- 1《STM32 HAL库》中断相关函数详尽解析——外部中断服务函数
- 2Stable Diffusion——stable diffusion基础原理详解与安装秋叶整合包进行出图测试
- 3第二弹!又来5个Jupyter Notebook使用技巧!
- 4Spring框架中涉及的设计模式_spring 代码设计
- 5探索 StableDiffusion:生成高质量图片学习及应用
- 6前端面试八股文 - 面试必备_前端八股文面试题2023
- 7测试老鸟分享:掌握2项技能,轻松拿到软件测试工程师offer...
- 8缓存相关问题:雪崩、穿透、预热、更新、降级的深度解析
- 9Kimi创始人套现4000万美元疑云|「商汤」大模型一体机可节约80%推理成本,完成云端边全栈布局|中国AI活化石,熬成AIGC第一股| 谁在制造小米汽车?_商汤 kimi
- 10微信小程序 java ssm 17.微信小程序跑腿平台的设计与实现(完整源码+数据库文件+万字文档+保姆级视频部署教程+配套环境)
揭秘 Kubernetes Secret:安全存储敏感信息的秘密武器
赞
踩
Kubernetes Secret
Secret 是 Kubernetes 中用于存储敏感信息的资源,例如密码、API 密钥和 SSH 密钥。Secret 可以被 Pod 和其他 Kubernetes 资源使用,而无需将敏感信息暴露在配置文件或环境变量中。
1. Secret 类型
Kubernetes 支持多种类型的 Secret,包括:
-
Opaque Secret: 用于存储任意类型的数据,例如密码和 API 密钥。
-
DockerConfig Secret: 用于存储 Docker 镜像仓库的认证信息。
-
TLS Secret: 用于存储 TLS 证书和密钥。
-
SSH Secret: 用于存储 SSH 密钥。
2. Secret 用途
Secret 可用于以下场景:
-
存储数据库密码
-
存储 API 密钥
-
存储 SSH 密钥
-
存储 TLS 证书和密钥
-
存储任何其他敏感信息
3. Secret 类型选择
选择合适的 Secret 类型取决于您要存储的数据类型。
-
如果您要存储任意类型的数据,请使用 Opaque Secret。
-
如果您要存储 Docker 镜像仓库的认证信息,请使用 DockerConfig Secret。
-
如果您要存储 TLS 证书和密钥,请使用 TLS Secret。
-
如果您要存储 SSH 密钥,请使用 SSH Secret。
4. 创建 Secret
您可以使用 kubectl 命令行工具或 Kubernetes API 创建 Secret。
示例:创建 Opaque Secret
apiVersion: v1kind: Secretmetadata: name: my-secretdata: username: my-username password: my-password
-
创建 DockerConfig Secret:
apiVersion: v1kind: Secretmetadata: name: my-dockerconfig-secretdata: .dockercfg: $(echo -n "{\"auths\":{\"https://index.docker.io/v1/\":{\"username\":\"my-username\",\"password\":\"my-password\"}}}") | base64 -w 0
-
创建 TLS Secret:
apiVersion: v1kind: Secretmetadata: name: my-tls-secretdata: tls.crt: $(cat my-tls.crt | base64 -w 0) tls.key: $(cat my-tls.key | base64 -w 0)
-
创建 SSH Secret:
apiVersion: v1kind: Secretmetadata: name: my-ssh-secretdata: ssh-privatekey: $(cat my-ssh-privatekey | base64 -w 0)
5. 使用 Secret
您可以使用以下两种方式将 Secret 注入到 Pod 中:
-
环境变量: 使用
envFrom字段将 Secret 数据注入到 Pod 的环境变量中。 -
Volume: 将 Secret 挂载到 Pod 的 Volume 中。
-
YAML文件
示例:使用环境变量注入 Secret
apiVersion: v1kind: Podmetadata: name: my-podspec: containers: - name: my-container envFrom: - secretRef: name: my-secret
创建 Pod
apiVersion: v1kind: Podmetadata: name: my-podspec: containers: - name: my-container envFrom: - secretRef: name: my-secret查看 Pod 环境变量
kubectl exec -it my-pod -- env | grep -i username
输出结果username=my-username示例:使用 Volume 注入 Secret
创建 Secret
apiVersion: v1kind: Secretmetadata: name: my-secretdata: username: my-username password: my-password
创建 Pod
apiVersion: v1kind: Podmetadata: name: my-podspec: containers: - name: my-container volumeMounts: - name: my-secret mountPath: /etc/secret volumes: - name: my-secret secret: secretName: my-secret
查看 Pod 中的文件
kubectl exec -it my-pod -- cat /etc/secret/username输出:my-username6.管理 Secret
查看 Secret
kubectl get secret编辑 Secret
-
编辑 Secret YAML 文件。
-
使用 kubectl 命令应用 YAML 文件
kubectl apply -f my-secret.yaml删除 Secret
kubectl delete secret my-secret7.示例:使用 OpenSSL 加密 Secret 数据
安装 OpenSSL
-
查看系统是否已安装 OpenSSL
openssl version -a-
下载 OpenSSL 源码
从 OpenSSL 官方网站: https://www.openssl.org/source/ 下载最新版本的 OpenSSL 源码。
-
解压 OpenSSL 源码
tar -xzf openssl-*.tar.gz-
编译和安装 OpenSSL
cd openssl-*
./config
make
make install-
配置环境变量
-
在
/etc/ld.so.conf文件的末尾添加以下内容:
-
/usr/local/ssl/lib-
-
运行以下命令更新环境变量:
-
ldconfig-
验证 OpenSSL 安装
openssl version -a输出OpenSSL 3.0.13 7 MAR 2024生成加密密钥
openssl genrsa -out my-secret.key 2048加密 Secret 数据
openssl aes-256-cbc -in my-secret.yaml -out my-secret.yaml.enc -kfile my-secret.key创建 Secret
apiVersion: v1kind: Secretmetadata: name: my-secretdata: secret-data: $(cat my-secret.yaml.enc | base64 -w 0)
使用环境变量注入 Secret 并解密
apiVersion: v1kind: Podmetadata: name: my-podspec: containers: - name: my-container envFrom: - secretRef: name: my-secret
输出解密 Secret 数据
kubectl exec -it my-pod -- sh -c 'echo $SECRET_DATA | base64 -d | openssl aes-256-cbc -d -kfile my-secret.key'# 这是您的明文 Secret 数据
Secret 是 Kubernetes 中用于存储敏感信息的强大工具。 通过选择合适的 Secret 类型并使用安全实践,可以保护您的敏感信息并确保您的应用程序安全可靠。
关注我,我们一起学习更多知识,带你了解更多职场信息内容.
想要了解更多技术文章请关注公众号“职谷智享”,关注后回复关键字【秒杀】可以领取秒杀系统学习资料
