Kubernetes 控制器之 Secret

李开开字数: 4145 阅读耗时: 10 分钟 2024/11/01 博客独享热度: 7 评论:

基本介绍

在 Kubernetes 中，Secret 是一种用于存储敏感信息的资源对象，提供了向 Pod 注入配置信息的能力。

Secret 同 ConfigMap 一样，使用一系列键值对（key-value pairs）为应用程序提供经过 base64 编码的配置信息，使得应用程序的配置更加灵活，并增强了可移植和安全性。

主要特性

敏感信息：Secret 用于存储密码、密钥等敏感信息，而不是将它们以明文形式存储在 Docker 镜像或配置文件中
区分类型：同 ConfigMap 不同，Secret 区分类型，如 Opaque、kubernetes.io/dockerconfigjson 等
加密存储：在 Kubernetes 1.7 及以后的版本中，Secret 数据在 etcd 中默认以加密形式存储
命名空间：Secret 是命名空间级别的资源，其作用域被限制在特定的命名空间内
API 管理：可以通过 Kubernetes API 来创建、更新和删除 Secret

资源清单（示例）

# secret.yaml
apiVersion: v1
kind: Secret
metadata:
  name: demo-secret
type: Opaque
data:
  password: MTIzNDU2Cg==           # 键值为 123456 的 base64 编码
 
🔔 Secret 对象类型
Opaque：任意用户定义的数据
kubernetes.io/service-account-token：服务帐户令牌
kubernetes.io/dockercfg：序列化~/.dockercfg文件
kubernetes.io/dockerconfigjson：用于存储 docker registry 认证信息
kubernetes.io/basic-auth：基本身份验证凭证
kubernetes.io/ssh-auth：SSH身份验证的凭据
kubernetes.io/tls：TLS客户端或服务器的数据
bootstrap.kubernetes.io/token：引导令牌数据

上述 secret.yaml 文件定义了一个名为 demo-secret 的 Secret 对象，Secret 类型为 Opaque，data 下定义了一组键值对作为环境变量，其中键值为 123456 的 base64 编码。

说明：可以通过以下命令查看 Secret 资源清单支持定义的内容

kubectl explain secret --recursive

常用操作

1、创建 Secret

# 方式一：使用目录或文件
kubectl create secret generic demo-secret --from-file=<目录名称或文件名称>
 
🔔 说明：本方式创建的 Secret 对象中，每一组键值对的 key 是文件名，value 是文件内容，并对 value 进行 base64 编码
 
# 方式二：使用 env 文件
kubectl create secret generic demo-secret --from-env-file=<env文件名称>
 
🔔 说明：本方式创建的 Secret 对象中，直接将 env 文件中 key=value 形式转换为 key:value 形式，并对 value 进行 base64 编码
 
# 方式三：使用字符串
kubectl create secret generic demo-secret --from-literal=key1=value1 --from-literal=key2=value2
 
# 方式四：使用资源清单
kubectl create -f secret.yaml
或
kubectl apply -f secret.yaml
 
# 方式五：创建 docker-registry 类型对象
kubectl create secret docker-registry demo-secret \
--docker-server=DOCKER_SERVER \
--docker-username=DOCKER_USER \
--docker-password=DOCKER_PASSWORD

2、更新 Secret

# 方式一：修改文件后重新创建
kubectl create secret generic demo-secret --from-file=<目录名称或文件名称> --dry-run -oyaml | kubectl apply -f -
 
🔔 说明：Secret 对象已经存在的情况下，直接 create 会报错，可以先通过 --dry-run 选项生成资源清单，再通过 apply 进行更新
 
# 方式二：修改资源清单后更新
kubectl apply -f secret.yaml

3、查看 Secret

# 查看实例列表
kubetcl get secret
 
# 查看资源清单
kubetcl get secret demo-secret -o yaml
 
# 查看详细信息
kubectl describe secret demo-secret

4、删除 Secret

# 方式一：命令行
kubectl delete secret demo-secret
 
# 方式二：资源清单
kubectl delete -f secret.yaml