1. Secret 存在意义

Secret 解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露 到镜像或者 Pod Spec 中。Secret 可以以 Volume 或者环境变量的方式使用

2. Secret 有三种类型

  • Service Account :用来访问 Kubernetes API,由 Kubernetes 自动创建,并且会自动挂 载到Pod的/run/secrets/kubernetes.io/serviceaccount 目录中

  • Opaque : base64 编码格式的 Secret,用来存储密码、密钥等

  • kubernetes.io/dockerconfigjson :用来存储私有 docker registry 的认证信息

3. Service Account

Service Account 用来访问 Kubernetes API,甶 Kubernetes 自动创建,并且会自动挂载到 Pod 的/run/secrets/kubernetes.io/serviceaccount 目录中

$ kubectl run nginx --image nginx
deployment "nginx" created
$ kubectl get pods
NAME READY STATUS RESTARTS AGE nginx-3137573019-md1u2 1/1 Running 0 13s
$ kubectl exec nginx-3137573019-md1u2 ls /run/secrets/kubernetes.io/serviceaccount
ca.crt
namespace
token

4. Opaque Secret(实例演示)

4.1 创建说明:Opaque 类型的数据是一个 map 类型,要求 value 是 base64 编码格式

$ echo -n "admin" | base64 
YWRtaW4=
$ echo -n "1f2d1e2e67df" | base64
MWYyZDFlMmU2N2Rm:

4.2 secrets.yml编写

apiVersion: v1
kind: Secret
metadata:
name: mysecret
type: Opaque
data:
password: MWYyZDFlMmU2N2Rm
username: YWRtaW4=

4.3 secret导入到volume中使用

apiVersion: v1
kind: Pod
metadata:
name: mypod
spec:
containers:
- name: nginx
image: nginx
volumeMounts:
- name: foo
mountPath: "/etc/foo"
readOnly: true
volumes:
- name: foo
secret:
secretName: mysecret

# 启动kubectl create -f .yaml
# 进入容器kubectl exec -it [pod名称]
# 验证 cat /etc/foo/username
# cat /etc/foo/password

4.4 Secret 导出到环境变量中

apiVersion: apps/v1
kind: Deployment
metadata:
name: web02
spec:
replicas: 1
template:
metadata:
spec:
containers:
- image: nginx
name: nginx
env:
- name: TEST_USER
valueFrom:
secretKeyRef:
name: mysecret
key: password
- name: TEST_PASS
valueFrom:
secretKeyRef:
name: mysecret
key: username

# 启动kubectl create -f .yaml
# 进入容器kubectl exec -it [pod名称]
# 验证 echo "$TEST_USER"
# echo "TEST_PASS"