什么是Secret
通过Secret可以将敏感信息注入到Pod中的容器,一般用于存储访问私有仓库的账号密码、TLS证书、Token等。Secret可以做为容器依附在Pod中使用,或者可以通过环境变量引入。这是比直接使用ConfigMap更加安全的方式,降低敏感数据直接暴露给未授权用户的风险。
Secret 基本操作
通过kubectl create secret kubectl create secret generic nginx-secret --from-literal=password=123456
通过yaml资源配置清单
先转换为Base64编码echo -n "123456" |base64 输出 MTIzNDU2kubectl apply -f nginx-secret.yaml
apiVersion: v1
kind: Secret
metadata:
name: nginx-secret
type: Opaque
data:
password: MTIzNDU2
Secret 类型
generic 从文件、目录或命令行参数中创建Secret。
docker-registry 创建针对与Docker Registory身份验证的账号密码。
tls 从输入的密钥对中创建TLS Secret,密钥对必须提前申请好,公钥需要采用.PEM编码并匹配对应的私钥。
参数说明
--from-file 或 --from-env-file 指定包含一个或多个配置文件的目录的路径
--from-literal 指定一对从命令行输入的键值对
Secret作为数据卷被Pod挂载使用
kubectl apply -f nginx-pod-secret.yaml
apiVersion: v1
kind: Secret
metadata:
name: nginx-secret
type: Opaque
data:
password: MTIzNDU2apiVersion: v1
kind: Pod
metadata:
name: nginx-pod
labels:
app: nginx
spec:
volumes:
- name: secret-volume
secret:
secretName: nginx-secret
containers:
- name: nginx
image: nginx:1.16
volumeMounts:
- name: secret-volume
readOnly: true
mountPath: "/etc/secret-volume"
Secret作为TLS证书被Ingress调用
kubectl create secret tls ingress-certificate --key tls.key --cert tls.crt
Ingress的YAML资源定义清单
tls:
- hosts:
- nginx.com
secretName: ingress-certificate使用技巧
对于安全保密等级较高的数据建议使用Secret进行存储及被其他资源所调用。
