本地网站有什么可以做,六安城市网优选,网站大改版,网页传奇平台一 Secret
Secret 是用来保存密码、token、密钥等敏感数据的 k8s 资源#xff0c;这类数据虽然也可以存放在 Pod 或者镜像中#xff0c;但是放在 Secret 中是为了更方便的控制如何使用数据#xff0c;并减少暴露的风险。 1 有三种类型#xff1a;
kubernetes.io/service…一 Secret
Secret 是用来保存密码、token、密钥等敏感数据的 k8s 资源这类数据虽然也可以存放在 Pod 或者镜像中但是放在 Secret 中是为了更方便的控制如何使用数据并减少暴露的风险。 1 有三种类型
kubernetes.io/service-account-token由 Kubernetes 自动创建用来访问 APIServer 的 SecretPod 会默认使用这个 Secret 与 APIServer 通信 并且会自动挂载到 Pod 的 /run/secrets/kubernetes.io/serviceaccount 目录中;
Opaque base64 编码格式的 Secret用来存储用户自定义的密码、密钥等默认的 Secret 类 型; kubernetes.io/dockerconfigjson 用来存储私有 docker registry 的认证信息。
2 Pod 需要先引用才能使用某个 secretPod 有 3 种方式来使用 secret
作为挂载到一个或多个容器上的卷 中的文件。作为容器的环境变量。由 kubelet 在为 Pod 拉取镜像时使用。
应用场景凭据
https://kubernetes.io/docs/concepts/configuration/secret/
二 创建 Secret
1 用kubectl create secret命令创建Secret
创建 Secret
1、用kubectl create secret命令创建Secret
echo -n zhangsan username.txt
echo -n abc1234 password.txtkubectl create secret generic mysecret --from-fileusername.txt --from-filepassword.txtkubectl get secrets
NAME TYPE DATA AGE
default-token-8pqp6 kubernetes.io/service-account-token 3 3d1h
mysecret Opaque 2 51skubectl describe secret mysecret
Name: mysecret
Namespace: default
Labels: none
Annotations: noneType: OpaqueDatapassword.txt: 7 bytes
username.txt: 8 bytes
//get或describe指令都不会展示secret的实际内容这是出于对数据的保护的考虑 2 内容用 base64 编码创建Secret
2、内容用 base64 编码创建Secret
echo -n zhangsan | base64
emhhbmdzYW4Kecho -n abc1234 | base64
YWJjMTIzNAovim secret.yaml
apiVersion: v1
kind: Secret
metadata:name: mysecret1
type: Opaque
data:username: emhhbmdzYW4Kpassword: YWJjMTIzNAokubectl create -f secret.yaml kubectl get secrets
NAME TYPE DATA AGE
default-token-8pqp6 kubernetes.io/service-account-token 3 3d1h
mysecret Opaque 2 43m
mysecret1 Opaque 2 6skubectl get secret mysecret1 -o yaml
apiVersion: v1
data:password: YWJjMTIzNAousername: emhhbmdzYW4K
kind: Secret
metadata:creationTimestamp: 2021-05-24T09:11:18Zname: mysecret1namespace: defaultresourceVersion: 45641selfLink: /api/v1/namespaces/default/secrets/mysecret1uid: fffb7902-bc6f-11eb-acba-000c29d88bba
type: Opaque 3 用挂在存储方式
将 Secret 挂载到 Volume 中以 Volume 的形式挂载到 Pod 的某个目录下
使用方式
1、将 Secret 挂载到 Volume 中以 Volume 的形式挂载到 Pod 的某个目录下
vim secret-test.yaml
apiVersion: v1
kind: Pod
metadata:name: mypod
spec:containers:- name: nginximage: nginxvolumeMounts:- name: secretsmountPath: /etc/secretsreadOnly: truevolumes:- name: secretssecret:secretName: mysecretkubectl create -f secret-test.yamlkubectl get pods
NAME READY STATUS RESTARTS AGE
seret-test 1/1 Running 0 16skubectl exec -it seret-test bash# cd /etc/secrets/# ls
password.txt username.txt# vi password.txt # vi username.txt
错误总结 kubectl exec -it seret-test bash 实践版
apiVersion: v1
kind: Pod
metadata:labels:run: myapp-demo01name: myapp-demo01
spec:containers:- image: soscscs/myapp:v1name: myapp-demo01ports:- containerPort: 80volumeMounts:- name: mysecretmountPath: /etc/secretreadOnly: truerestartPolicy: Alwaysvolumes:- name: mysecretsecret:secretName: mysecret4 将 Secret 导出到环境变量中
vim secret-test1.yaml
apiVersion: v1
kind: Pod
metadata:name: mypod1
spec:containers:- name: nginximage: nginxenv:- name: TEST_USERvalueFrom:secretKeyRef: #调用键值对name: mysecret1key: username- name: TEST_PASSWORD #变量valueFrom:secretKeyRef:name: mysecret1key: passwordkubectl apply -f secret-test1.yaml 项目2
apiVersion: v1
kind: Pod
metadata:labels:run: myapp-demo02name: myapp-demo02
spec:containers:- image: soscscs/myapp:v1name: myapp-demo02env:- name: TEST_USERvalueFrom:secretKeyRef:name: mysecret01key: username- name: TEST_PASSWORDvalueFrom:secretKeyRef:name: mysecret01key: password
~ 文件读取 挂在变量 kubectl exec -it myapp demo03-pod-sc.yaml echo $TEST_USER echo $TEST_PASSWORD 或 env|TEST 中类型secret1 0paque 通用类型(可以通过文件 目录、变量创建)默认类型2 kubernetes,io/service-account-token k8s自动创建的给serviceaccountza在k8s集群内部的专属服务 用户)访问APiserver 使用3 kubernetes.io/dockerconfigison 给k8s 从harbor私有镜像介库去镜像认证使用的4 kubernetes.io/tls 通过TLS 证书来认证的 (私有文件、秘钥)陈述式还可以多次使用也可以指定多个文件目录kubectl cerate secretgeneric --from-file文件指定文件名(把 目录下的所有文件引用进去)----from-literal-键值对(key-value)引用 一个键值对也可以多次挂载的方式定义类型secret 的存储卷volumesvolumeMounts 把存储卷挂载到容器目录secret资源数据中的键 将以文件名的形式显示值文件内容容器环境变量的方式eny
定义容器的环境变量名
使用 valueFrom.secretKeyRef.name指定secret资源的名称
valuerrom.secretKevRef.name指定这个secret资源数据的健名从而确定引用那个键的值
k8s从hatbor私有仓库拉取镜像的时使用
imagePullsecret指定kubernetes.io/dockerconfigjson类型的 secret 来作为连接私有仓库的认证信息三 创建ConfigMap 管理容器的一种工具 与Secret类似区别在于ConfigMap保存的是不需要加密配置的信息。 ConfigMap 功能在 Kubernetes1.2 版本中引入许多应用程序会从配置文件、命令行参数或环境变量中读取配置信息。
ConfigMap API 给我们提供了向容器中注入配置信息的机制ConfigMap 可以被用来保存单个属性也可以用来保存整个配置文件或者JSON二进制大对象。 应用场景应用配置
1 使用目录创建
mkdir /opt/configmap/vim /opt/configmap/game.properties
enemiesaliens
lives3
enemies.cheattrue
enemies.cheat.levelnoGoodRotten
secret.code.passphraseUUDDLRLRBABAS
secret.code.allowedtrue
secret.code.lives30vim /opt/configmap/ui.properties
color.goodpurple
color.badyellow
allow.textmodetrue
how.nice.to.lookfairlyNice ls /opt/configmap/ game.properties ui.properties kubectl create configmap game-config --from-file/opt/configmap--from-file 指定在目录下的所有文件都会被用在 ConfigMap 里面创建一个键值对键的名字就是文件名值就是文件的内容
kubectl get cm
NAME DATA AGE
game-config 2 10s kubectl get cm game-config -o yaml 2 使用文件创建 只要指定为一个文件就可以从单个文件中创建 ConfigMap --from-file 这个参数可以使用多次即可以使用两次分别指定上个实例中的那两个配置文件效果就跟指定整个目录是一样的
