Kuebrnetes 01 了解Secret

通常我们的应用程序的配置都会包含一些敏感信息，例如数据库连接字符串，证书，私钥等，为了保证其安全性，K8S提供了Secret资源对象来保存敏感数据，它和CongfigMap类似，也是键值对的映射，并且使用方式也几乎一样。

介绍Secret

Secret中存储着键值对数据，可以

• 作为环境变量传递给容器
• 作为文件挂载到容器的Volume

Secret会存储在Pod所调度的节点的内存中，而不是写入磁盘。

Pod默认生成的Secret

每个Pod都会被自动挂载一个Secret卷，只需要使用kubectl desribe pod命令就能看到一个名称类似default-token-n4q6m的Secret，Secret也是一种K8S资源，所以，可以使用kubectl get secret或kubectl describe secret 获取查看。

从上面图例可以看出，Pod默认生成的Secret会包含三个配置项：ca.crt、namespace、token。其实这三个配置项是Pod内部安全访问Kubernetes API服务的所有信息，而在kubectl describe pod的时候，你可以看到Secret所挂载的具体目录在/var/run/secrets/kubernetes.io/serviceaccount.

每个Pod会默认生成default-token-xxxxx的Secret，可以通过在Pod中定义pod.spec.automountServiceAccountToken为false来关闭这种默认行为。

创建Secret

可以直接通过kubectl create secret命令创建，也可以先编写secret的yaml文件再使用kubectl apply -f <filename>创建，推荐使用后者。

单行命令创建Secret

• 创建一个键值对的secret：

kubectl create secret generic first-secret --from-literal=user=admin --from-literal=password=admin123

创建完成之后，使用kubectl describe secret first-secret查看，可以看到这个secret的键值内容并不会直接打印出来，而是只显示了占用了多少个字节。

• 创建一个文件内容的Secret

假如我当前有一个配置文件secret.json，文件内容如下：

{
  "User": "admin",
  "Password": "admin123"
}

使用以下命令创建Secret：

kubectl create secret generic second-secret --from-file=secret.json

创建完成之后，使用kubectl describe secret second-secret查看secret的键值内容，同样也不会将文件内容显示出来：

默认使用文件名称secret.json作为键值对的key，也可以通过--from-file=second_secret=app.json指定key为second_secret；

可以使用多组--from-file=<key>=<filename>参数，在secret中定义多组文件；

--from-file=后面可以直接跟某个文件路径，这样会将目录下的所有文件引入到Secret;

--from-literal和--from-file可以共同使用，键值合并。

删除创建的first-secret和second-secret：

kubectl delete secret first-secret
kubectl delete secret second-secret

基于资源清单文件创建Secret

• 创建一个键值对的Secret：

首先定义Secret的资源文件first-secret.yaml，定义如下：

先使用base64对secret资源文件中要保存的键值编码

echo "admin" | base64 # 得到 YWRtaW4K
echo "admin123" | base64	# 得到 YWRtaW4xMjMK

vim first-secret.yaml

apiVersion: v1
kind: Secret
metadata:
  name: first-secret
data:
  user: "YWRtaW4K"
  password: "YWRtaW4xMjMK"

使用kubectl apply命令创建Secret资源：

kubectl apply -f first-secret.yaml

创建完成之后，使用kubectl describe secret first-secret查看。

可以在data下定义多组键值对。

• 创建一个文件内容的Secret

首先定义Secret的资源文件second-secret.yaml，定义如下：

先使用base64对上文中的secret.json文件内容编码：

echo $(cat secret.json) | base64 # 得到 eyAiVXNlciI6ICJhZG1pbiIsICJQYXNzd29yZCI6ICJhZG1pbjEyMyIgfQo=

vim second-secret.yaml

apiVersion: v1
kind: Secret
metadata:
  name: second-secret
data:
  secret.json: eyAiVXNlciI6ICJhZG1pbiIsICJQYXNzd29yZCI6ICJhZG1pbjEyMyIgfQo=

使用kubectl apply命令创建Secret资源：

kubectl apply -f second-secret.yaml

创建完成之后，使用kubectl describe secret second-secret查看。

可以在data下定义多组文件，也可以和键值对一起定义；

删除创建的first-secret和second-secret：

kubectl delete secret first-secret
kubectl delete secret second-secret

使用Secret

Secret的用途也与ConfigMap相差无几：

• 使用Secret作为容器的环境变量
• 使用Secret作为Volume向容器提供文件

使用Secret作为容器的环境变量

假如有一个名为first-secret的Secret，里面包含了一个键为user，我想将这个Secret中user键用到我的环境变量USER_NAME中，可以使用如下方式：

...
env:
- name: USER_NAME
  valueFrom:
    secretKeyRef:
      name: first-secret
      key: user
...

如果有一个名为second-secretSecret中包含多个键如USER_NAME，PASSWORD，我想将这个Secret中所有的键都用到我的环境变量中，可以使用如下方式：

...
spec:
  container:
  - image: <some-image>
    envFrom:
    - prefix: MYSQL_
      secretRef:
        name: second-secret
...

容器将会生成DB_USER_NAME，DB_PASSWORD环境变量，prefix也可以不配置，则直接使用Secret的键。

注意：

• secretRef与上面secretKeyRef的区别；
• 如果Secret中有一个为USER-NAME键，那么将不会生成MYSQL_USER-NAME的环境变量，因为MYSQL_USER-NAME不是一个合法的环境变量名称。

使用Secret为容器的Volume提供文件

上次的文章——《了解ConfigMap》中，使用ConfigMap向容器提供文件，这次使用Secret来实际使用一下。

我们现在有一个文件secret.json要传递到容器中，文件内容如下：

{
  "User": "admin",
  "Password": "admin123"
}

创建Secret

kubectl create secret generic helloweb-secret --from-file=secret.json

定义helloweb-pod.yaml文件如下：

apiVersion: v1
kind: Pod
metadata:
  name: helloweb
spec:
  containers:
  - name: helloweb
    image: med1tator/helloweb:v1
    ports:
      - containerPort: 80
    volumeMounts:
      - mountPath: /app/mysettings/secret.json
        name: helloweb-secret
        subPath: secret.json
  volumes:
  - name:  helloweb-secret
    secret:
      secretName: helloweb-secret

创建Pod：

kubectl apply -f helloweb-pod.yaml

一段时间后，可以验证文件是否挂载到容器：

Yeah！没毛病。

使用Secret拉取私有镜像

当我们要访问拉取私有仓库或者私有镜像时，我们需要可能需要使用到Secret。

比如我现在将我docker仓库中的镜像helloweb设置成私有镜像，这是我使用该镜像创建Pod是会显示镜像拉取失败的，很明显，我需要登录docker。

• 创建镜像仓库Secret

kubectl create secret docker-registry docker-hub-secret --docker-username=<my_username> --docker-password=<my_password>

私有仓库的话使用--docker-server指定；

更多使用kubectl create secret docker-registry --help查看

• Pod中使用imagePullSecrets:

...
kind: Pod
spec:
  imagePullSecrets:
    - name: docker-hub-secret
  containers:
  - name: helloweb
    image: med1tator/helloweb:v1
...

• 使用ServiceAccount

如果很多镜像都要从私有仓库拉取，那最好将secret添加到一个固定的ServiceAccount中，一个ServiceAccount可以包含多个镜像仓库Secret：

apiVersion: v1
kind: ServiceAccount
metadata:
  name:  docker-service-account
imagePullSecrets:
  - name: docker-hub-secret
  - name: harbor-secret

这时Pod使用ServiceAccount即可：

...
kind: Pod
spec:
  serviceAccountName: docker-service-account
...