k8s应用机密信息与配置管理（九）-睿象云平台

k8s应用机密信息与配置管理（九）

本站部分文章、图片属于网络上可搜索到的公开信息，均用于学习和交流用途，不能代表睿象云的观点、立场或意见。我们接受网民的监督，如发现任何违法内容或侵犯了您的权益，请第一时间联系小编邮箱jiasou666@gmail.com 处理。

k8s应用机密信息与配置管理（九）

secret

应用启动过程中可能需要一些敏感信息，比如访问数据库的用户名密码或者秘钥。将这些信息直接保存在容器镜像中显然不妥，Kubernetes 提供的解决方案是 Secret。

Secret 会以密文的方式存储数据，避免了直接在配置文件中保存敏感信息。Secret 会以 Volume 的形式被 mount 到 Pod，容器可通过文件的方式使用 Secret 中的敏感数据；此外，容器也可以环境变量的方式使用这些数据。

Secret 可通过命令行或 YAML 创建。比如希望 Secret 中包含如下信息：

用户名 admin

密码 123456

创建 Secret

有四种方法创建 Secret：

1. 通过 –from-literal：

kubectl create secret generic mysecret --from-literal=username=admin --from-literal=password=123456

kubectl create secret generic mysecret --from-literal=username=admin --from-literal=password=123456

每个 –from-literal 对应一个信息条目。

2. 通过 –from-file：

echo -n admin > ./usernameecho -n 123456 > ./passwordkubectl create secret generic mysecret --from-file=./username --from-file=./password

echo -n admin > ./usernameecho -n 123456 > ./passwordkubectl create secret generic mysecret --from-file=./username --from-file=./password

每个文件内容对应一个信息条目。

3. 通过 –from-env-file：

cat << EOF > env.txtusername=adminpassword=123456EOFkubectl create secret generic mysecret --from-env-file=env.txt文件 env.txt 中每行 Key=Value 对应一个信息条目。

cat << EOF > env.txtusername=adminpassword=123456EOFkubectl create secret generic mysecret --from-env-file=env.txt文件 env.txt 中每行 Key=Value 对应一个信息条目。

4. 通过 YAML 配置文件：

文件中的敏感数据必须是通过 base64 编码后的结果。

[root@ken ~]# echo  admin | base64YWRtaW4=[root@ken ~]# echo  123456 | base64MTIzNDU2

[root@ken ~]# echo admin | base64YWRtaW4=[root@ken ~]# echo 123456 | base64MTIzNDU2

执行 kubectl apply 创建 Secret：

[root@ken ~]# kubectl apply -f mysecret.ymlsecret/mysecret created

[root@ken ~]# kubectl apply -f mysecret.ymlsecret/mysecret created

查看secret

第一步：通过kubectl get secret查看

[root@ken ~]# kubectl get secret mysecretNAME       TYPE     DATA   AGEmysecret   Opaque   2      99s

[root@ken ~]# kubectl get secret mysecretNAME TYPE DATA AGEmysecret Opaque 2 99s

第二步：显示有两个数据条目，kubectl describe secret 查看条目的 Key：

[root@ken ~]# kubectl describe secret mysecretName:         mysecretNamespace:    defaultLabels:       <none>Annotations:  Type:         OpaqueData====password:  6 bytesusername:  5 bytes

[root@ken ~]# kubectl describe secret mysecretName: mysecretNamespace: defaultLabels: Annotations: Type: OpaqueData====password: 6 bytesusername: 5 bytes

第三步：如果还想查看 Value，可以用 kubectl edit secret mysecret：

[root@ken ~]# kubectl edit secret mysecret# Please edit the object below. Lines beginning with a '#' will be ignored,# and an empty file will abort the edit. If an error occurs while saving this file will be# reopened with the relevant failures.#apiVersion: v1data:  password: MTIzNDU2  username: YWRtaW4=kind: Secretmetadata:  annotations:    kubectl.kubernetes.io/last-applied-configuration: |      {"apiVersion":"v1","data":{"password":"MTIzNDU2","username":"YWRtaW4="},"kind":"Secret","metadata":{"annotations":{},"name":"mysecret","namespace":"default"}}  creationTimestamp: "2019-01-30T12:28:34Z"  name: mysecret  namespace: default  resourceVersion: "111466"  selfLink: /api/v1/namespaces/default/secrets/mysecret  uid: 8f86e1f4-248a-11e9-9172-000c292d5bb8type: Opaque

[root@ken ~]# kubectl edit secret mysecret# Please edit the object below. Lines beginning with a '#' will be ignored,# and an empty file will abort the edit. If an error occurs while saving this file will be# reopened with the relevant failures.#apiVersion: v1data: password: MTIzNDU2 username: YWRtaW4=kind: Secretmetadata: annotations: kubectl.kubernetes.io/last-applied-configuration: | {"apiVersion":"v1","data":{"password":"MTIzNDU2","username":"YWRtaW4="},"kind":"Secret","metadata":{"annotations":{},"name":"mysecret","namespace":"default"}} creationTimestamp: "2019-01-30T12:28:34Z" name: mysecret namespace: default resourceVersion: "111466" selfLink: /api/v1/namespaces/default/secrets/mysecret uid: 8f86e1f4-248a-11e9-9172-000c292d5bb8type: Opaque

第四步：然后通过 base64 将 Value 反编码：

[root@ken ~]# echo  MTIzNDU2 | base64 --decode123456[root@ken ~]# echo  YWRtaW4= | base64 --decodeadmin

[root@ken ~]# echo MTIzNDU2 | base64 --decode123456[root@ken ~]# echo YWRtaW4= | base64 --decodeadmin

在pod中使用secret

在pod中使用secret有两种方式

volume方式使用secret环境变量的方式使用secret

第一种方式：volume 方式使用 Secret

Pod 可以通过 Volume 或者环境变量的方式使用 Secret

第一步：Pod 的配置文件如下所示：

① 定义 volume foo，来源为 secret mysecret。

② 将 foo mount 到容器路径 /etc/foo，可指定读写权限为 readOnly。

第二步：创建 Pod 并在容器中读取 Secret：

[root@ken ~]# kubectl apply -f mypod.ymlpod/mypod created[root@ken ~]# kubectl exec -it mypod sh/ # ls /etc/foopassword  username/ # cat /etc/foo/password / # cat /etc/foo/password 123456/ # / # cat /etc/foo/username admin/ #

[root@ken ~]# kubectl apply -f mypod.ymlpod/mypod created[root@ken ~]# kubectl exec -it mypod sh/ # ls /etc/foopassword username/ # cat /etc/foo/password / # cat /etc/foo/password 123456/ # / # cat /etc/foo/username admin/ #

可以看到，Kubernetes 会在指定的路径 /etc/foo 下为每条敏感数据创建一个文件，文件名就是数据条目的 Key，这里是 /etc/foo/username 和 /etc/foo/password，Value 则以明文存放在文件中。

第三步：我们也可以自定义存放数据的文件名，比如将配置文件改为：

这时数据将分别存放在 /etc/foo/my-group/my-username 和 /etc/foo/my-group/my-password 中。

以 Volume 方式使用的 Secret 支持动态更新：Secret 更新后，容器中的数据也会更新。

第四步：将 password 更新为 abcdef，base64 编码为 YWJjZGVm

更新 Secret。

[root@ken ~]# kubectl apply -f mysecret.ymlsecret/mysecret configured

[root@ken ~]# kubectl apply -f mysecret.ymlsecret/mysecret configured

第五步：一段时间后十几秒到几分钟，新的 password 会同步到容器。

[root@ken ~]# kubectl exec -it mypod sh/ # ls /etc/foopassword  username/ # cat /etc/foo/password abcdef/ #

[root@ken ~]# kubectl exec -it mypod sh/ # ls /etc/foopassword username/ # cat /etc/foo/password abcdef/ #

第二种方式：以环境变量的方式使用secret

第一步：编写yml文件

apiVersion: v1kind: Podmetadata: name: pod-secretspec:  containers:  - name: busybox    image: busybox    args:     - /bin/sh     - -c     - touch test; sleep 6000    imagePullPolicy: IfNotPresent  env:    - name: MY_NAME      valueFrom:       secretKeyRef:         name: mysecret         key: name    - name: MY_MIMA      valueFrom:       secretKeyRef:         name: mysecret         key: mima

apiVersion: v1kind: Podmetadata: name: pod-secretspec: containers: - name: busybox image: busybox args: - /bin/sh - -c - touch test; sleep 6000 imagePullPolicy: IfNotPresent env: - name: MY_NAME valueFrom: secretKeyRef: name: mysecret key: name - name: MY_MIMA valueFrom: secretKeyRef: name: mysecret key: mima

第二步：执行该yml文件并进行访问

[root@ken1 ~]# kubectl apply -f pod-secret.ymlpod/pod-secret created[root@ken1 ~]# kubectl get po'NAME          READY   STATUS    RESTARTS   AGEpod-secret    1/1     Running   0          4s[root@ken1 ~]# kubectl exec -it pod-secret /bin/sh/ # lsbin   dev   etc   home  proc  root  sys   test  tmp   usr   var/ # printenvKUBERNETES_SERVICE_PORT=443KUBERNETES_PORT=tcp://10.96.0.1:443HOSTNAME=pod-secretSHLVL=1HOME=/rootTERM=xtermKUBERNETES_PORT_443_TCP_ADDR=10.96.0.1PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/binKUBERNETES_PORT_443_TCP_PORT=443KUBERNETES_PORT_443_TCP_PROTO=tcpMY_NAME=kenMY_MIMA=123KUBERNETES_SERVICE_PORT_HTTPS=443KUBERNETES_PORT_443_TCP=tcp://10.96.0.1:443KUBERNETES_SERVICE_HOST=10.96.0.1PWD=/

[root@ken1 ~]# kubectl apply -f pod-secret.ymlpod/pod-secret created[root@ken1 ~]# kubectl get po'NAME READY STATUS RESTARTS AGEpod-secret 1/1 Running 0 4s[root@ken1 ~]# kubectl exec -it pod-secret /bin/sh/ # lsbin dev etc home proc root sys test tmp usr var/ # printenvKUBERNETES_SERVICE_PORT=443KUBERNETES_PORT=tcp://10.96.0.1:443HOSTNAME=pod-secretSHLVL=1HOME=/rootTERM=xtermKUBERNETES_PORT_443_TCP_ADDR=10.96.0.1PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/binKUBERNETES_PORT_443_TCP_PORT=443KUBERNETES_PORT_443_TCP_PROTO=tcpMY_NAME=kenMY_MIMA=123KUBERNETES_SERVICE_PORT_HTTPS=443KUBERNETES_PORT_443_TCP=tcp://10.96.0.1:443KUBERNETES_SERVICE_HOST=10.96.0.1PWD=/

ConfigMap 管理配置

Secret 可以为 Pod 提供密码、Token、私钥等敏感数据；对于一些非敏感数据，比如应用的配置信息，则可以用 ConfigMap。

ConfigMap 的创建和使用方式与 Secret 非常类似，主要的不同是数据以明文的形式存放。

与 Secret 一样，ConfigMap 也支持四种创建方式：

1. 通过 –from-literal：

kubectl create configmap myconfigmap --from-literal=config1=xxx --from-literal=config2=yyy

kubectl create configmap myconfigmap --from-literal=config1=xxx --from-literal=config2=yyy

每个 –from-literal 对应一个信息条目。

2. 通过 –from-file：

echo -n xxx > ./config1echo -n yyy > ./config2kubectl create configmap myconfigmap --from-file=./config1 --from-file=./config2

echo -n xxx > ./config1echo -n yyy > ./config2kubectl create configmap myconfigmap --from-file=./config1 --from-file=./config2

每个文件内容对应一个信息条目。

3. 通过 –from-env-file：

cat << EOF > env.txtconfig1=xxxconfig2=yyyEOFkubectl create configmap myconfigmap --from-env-file=env.txt文件 env.txt 中每行 Key=Value 对应一个信息条目。

cat << EOF > env.txtconfig1=xxxconfig2=yyyEOFkubectl create configmap myconfigmap --from-env-file=env.txt文件 env.txt 中每行 Key=Value 对应一个信息条目。

5.查看configmap

[root@ken-master ~]# kubectl get configmapNAME       DATA   AGEmyconfig   2      117s

[root@ken-master ~]# kubectl get configmapNAME DATA AGEmyconfig 2 117s

6.查看configmap中的详细信息

[root@ken-master ~]# kubectl get configmapNAME       DATA   AGEmyconfig   2      117s[root@ken-master ~]# kubectl describe configmap myconfigName:         myconfigNamespace:    defaultLabels:       <none>Annotations:  kubectl.kubernetes.io/last-applied-configuration:                {"apiVersion":"v1","data":{"password":"kenken13","username":"ken"},"kind":"ConfigMap","metadata":{"annotations":{},"name":"myconfig","name...Data====username:----kenpassword:----kenken13Events:  <none>

[root@ken-master ~]# kubectl get configmapNAME DATA AGEmyconfig 2 117s[root@ken-master ~]# kubectl describe configmap myconfigName: myconfigNamespace: defaultLabels: Annotations: kubectl.kubernetes.io/last-applied-configuration: {"apiVersion":"v1","data":{"password":"kenken13","username":"ken"},"kind":"ConfigMap","metadata":{"annotations":{},"name":"myconfig","name...Data====username:----kenpassword:----kenken13Events:

文件中的数据直接以明文输入。

7.与 Secret 一样，Pod 也可以通过 Volume 或者环境变量的方式使用 Secret。

大多数情况下，配置信息都以文件形式提供，所以在创建 ConfigMap 时通常采用 –from-file 或 YAML 方式，读取 ConfigMap 时通常采用 Volume 方式。

与 Secret 一样，Volume 形式的 ConfigMap 也支持动态更新。