Kubernetes - 6.2 Config and Storage - Secrets

什么是Secret

通过Secret可以将敏感信息注入到Pod中的容器，一般用于存储访问私有仓库的账号密码、TLS证书、Token等。Secret可以做为容器依附在Pod中使用，或者可以通过环境变量引入。这是比直接使用ConfigMap更加安全的方式，降低敏感数据直接暴露给未授权用户的风险。

Secret 基本操作

通过kubectl create secret
kubectl create secret generic nginx-secret --from-literal=password=123456

通过yaml资源配置清单
先转换为Base64编码
echo -n "123456" |base64 输出 MTIzNDU2
kubectl apply -f nginx-secret.yaml

apiVersion: v1 kind: Secret metadata: name: nginx-secret type: Opaque data: password: MTIzNDU2

Secret 类型

generic 从文件、目录或命令行参数中创建Secret。
docker-registry 创建针对与Docker Registory身份验证的账号密码。
tls 从输入的密钥对中创建TLS Secret，密钥对必须提前申请好，公钥需要采用.PEM编码并匹配对应的私钥。

参数说明
--from-file 或 --from-env-file 指定包含一个或多个配置文件的目录的路径
--from-literal 指定一对从命令行输入的键值对

Secret作为数据卷被Pod挂载使用

kubectl apply -f nginx-pod-secret.yaml

apiVersion: v1 kind: Secret metadata: name: nginx-secret type: Opaque data: password: MTIzNDU2

apiVersion: v1 kind: Pod metadata: name: nginx-pod labels: app: nginx spec: volumes: - name: secret-volume secret: secretName: nginx-secret containers: - name: nginx image: nginx:1.16 volumeMounts: - name: secret-volume readOnly: true mountPath: "/etc/secret-volume"

Secret作为TLS证书被Ingress调用

kubectl create secret tls ingress-certificate --key tls.key --cert tls.crt
Ingress的YAML资源定义清单

 tls: - hosts: - nginx.com secretName: ingress-certificate

使用技巧

对于安全保密等级较高的数据建议使用Secret进行存储及被其他资源所调用。