Secret概述

• Configmap一般是用來存放明文數(shù)據(jù)的，如配置文件，對(duì)于一些敏感數(shù)據(jù)，如密碼、私鑰等數(shù)據(jù)時(shí)，要用secret類型。
• Secret解決了密碼、token、秘鑰等敏感數(shù)據(jù)的配置問題，而不需要把這些敏感數(shù)據(jù)暴露到鏡像或者Pod Spec中。Secret可以以Volume或者環(huán)境變量的方式使用。
• 要使用 secret，pod 需要引用 secret。Pod 可以用兩種方式使用 secret：作為 volume 中的文件被掛載到 pod 中的一個(gè)或者多個(gè)容器里，或者當(dāng) kubelet 為 pod 拉取鏡像時(shí)使用。

secret三種可選參數(shù):

• generic: 通用類型，通常用于存儲(chǔ)密碼數(shù)據(jù)。
• tls：此類型僅用于存儲(chǔ)私鑰和證書。
• docker-registry: 若要保存docker倉庫的認(rèn)證信息的話，就必須使用此種類型來創(chuàng)建。

Secret類型

• Service Account：用于被 serviceaccount 引用。serviceaccout 創(chuàng)建時(shí) Kubernetes 會(huì)默認(rèn)創(chuàng)建對(duì)應(yīng)的 secret。Pod 如果使用了 serviceaccount，對(duì)應(yīng)的 secret 會(huì)自動(dòng)掛載到 Pod 的 /run/secrets/kubernetes.io/serviceaccount 目錄中。
• Opaque：base64編碼格式的Secret，用來存儲(chǔ)密碼、秘鑰等。可以通過base64 --decode解碼獲得原始數(shù)據(jù)，因此安全性弱
• kubernetes.io/dockerconfigjson：用來存儲(chǔ)私有docker registry的認(rèn)證信息。

使用Secret

通過環(huán)境變量引入Secret

把mysql的root用戶的password創(chuàng)建成secret

kubectl create secret generic mysql-password --from-literal=password=hahapod**lucky66

kubectl get secret
NAME                          TYPE                                  DATA   AGE
mysql-password                Opaque                                1      30s

kubectl describe secret mysql-password
Name:         mysql-password
Namespace:    default
Labels:       <none>
Annotations:  <none>
Type:  Opaque
Data
====
password:  20bytes   
#password的值是加密的，
#但secret的加密是一種偽加密，它僅僅是將數(shù)據(jù)做了base64的編碼.

創(chuàng)建pod，引用secret

cat pod-secret.yaml 

apiVersion: v1
kind: Pod
metadata:name: pod-secretlabels:app: myapp
spec:containers:- name: myappimage: ikubernetes/myapp:v1ports:- name: httpcontainerPort: 80env:- name: MYSQL_ROOT_PASSWORD   #它是Pod啟動(dòng)成功后,Pod中容器的環(huán)境變量名.valueFrom:secretKeyRef:name: mysql-password  #這是secret的對(duì)象名key: password      #它是secret中的key名

kubectl apply -f pod-secret.yaml

kubectl exec -it pod-secret -- /bin/sh
/ # printenv
MYSQL_ROOT_PASSWORD=hahapod**lucky66

通過volume掛載Secret

創(chuàng)建Secret

手動(dòng)加密，基于base64加密

echo -n 'admin' | base64
YWRtaW4=

echo -n 'haha123456f' | base64
aGFoYTEyMzQ1NmY=

echo aGFoYTEyMzQ1NmY=  | base64 -d

創(chuàng)建yaml文件

vim secret.yaml

apiVersion: v1
kind: Secret
metadata:name: mysecret
type: Opaque
data:username: YWRtaW4=password: aGFoYTEyMzQ1NmY=

kubectl apply -f secret.yaml

kubectl describe secret mysecret
Name:         mysecret
Namespace:    default
Labels:       <none>
Annotations:  <none>Type:  OpaqueData
====
password:  15 bytes
username:  5 bytes

將Secret掛載到Volume中

vim pod_secret_volume.yaml

apiVersion: v1
kind: Pod
metadata:name: pod-secret-volume
spec:containers:- name: myappimage: registry.cn-beijing.aliyuncs.com/google_registry/myapp:v1volumeMounts:- name: secret-volumemountPath: /etc/secretreadOnly: truevolumes:- name: secret-volumesecret:secretName: mysecret

kubectl apply -f pod_secret_volume.yaml

 kubectl exec -it pod-secret-volume -- /bin/sh
/ # ls /etc/secret
password  username
/ # 
/ # cat /etc/secret/username
admin/ # 
/ # 
/ # cat /etc/secret/password
haha123456f/ #

由上可見，在pod中的secret信息實(shí)際已經(jīng)被解密。