09、Kubernetes - 实战:存储(Secret)
一、Secret简介
Secret对象类型用来保存敏感信息,例如密码、OAuth令牌和ssh key。
敏感信息放在Secret中比放在Pod的定义或者容器镜像中来说更加安全和灵活。
Pod可以用两种方式来使用Secret:
作为volume中的文件被挂载到pod中的一个或多个容器中。
当kubelet为pod拉取镜像时使用。
Secret的类型:
Service Account:Kubernetes自动创建包含访问API凭据的secret,并自动修改pod以使用此类型的secret。
Opaque:使用base64编码储存信息,可以通过base64 --decode解码获得原始数据,因此安全性弱。
kubernetes.io/dockerconfigjson:用来存储docker registy的认证信息。
二、Service Account
serviceaccount创建时Kubernetes会默认创建对应的secret。对应的secret会自动挂载到Pod的/var/run/secret/kubernetes.io/serviceaccount目录中:
运行一个pod查看详细信息:
[root@server1 secert]# kubectl run test --image=busybox --restart=Never
pod/test created
[root@server1 secert]# kubectl get pod
NAME READY STATUS RESTARTS AGE
test 0/1 Completed 0 12s
[root@server1 secert]# kubectl describe pod test
会自动挂载一个叫token的secret,这个secret是Service Account自动创建的,用于访问API凭据的
查看serviceaccount:
[root@server1 secert]# kubectl get sa
NAME SECRETS AGE
default 1 11d
[root@server1 secert]# kubectl describe sa default
Name: default
Namespace: default
Labels: <none>
Annotations: <none>
Image pull secrets: <none>
Mountable secrets: default-token-25448
Tokens: default-token-25448
Events: <none>
可以看出上述命令输出的secrets和pod内挂载的相同。
实验后删除pod:
[root@server1 secert]# kubectl delete pod test
pod "test" deleted
每个namespace下有一个名为default的默认Service Account对象:
[root@server1 secert]# kubectl get secrets
NAME TYPE DATA AGE
default-token-25448 kubernetes.io/service-account-token 3 11d
Service Account里有一个名为token的里可以作为Volume一样被Mount到Pod里的Secret,当pod启动时这个Secret会被自动挂载到pod的指定目录下,用来协助完成pod中的进程访问API Server时的身份鉴权过程。
三、Opaque Secret
Opaque Secret其value为base64加密后的值。
用文件创建Secret:
[root@server1 secert]# echo -n 'admin' > ./username.txt
[root@server1 secert]# echo -n 'redhat' > ./password.txt
[root@server1 secert]# cat username.txt
admin[root@server1 secert]#
[root@server1 secert]# cat password.txt
redhat[root@server1 secert]#
创建secret:
[root@server1 secert]# kubectl create secret generic my-secret --from-file=username.txt --from-file=password.txt
secret/my-secret created
上述创建secret的命令中,generic表示通用,my-secret为secret的名称,–from-file= 表示从文件中创建。
查看创建的secret:
[root@server1 secert]# kubectl get secrets
NAME TYPE DATA AGE
basic-auth Opaque 1 3d20h
default-token-25448 kubernetes.io/service-account-token 3 11d
my-secret Opaque 2 6s
tls-secret kubernetes.io/tls 2 3d20h
查看详细信息:
[root@server1 secert]# kubectl describe secrets my-secret
Name: my-secret
Namespace: default
Labels: <none>
Annotations: <none>
Type: Opaque
Data
====
password.txt: 6 bytes #可以看出时加密的信息
username.txt: 5 bytes
也可以通过输出为yaml格式查看:
[root@server1 secert]# kubectl get secrets my-secret -o yaml
上图中的加密信息可以通过以下命令解码:
[root@server1 secert]# echo cmVkaGF0 | base64 -d
redhat[root@server1 secert]#
因此这种方式是一种伪加密的方法。
用命令行字面key和value创建
在定义密码信息时,如果密码有特殊字符,则需要使用\ 转义符对其进行转义,比如原密码为A!B\C*D则需要以下方式创建(–from-literal表示通过字符创建):
[root@server1 secert]# kubectl create secret generic 1-secret --from-literal=username=devuser --from-literal=password=A\!B\\C\*D
secret/1-secret created
[root@server1 secert]# kubectl get secrets
NAME TYPE DATA AGE
1-secret Opaque 2 3s
basic-auth Opaque 1 3d20h
default-token-25448 kubernetes.io/service-account-token 3 11d
my-secret Opaque 2 3m12s
tls-secret kubernetes.io/tls 2 3d20h
[root@server1 secert]# kubectl get secrets 1-secret -o yamlapiVersion: v1
解码查看原密码:
[root@server1 secert]# echo QSFCXEMqRA== | base64 -d
A!B\C*D[root@server1 secert]#
通过yaml文件创建Secret
注意这里一定要是用base64加密了的值
首先查看用户名和密码的加密字符:
[root@server1 secert]# echo -n 'admin' | base64
YWRtaW4=
[root@server1 secert]# echo -n 'redhat' | base64
cmVkaGF0
编辑yaml文件:
[root@server1 secret]# vim secret.yaml
[root@server1 secret]# cat secret.yaml
apiVersion: v1
kind: Secret
metadata:
name: mysecret
type: Opaque
data:
username: YWRtaW4= #写文件时信息要求是base64编码过的
password: cmVkaGF0
创建Secret并查看信息:
[root@server1 secret]# kubectl create -f secret.yaml
secret/mysecret created
[root@server1 secret]# kubectl describe secrets mysecret
Name: mysecret
Namespace: default
Labels: <none>
Annotations: <none>
Type: Opaque
Data
====
password: 6 bytes
username: 5 bytes
[root@server1 secret]# kubectl get secrets mysecret -o yaml
四、secret的使用方法
将Secret挂载到Volume中
[root@server1 secret]# vim pod.yaml
[root@server1 secret]# cat pod.yaml
apiVersion: v1
kind: Pod
metadata:
name: mysecret
spec:
containers:
- name: nginx
image: nginx
volumeMounts:
- name: secrets
mountPath: "/secret" #挂载路径
readOnly: true #默认权限是读写
volumes:
- name: secrets
secret:
secretName: mysecret
创建pod:
[root@server1 secret]# kubectl create -f pod.yaml
pod/mysecret created
[root@server1 secret]# kubectl get pod
NAME READY STATUS RESTARTS AGE
mysecret 1/1 Running 0 11s
进入容器确认:
[root@server1 secret]# kubectl exec -it mysecret -- bash
root@mysecret:/# cd /secret/
root@mysecret:/secret# ls
\password username
root@mysecret:/secret# ls
password username
root@mysecret:/secret# cat password
redhatroot@mysecret:/secret#
root@mysecret:/secret# cat username
adminroot@mysecret:/secret#
root@mysecret:/secret# exit
可以看出信息是mysecret中的信息,key为文件名,vlaue为文件内容。
上面的实验中所有的key和value都被挂载进入了指定目录,我们也可以指定secret中的某一个key挂载:
[root@server1 secret]# vim pod1.yaml
[root@server1 secret]# cat pod1.yaml
apiVersion: v1
kind: Pod
metadata:
name: mysecret
spec:
containers:
- name: nginx
image: nginx
volumeMounts:
- name: secrets
mountPath: "/secret"
readOnly: true
volumes:
- name: secrets
secret:
secretName: mysecret
items:
- key: username
path: my-group/my-username #相对路径,绝对路径为/secret/my-group/my-username
[root@server1 secret]# kubectl create -f pod1.yaml
pod/mysecret created
[root@server1 secret]# kubectl get pod
NAME READY STATUS RESTARTS AGE
mysecret 1/1 Running 0 8s
进入容器查看:
[root@server1 secret]# kubectl exec -it mysecret -- bash
root@mysecret:/# cd /secret/
root@mysecret:/secret# ls
my-group
root@mysecret:/secret# cd my-group
root@mysecret:/secret/my-group# ls
my-username
root@mysecret:/secret/my-group# cd my-username
bash: cd: my-username: Not a directory
root@mysecret:/secret/my-group# cat my-username
adminroot@mysecret:/secret/my-group#
root@mysecret:/secret/my-group#
可以看出指定的key被挂载到了我们指定的路径。
实验后删除:
[root@server1 secret]# kubectl delete -f pod1.yaml
pod "mysecret" deleted
将Secret设置为环境变量
[root@server1 secret]# vim pod2.yaml
[root@server1 secret]# cat pod2.yaml
apiVersion: v1
kind: Pod
metadata:
name: secret-env
spec:
containers:
- name: nginx
image: nginx
env:
- name: SECRET_USERNAME
valueFrom:
secretKeyRef:
name: mysecret
key: username
- name: SECRET_PASSWORD
valueFrom:
secretKeyRef:
name: mysecret
key: password
可以看出Secret创建env变量和configmap类似。
创建pod:
[root@server1 secret]# kubectl create -f pod2.yaml
pod/secret-env created
[root@server1 secret]# kubectl get pod
NAME READY STATUS RESTARTS AGE
secret-env 1/1 Running 0 9s
进入容器查看:
[root@server1 secret]# kubectl exec -it secret-env -- bash
五、kubernetes.io/dockerconfigjson 类型
kubernetes.io/dockerconfigjson用于存储docker registry的认证信息。
在server3退出登陆然后尝试拉取私有仓库镜像:
[root@server3 ~]# docker logout reg.westos.org
Not logged in to reg.westos.org
[root@server3 ~]# docker pull reg.westos.org/cl/ubuntu
Using default tag: latest
Error response from daemon: pull access denied for reg.westos.org/cl/ubuntu, repository does not exist or may require 'docker login': denied: requested access to the resource is denied
拉取失败,提示需要登陆才能拉取。
我们现在就来配置认证信息:
编辑pod的创建文件,pod中使用的镜像是私有仓库的镜像。
[root@server1 secret]# vim pod3.yaml
[root@server1 secret]# cat pod3.yaml
apiVersion: v1
kind: Pod
metadata:
name: mypod
spec:
containers:
- name: nginx
image: reg.westos.org/library/nginx
imagePullSecrets:
- name: myregistrykey #使用的Secret名称
之后创建包含认证信息的Secret:
[root@server1 secret]# kubectl create secret docker-registry myregistrykey --docker-username=admin --docker-password=Harbor --docker-server=reg.westos.org --docker-email=xzt@qq.com
secret/myregistrykey created
上面的命令中,secret类型为docker-registry,secret名称为myregistrykey,–docker-username表示仓库用户名,–docker-password仓库密码,–docker-server表示仓库服务器地址,–docker-email表示仓库邮箱。查看secret详细信息:
[root@server1 secret]# kubectl get secrets myregistrykey -o yaml
之后创建pod:
[root@server1 secret]# kubectl create -f pod3.yaml
pod/mypod created
[root@server1 secret]# kubectl get pod
NAME READY STATUS RESTARTS AGE
mypod 1/1 Running 0 4s
可以看出pod正常运行。
实验后删除:
[root@server1 secret]# kubectl delete -f pod3.yaml