• kubernetes管理机密信息


    一、启动应用安全信息的保护:

    Secret介绍:

    应用启动过程中可能需要一些敏感信息,比如访问数据库的用户名密码或者秘钥。将这些信息直接保存在容器镜像中显然不妥,Kubernetes 提供的解决方案是 Secret。

    Secret 会以密文的方式存储数据,避免了直接在配置文件中保存敏感信息。Secret 会以 Volume 的形式被 mount 到 Pod,容器可通过文件的方式使用 Secret 中的敏感数据;此外,容器也可以环境变量的方式使用这些数据。

    Secret 可通过命令行或 YAML 创建。比如希望 Secret 中包含如下信息:

    1、用户名 admin

    2、密码 123456

    创建 Secret(有四种方法创建 Secret):

    1. 通过 --from-literal(命令行方式创建,直接把用户名和密码写在命令行就可以创建):

    kubectl get secret(获取我们环境当中的secret)

    kubectl create secret generic mysecret --from-literal=username=admin --from-literal=password=123(创建secret)

    kubectl get secret mysecret

     

    每个 --from-literal 对应一个信息条目。

    2. 通过 --from-file(通过文件方式创建):

    kubectl get secret

    echo -n admin > ./username(先写入一个文件)

    echo -n 123456 > ./password

    kubectl create secret generic mysecret --from-file=./username --from-file=./password

    每个文件内容对应一个信息条目。

    3. 通过 --from-env-file(通过环境变量文件,就是说我首先先把username跟passwoed这两个环境变量宣告一下):

    cat << EOF > env.txt
    
    username
    =admin
    password
    =123456
    EOF

    kubectl create secret generic mysecret --from-env-file=env.txt

    文件 env.txt 中每行 Key=Value 对应一个信息条目。

    4. 通过 YAML 配置文件:

     

    文件中的敏感数据必须是通过 base64 编码后的结果,所以先要对username和password进行base64编译。

    echo -n admin | base64
    
    echo -n 123 | base64

     

    执行 kubectl apply 创建 Secret:

    kubectl apply -f mysecret.yml

     

    显示有两个数据条目

    kubectl describe secret

    查看条目的 Key:

     

    如果还想查看 Value,可以用

     kubectl edit secret mysecret

    然后通过 base64 将 Value 反编码:

    echo -n YWRtaW4= | base64 --decode
    
    echo
    -n MTIz | base64 --decode

    二、secret在pod中的应用:

    volume 方式使用 Secret

    Pod 可以通过 Volume 或者环境变量的方式使用 Secret,先学习 Volume 方式。

    (1)Pod 的配置文件如下所示:

     

    ① 定义 volume foo,来源为 secret mysecret

    ② 将 foo mount 到容器路径 /etc/foo,可指定读写权限为 readOnly

    创建 Pod 并在容器中读取 Secret:

    kubectl apply –f mypod1.yml
    
    kubectl
    get pod
    kubectl
    get secret

    现在我们进入容器,并读取secret

    kubectl exec  -it mypod1 sh 

    可以看到,Kubernetes 会在指定的路径 /etc/foo 下为每条敏感数据创建一个文件,文件名就是数据条目的 Key,这里是 /etc/foo/username 和 /etc/foo/password,Value 则以明文存放在文件中。

    (2)我们也可以自定义存放数据的文件名,比如将配置文件改为:

     

    这时数据将分别存放在 /etc/foo/my-group/my-username 和 /etc/foo/my-group/my-password 中。

    以 Volume 方式使用的 Secret 支持动态更新:Secret 更新后,容器中的数据也会更新。

    将 password 更新为 abcdef,base64 编码为 YWJjZGVm

     

    更新 Secret。

     

    几秒钟或,新的 password 会同步到容器。

     

    环境变量方式使用 Secret

    通过 Volume 使用 Secret,容器必须从文件读取数据,会稍显麻烦,Kubernetes 还支持通过环境变量使用 Secret。

    Pod 配置文件示例如下:

     

    创建 Pod 并读取 Secret。

    通过环境变量 SECRET_USERNAME 和 SECRET_PASSWORD 成功读取到 Secret 的数据。

    需要注意的是,环境变量读取 Secret 很方便,但无法支撑 Secret 动态更新。

    Secret 可以为 Pod 提供密码、Token、私钥等敏感数据;

  • 相关阅读:
    利用JasperReport+iReport进行Web报表开发
    EEPlat PaaS VS Saleforce force.com
    Python用subprocess的Popen来调用系统命令
    最短路径A*算法原理及java代码实现(看不懂是我的失败)
    Java抓取网页数据(原网页+Javascript返回数据)
    Atitit.dwr3 不能显示错误具体信息的解决方式,控件显示错误具体信息的解决方式 java .net php
    白话经典算法系列之五 归并排序的实现
    poj 百练 2765 八进制小数(精度问题)
    winzip15.0注冊码
    Python:渗透测试开源项目
  • 原文地址:https://www.cnblogs.com/shuaiyin/p/11110050.html
Copyright © 2020-2023  润新知