热门标签
热门文章
- 1Android 开发中 Gradle 使用详解:构建、配置与优化技巧_android gradle 构建工具配置常用
- 2家庭宽带相关知识及工具_ftto和fttr的区别
- 3访问网站显示不安全怎么办?
- 4alibaba fastjson对象转换异常com.alibaba.fastjson.JSONException: not match : - =, info : pos 8, line 1,xxx
- 5python下 import Matplotlib.pyplot as plt 的使用_matplotlib.pyplot as plt调用方法
- 6sql注入原理及各姿势sqlmap使用,2024年最新万分膜拜_sqlmap2024年最新注入实战
- 7kafka-消费者服务搭建&配置&简单消费(SpringBoot整合Kafka)_spring kafka消费者配置
- 8starknet学习资料汇集这一篇就够了(持续更新)_starknet astro 成都
- 9面向决策者的区块链教程(一)
- 10深入探究 Vue.js 高级技术:从响应式系统到高效组件设计的实战指南
当前位置: article > 正文
【云原生】Secret敏感信息存储_secret的大小限制
作者:爱喝兽奶帝天荒 | 2024-08-11 00:14:02
赞
踩
secret的大小限制
Secret敏感信息存储
介绍
- Secret是一种包含少量敏感信息例如密码、令牌或密钥的对象。这样的信息可能会被放在Pod规约种或者镜像中。使用Secret意味着你不需要再应用程序代码中包含机制数据。
- 由于创建Secret可以独立于使用它们的Pod,因此在创建、查看和编辑Pod的工作流程中暴露Secret(及其数据)的风险较小。Kubernetes和在集群中运行的应用程序也可以对Secret采取额外的预防措施,例如避免讲敏感数据写入非易失性存储。
- Secret类似于ConfigMap但专门用来保存机密数据。
一、Secret
1.1、Secret名称与数据的约束
- Secret对象的名称必须是合法的DNS子域名。
- 在为创建Secret编写配置文件时,你可以设置
data与/或stringData字段。data和stringData字段都是可选的。data字段中国所有键值都必须是base54编码的字符串。如果不希望指定这种base64字符串的转换操作,你可以选择设置stringData字段,其中可以使用任何字符串作为其取值。 data和srtingData中的键名只能包含字母、数据、-、_或.字符。stringData字段中的所有键值对都会在内部被合并到data字段中。如果某个主键同时出现在data和stringData字段中,stringData所指定的键值具有高优先级。
1.2、尺寸限制
- 每个Secret的尺寸最多为1MB。驰加这一限制是为了避免用户创建非常大的Secret,进而导致API服务器和kubelet内存耗尽。不过创建很多小的Secret也可能耗尽内存。你可以使用资源配额来约束每个名称空间中Secret(后其他资源)的个数。
1.3、编辑Secret
- 你可以编辑一个已有的Secret。除非它是不可变更的。
1.4、可选的Secret
- 当你在Pod中引用Secret时,你可以将该Secret标记为可选,就像下面的例子中所展示的那样。如果可选的Secret不存在,Kubernetes将忽略它。然后直接创建你要想的资源。
apiVersion: v1 kind: Pod metadata: name: mypod spec: containers: - name: mypod image: redis volumeMounts: - name: foo mountPath: "/etc/foo" readOnly: true volumes: - name: foo secret: secretName: mysecret # optional字段设置为true表示这是一个可选的Secret。 optional: true
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
二、Secret创建
- 本文展示如何安全地将敏感数据(如密码和加密密钥)注入到Pod中。
2.1、将Secret数据转换为base-64形式
- 假设用户想要两条Secret数据:用户名
my-app和密码39528$vdg7Jb。首先使用base64编码将用户名和密码转换为base-64形式。下面是一个使用常用的base程序的示例: - 以下的base-64的回显结果的形式的用户名为
bXktYXBw,base-64形式的密码为Mzk1MjgkdmRnN0pi。
# 用户名base64
[root@master ~]# echo -n 'my-app' | base64
bXktYXBw
# 密码base64
[root@master ~]# echo -n '39528$vdg7Jb' | base64
Mzk1MjgkdmRnN0pi
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
2.2、创建Secret
- 这是一个配置文件,可以用来创建存储有用户名和密码的Secret:
[root@master ~]# vim secret.yaml
apiVersion: "v1"
kind: Secret
metadata:
name: test-secret
type: Opaque
data:
# 此处的键的值是单行内容
username: bXktYXBw
password: Mzk1MjgkdmRnN0pi
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
# 创建Secret
[root@master ~]# kubectl apply -f secret.yaml
- 1
- 2
# 查看Secret相关信息
[root@master ~]# kubectl get secrets test-secret
NAME TYPE DATA AGE
test-secret Opaque 2 39s
# 回显字段解释
NAME:Secret存储的名称
TYPE:Secret的类型
DATA:描述Secret存储中有几个数据,一个键表示一个数据
AGE:表示Secret被创建的时间
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
# 查看Secret相关的更多详细信息
# 仔细观察可以发现,我们定义的值被加密了
[root@master ~]# kubectl describe secrets test-secret
Name: test-secret
Namespace: default
Labels: <none>
Annotations: <none>
Type: Opaque
Data
====
password: 12 bytes
username: 6 bytes
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
2.3、直接用kubectl创建Secret
- 如果你希望略过Base64编码的步骤,你也可以使用
kubectl create secret的命令直接创建Secret,例如: - 这是一种更为方便的方法。前面展示的详细分解步骤有助于了解究竟发生了什么事情。
- 你也可以使用前面相同的命令去查询这个secret。(注意名字)
[root@master ~]# kubectl create secret generic secret --from-literal='username=my-app' --from-literal='password=password=39528$vdg7Jb'
- 1
三、引用Secret
- 注意:以下的所有引用都可能引用刚刚创建的Secret,请先提前准备好Secret存储。
3.1、创建一个可以通过卷访问Secret数据的Pod
- 这里是一个可以用来创建Pod的配置文件:
[root@master ~]# vim secret-pod.yaml apiVersion: "v1" kind: Pod metadata: name: secret-test-pod spec: restartPolicy: Always containers: - name: test-container image: nginx:latest imagePullPolicy: IfNotPresent volumeMounts: # name 必须与下面的卷名匹配 - name: secret-volume mountPath: "/etc/secret-volume" readOnly: true # Secret 数据通过一个卷暴露给该Pod中的容器 volumes: - name: secret-volume # 这个卷将会从下面的test-secret中取值 secret: secretName: test-secret
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
# 创建Pod
[root@master ~]# kubectl apply -f secret-pod.yaml
# 确定Pod正在运行
[root@master ~]# kubectl get pod
NAME READY STATUS RESTARTS AGE
secret-test-pod 1/1 Running 0 34s
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
# Secret数据卷通过挂载在/etc/secret-volume目录下的卷暴露在容器中
# 在shell中,列举/etc/secret-volume目录下的文件
# 使用以下命令可以看到两个文件,每个对应一个Secret数据条目
[root@master ~]# kubectl exec -it secret-test-pod -- ls /etc/secret-volume
password username
- 1
- 2
- 3
- 4
- 5
# Secret data映射中的每个键都成为被挂载目录下的文件名
# 显示username和password文件的内容
[root@master ~]# kubectl exec -it secret-test-pod -- cat /etc/secret-volume/username
my-app
[root@master ~]# kubectl exec -it secret-test-pod -- cat /etc/secret-volume/password
39528$vdg7Jb
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
3.2、映射Secret键到特定的文件路径
- 你还可以控制卷内Secret键的映射路径。使用
.spec.volumes[].secret.items字段来改变每个键的目标路径
# 如果你使用.spec.volumes[].secret.items明确地列出键,请考虑以下事情 # 只有在items字段中指定的键才会被映射到挂载目录下 # 要使用Secret中全部的键,那么全部的键都必须列在items字段中 # 所有列出的键必须存在于相应的Secret中,否则该卷不会被创建 [root@master ~]# vim secret-mypod.yaml apiVersion: "v1" kind: Pod metadata: name: mypod spec: containers: - name: mypod image: nginx imagePullPolicy: IfNotPresent volumeMounts: - name: foo mountPath: "/etc/foo" readOnly: true volumes: - name: foo secret: secretName: test-secret items: # 来自test-secret的键username可以在路径为/etc/foo/my-group/my-username下供容器使用,而不是路径/etc/foo/username - key: username path: "my-group/my-username" - key: password path: "1/2/3/4/password.conf"
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
# 创建Pod
[root@master ~]# kubectl apply -f secret-mypod.yaml
# 确定Pod正在运行
[root@master ~]# kubectl get pod
NAME READY STATUS RESTARTS AGE
mypod 1/1 Running 0 107s
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
# 如果以下命令验证效果
# 可以很明显的看出,我们在使用Secret的时候是可以选择我们的配置文件放在什么目录下,但是需要注意的是父目录永远是挂载Pod中的目录
[root@master ~]# kubectl exec -it mypod -- ls /etc/foo/my-group/
my-username
[root@master ~]# kubectl exec -it mypod -- ls /etc/foo/1/2/3/4/
password.conf
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
3.3、使用Secret数据定义容器变量
- 在你的容器中,你可以以环境变量的方式使用Secret中的数据。
- 如果容器已经使用了在环境变量中的Secret,除非容器重新启动,否则容器将无法感知到Secret的更新。有第三方解决方案可以在Secret该表时触发容器重启。
[root@master ~]# vim secret-env.yaml apiVersion: "v1" kind: Pod metadata: name: env-single-secret spec: containers: - name: envars-test-container image: nginx:latest imagePullPolicy: IfNotPresent env: # 定义一个变量名为 SECRET_USERNAME - name: SECRET_USERNAME valueFrom: # 新变量的值将会从test-secret存储中的username键取值 secretKeyRef: name: test-secret key: username
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
# 创建Pod
[root@master ~]# kubectl apply -f secret-env.yaml
# 确定Pod正在运行
[root@master ~]# kubectl get pod
NAME READY STATUS RESTARTS AGE
env-single-secret 1/1 Running 0 22s
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
# 在Shell中,显示容器环境变量SECRET_USERNAME的内容
[root@master ~]# kubectl exec -it env-single-secret -- /bin/sh -c 'echo $SECRET_USERNAME'
my-app
- 1
- 2
- 3
3.4、使用来自多个Secret的数据定义环境变量
- 使用命令行创建多个Secret
[root@master ~]# kubectl create secret generic backend-user --from-literal=backend-username='backend-admin'
[root@master ~]# kubectl create secret generic db-user --from-literal=db-username='db-admin'
- 1
- 2
- 3
- 4
- 在Pod规约中定义环境变量
[root@master ~]# vim envars-secret.yaml apiVersion: "v1" kind: Pod metadata: name: envvars-multiple-secrets spec: containers: - name: envars-test-container image: nginx:latest imagePullPolicy: IfNotPresent env: - name: BACKEND_USERNAME valueFrom: secretKeyRef: name: backend-user key: backend-username - name: DB_USERNAME valueFrom: secretKeyRef: name: db-user key: db-username
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
# 创建Pod
[root@master ~]# kubectl apply -f envars-secret.yaml
# 确定Pod正在运行
[root@master ~]# kubectl get pod
NAME READY STATUS RESTARTS AGE
envvars-multiple-secrets 1/1 Running 0 15s
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
# 在shell中,显示容器环境变量的内容
[root@master ~]# kubectl exec -i -t envvars-multiple-secrets -- /bin/sh -c 'env | grep _USERNAME'
DB_USERNAME=db-admin
BACKEND_USERNAME=backend-admin
- 1
- 2
- 3
- 4
3.5、将Secret中的所有键值对定义为环境变量
- 说明:此功能在Kubernetes 1.6版本之后可用
# 使用envFrom来将Secret中的所有数据定义为环境变量。Secret中的键名成为容器中的环境变量名
[root@master ~]# vim suoyou-env.yaml
apiVersion: "v1"
kind: Pod
metadata:
name: envfrom-secret
spec:
containers:
- name: envars-test-container
image: nginx:latest
imagePullPolicy: IfNotPresent
envFrom:
- secretRef:
name: test-secret
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
# 创建Pod
[root@master ~]# kubectl apply -f suoyou-env.yaml
# 确定Pod正在运行
[root@master ~]# kubectl get pod
NAME READY STATUS RESTARTS AGE
envfrom-secret 1/1 Running 0 25s
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
# 在Shell中,显示环境变量username和password的内容
[root@master ~]# kubectl exec -i -t envfrom-secret -- /bin/sh -c 'echo "username: $username\npassword: $password\n"'
username: my-app
password: 39528$vdg7Jb
- 1
- 2
- 3
- 4
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/爱喝兽奶帝天荒/article/detail/961144
推荐阅读
相关标签
