io/dockerconfigjson
或者直接通过命令创建
kubectl create secret docker-registry myregistrykey --docker-server=DOCKER_REGISTRY_SERVER --docker-username=DOCKER_USER --docker-password=DOCKER_PASSWORD --docker-email=DOCKER_EMAIL
接下来拉取镜像的时候,就可以使用了
apiVersion: v1
kind: Pod
metadata:
name: foo
namespace: awesomeapps
spec:
containers:
-name: foo
image: janedoe/awesomeapp:v1
imagePullSecrets:
-name: myregistrykey
其实本质上还是kubelet把这个认证放到了docker的目录下面,如下: cat ~/.docker/config.json { "auths": { "10.39.0.118": { "auth": "Y2hlbm1vOmNtMTM4MTE2NjY3ODY=" }, "10.39.0.12:5000": { "auth": "dXNlcjAxOjEyMzQ1YQ==" }, "http://10.39.0.12:5000": { "auth": "dXNlcjAxOjEyMzQ1YQ==" } } }
Service Account
Service Account(以下简称SA)的使用场景:运行在pod里的进程需要调用K8S API以及非K8S API的其它服务。SA并不是给K8S集群的用户使用的,而是给pod里面的进程使用的,它为pod提供必要的身份认证。
如果K8S开启了SA(位于/etc/kubernetes/controller-manager的KUBEADMISSIONCONTROL="--admission-control=NamespaceLifecycle,NamespaceExists,LimitRanger,SecurityContextDeny,ServiceAccount,ResourceQuota"),那么会在每个namespace下面都会创建一个默认的default的SA。
分享到:
相关推荐
python学习资源
jfinal-undertow 用于开发、部署由 jfinal 开发的 web 项目
基于Andorid的音乐播放器项目设计(国外开源)实现源码,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者,也可作为课程设计、期末大作业。
python学习资源
python学习资源
python学习一些项目和资源
【毕业设计】java-springboot+vue家具销售平台实现源码(完整前后端+mysql+说明文档+LunW).zip
HTML+CSS+JavaScarip开发的前端网页源代码
python学习资源
【毕业设计】java-springboot-vue健身房信息管理系统源码(完整前后端+mysql+说明文档+LunW).zip
成绩管理系统C/Go。大学生期末小作业,指针实现,C语言版本(ANSI C)和Go语言版本
1_基于大数据的智能菜品个性化推荐与点餐系统的设计与实现.docx
【毕业设计】java-springboot-vue交流互动平台实现源码(完整前后端+mysql+说明文档+LunW).zip
内容概要:本文主要探讨了在高并发情况下如何设计并优化火车票秒杀系统,确保系统的高性能与稳定性。通过对比分析三种库存管理模式(下单减库存、支付减库存、预扣库存),强调了预扣库存结合本地缓存及远程Redis统一库存的优势,同时介绍了如何利用Nginx的加权轮询策略、MQ消息队列异步处理等方式降低系统压力,保障交易完整性和数据一致性,防止超卖现象。 适用人群:具有一定互联网应用开发经验的研发人员和技术管理人员。 使用场景及目标:适用于电商、票务等行业需要处理大量瞬时并发请求的业务场景。其目标在于通过合理的架构规划,实现在高峰期保持平台的稳定运行,保证用户体验的同时最大化销售额。 其他说明:文中提及的技术细节如Epoll I/O多路复用模型以及分布式系统中的容错措施等内容,对于深入理解大规模并发系统的构建有着重要指导意义。
基于 OpenCV 和 PyTorch 的深度车牌识别
【毕业设计-java】springboot-vue教学资料管理系统实现源码(完整前后端+mysql+说明文档+LunW).zip
此数据集包含有关出租车行程的详细信息,包括乘客人数、行程距离、付款类型、车费金额和行程时长。它可用于各种数据分析和机器学习应用程序,例如票价预测和乘车模式分析。
把代码放到Word中,通过开发工具——Visual Basic——插入模块,粘贴在里在,把在硅基流动中申请的API放到VBA代码中。在Word中,选择一个问题,运行这个DeepSeekV3的宏就可以实现在线问答
【毕业设计】java-springboot+vue机动车号牌管理系统实现源码(完整前后端+mysql+说明文档+LunW).zip
【毕业设计】java-springboot-vue交通管理在线服务系统的开发源码(完整前后端+mysql+说明文档+LunW).zip