Kubernetes - 6.2 Config and Storage

Kubernetes - 6.2 Config and Storage - Secrets

2020-03-01 549

什么是Secret

通过Secret可以将敏感信息注入到Pod中的容器，一般用于存储访问私有仓库的账号密码、TLS证书、Token等。Secret可以做为容器依附在Pod中使用，或者可以通过环境变量引入。这是比直接使用ConfigMap更加安全的方式，降低敏感数据直接暴露给未授权用户的风险。

Secret 基本操作

通过kubectl create secret
kubectl create secret generic nginx-secret --from-literal=password=123456

通过yaml资源配置清单
先转换为Base64编码
echo -n "123456" |base64 输出 MTIzNDU2
kubectl apply -f nginx-secret.yaml

apiVersion: v1
kind: Secret
metadata:
  name: nginx-secret
type: Opaque
data:
  password: MTIzNDU2

Secret 类型

generic 从文件、目录或命令行参数中创建Secret。
docker-registry 创建针对与Docker Registory身份验证的账号密码。
tls 从输入的密钥对中创建TLS Secret，密钥对必须提前申请好，公钥需要采用.PEM编码并匹配对应的私钥。

参数说明
--from-file 或 --from-env-file 指定包含一个或多个配置文件的目录的路径
--from-literal 指定一对从命令行输入的键值对

Secret作为数据卷被Pod挂载使用

kubectl apply -f nginx-pod-secret.yaml

apiVersion: v1
kind: Secret
metadata:
  name: nginx-secret
type: Opaque
data:
  password: MTIzNDU2

apiVersion: v1
kind: Pod
metadata:
  name: nginx-pod
  labels:
    app: nginx
spec:
  volumes:
  - name: secret-volume
    secret:
      secretName: nginx-secret
  containers:
  - name: nginx
    image: nginx:1.16
    volumeMounts:
    - name: secret-volume
      readOnly: true
      mountPath: "/etc/secret-volume"

Secret作为TLS证书被Ingress调用

kubectl create secret tls ingress-certificate --key tls.key --cert tls.crt
Ingress的YAML资源定义清单

  tls:
    - hosts:
        - nginx.com
      secretName: ingress-certificate

使用技巧

对于安全保密等级较高的数据建议使用Secret进行存储及被其他资源所调用。

微信关注我们

原文链接：https://yq.aliyun.com/articles/747563

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

Kubernetes - 6.1 Config and Storage - ConfigMap

什么是ConfigMap ConfigMap为Pod中的容器提供了配置文件、环境变量等非敏感信息，通过ConfigMap可以将Pod和其他组件分开，这将使得Pod更加有移植性，使得配置更加容器更改及管理，也使得Pod更加规范。 Config基本操作通过kubectl create configmapkubectl create configmap nginx-configmap --from-literal=password=123456 通过yaml资源配置清单kubectl apply -f nginx-configmap.yaml apiVersion: v1 kind: List metadata: items: - apiVersion: v1 data: password: "123456" kind: ConfigMap metadata: name: nginx-configmap 通过kubectl get configmap查看详细信息通过kubectl describe configmap查看详细信息 ConfigMap作为存储卷被Pod调用创建Config...

2020-03-02

512

什么是数据卷 (Volumns) 在Kubernetes Pod中的容器系统存储文件是临时的，Pod如果异常重启将会恢复到镜像的原始状态从而会丢失所有的状态包括系统存储文件，或者同一个Pod中多个容器需要共享数据。数据卷诞生就是为了解决这一类数据持久化及数据共享的场景，并与容器的生命周期分离开。什么是PV (PersistentVolume) PV是定义存储数据的方式，例如存储类、存储实现等，是由集群管理员定义的集群资源中的对象。 PV AccessModes 访问模式 ReadOnlyMany(ROX) 允许被多个节点以只读的模式进行挂载。ReadWriteOnce(RWO)允许被单个节点以读写的模式进行挂载。ReadWriteMany(RWX)允许被多个节点以读写的模式进行挂载。 PV Reclaim Policy 回收机制 Retain(保留) 当PVC与PV解除绑定关系后PV处于保留状态，如果有同样声明的PVC时PV将继续可以被绑定使用，期间数据不会被删除。Recycle(回收) 当PVC与PV解除绑定关系后PV将会被回收，如果有新的声明的PVC时PV将继续可以被绑定使用，但...

2020-03-02

534

资源下载

更多资源

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。