本文共 2737 字,大约阅读时间需要 9 分钟。
secret资源对象主要目的是保存和处理敏感信息/私密数据,比如密码,OAuth tokens,ssh keys等信息。将这 些信息放在secret对象中比直接放在pod或docker image中更安全,也更方便使用。
Opaque任意字符串,默认类型
kubernetes.io/service-account-token:作用于Service Account
kubernetes.io/dockercfg:作用于Docker registry,用户下载docker镜像认证使用
首先把需要加密的内容实现base64编码
echo -n lykops | base64bHlrb3Bzecho -n 1qaz2wsx | base64MXFhejJ3c3g=
然后写入lykops-secret.yaml
apiVersion: v1 kind: Secret metadata: name: lykops-secret namespace: defaulttype: Opaque data: password: MXFhejJ3c3g= username: bHlrb3Bz
导入kubectl create -f lykops-secret.yaml
kubectl create secret generic lykops --secret --from-literal=username=lykops --from-literal=password=1qaz2wsx
cat << EOF > lykops-secret.yaml apiVersion: v1 kind: Pod metadata: name: lykops-secret-pod labels: software: apache project: lykops app: lykops-secret-pod version: v1 spec: containers: -name: lykops-secret-pod image: web:apache command: ['sh' , '/etc/run.sh'] env: - name: SECRET_USERNAME valueFrom: secretKeyRef: name: lykops-secret key: username - name: SECRET_PASSWORD valueFrom: secretKeyRef: name: lykops-secret key: password EOF kubectl create -f lykops-secret-pod.yaml
进入pod kubectl exec -it lykops-secret-pod /bin/bash env | grep -i '^SECRET' SECRETUSERNAME=lykops SECRET_PASSWORD=1qaz2wsx
当在需要安全验证的环境中拉取镜像时,需要通过用户名和密码。
apiVersion: v1 kind: Secret metadata: name: myregistrykey namespace: awesomeappsdata: .dockerconfigjson:UmVhbGx5IHJlYWxseSByZWVlZWVlZWVlZWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWxsbGxsbGxsbGxsbGxsbGxsbGxsbGxsbGxsbGxsbGx5eXl5eXl5eXl5eXl5eXl5eXl5eSBsbGxsbGxsbGxsbGxsbG9vb29vb29vb29vb29vb29vb29vb29vb29vb25ubm5ubm5ubm5ubm5ubm5ubm5ubm5ubmdnZ2dnZ2dnZ2dnZ2dnZ2dnZ2cgYXV0aCBrZXlzCg==type: kubernetes.io/dockerconfigjson
或者直接通过命令创建
kubectl create secret docker-registry myregistrykey --docker-server=DOCKER_REGISTRY_SERVER --docker-username=DOCKER_USER --docker-password=DOCKER_PASSWORD --docker-email=DOCKER_EMAIL
接下来拉取镜像的时候,就可以使用了
apiVersion: v1 kind: Pod metadata: name: foo namespace: awesomeappsspec: containers: -name: foo image: janedoe/awesomeapp:v1 imagePullSecrets: -name: myregistrykey
其实本质上还是kubelet把这个认证放到了docker的目录下面,如下: cat ~/.docker/config.json { "auths": { "10.39.0.118": { "auth": "Y2hlbm1vOmNtMTM4MTE2NjY3ODY=" }, "10.39.0.12:5000": { "auth": "dXNlcjAxOjEyMzQ1YQ==" }, "http://10.39.0.12:5000": { "auth": "dXNlcjAxOjEyMzQ1YQ==" } } }
Service Account(以下简称SA)的使用场景:运行在pod里的进程需要调用K8S API以及非K8S API的其它服务。SA并不是给K8S集群的用户使用的,而是给pod里面的进程使用的,它为pod提供必要的身份认证。
如果K8S开启了SA(位于/etc/kubernetes/controller-manager的KUBEADMISSIONCONTROL="--admission-control=NamespaceLifecycle,NamespaceExists,LimitRanger,SecurityContextDeny,ServiceAccount,ResourceQuota"),那么会在每个namespace下面都会创建一个默认的default的SA。
本文转自开源中国-
转载地址:http://oilja.baihongyu.com/