Secret介绍:
应用启动过程中可能需要一些敏感信息,比如访问数据库的用户名密码或者秘钥。将这些信息直接保存在容器镜像中显然不妥,Kubernetes 提供的解决方案是 Secret。
Secret 可通过命令行或 YAML 创建。比如希望 Secret 中包含如下信息:
创建 Secret
#kubectl create secret generic mysecret --from-literal=username=admin --from-literal=password=123 
#echo -n admin > ./username
#echo -n 123456 > ./password
#kubectl create secret generic mysecret1 --from-file=./username --from-file=./password#cat << EOF > env.txt
username=admin
password=123456
EOF
#kubectl create secret generic mysecret2 --from-env-file=env.txt
如果还想查看 Value,可以用 kubectl edit secret mysecret
volume 方式使用 Secret
Pod 可以通过 Volume 或者环境变量的方式使用 Secret,先学习 Volume 方式。
#vim mypod.ymlkind: Pod
apiVersion: v1
metadata:
name: mypod
spec:
containers:
- name: mypod
image: busybox
args:
- /bin/sh
- -c
- sleep 10; touch /tmp/healthy; sleep 30000
volumeMounts:
- name: foo
mountPath: "/etc/foo"
readOnly: true
volumes:
- name: foo
secret:
secretName: mysecret
① 定义 volume foo,来源为 secret mysecret
② 将 foo mount 到容器路径 /etc/foo,可指定读写权限为 readOnly
(2)我们也可以自定义存放数据的文件名,比如将配置文件改为:
kind: Pod
apiVersion: v1
metadata:
name: mypod2
spec:
containers:
- name: mypod2
image: busybox
args:
- /bin/sh
- -c
- sleep 10; touch /tmp/healthy; sleep 30000
volumeMounts:
- name: foo
mountPath: "/etc/foo"
readOnly: true
volumes:
- name: foo
secret:
secretName: mysecret
items:
- key: username
path: my-group/my-username
- key: passwork
path: my-group/my-password
这时数据将分别存放在 /etc/foo/my-group/my-username 和 /etc/foo/my-group/my-password 中。
以 Volume 方式使用的 Secret 支持动态更新:Secret 更新后,容器中的数据也会更新。
将 password 更新为 abcdef,base64 编码为 YWJjZGVm
环境变量方式使用 Secret
通过 Volume 使用 Secret,容器必须从文件读取数据,会稍显麻烦,Kubernetes 还支持通过环境变量使用 Secret。
通过环境变量 SECRET_USERNAME 和 SECRET_PASSWORD 成功读取到 Secret 的数据。
需要注意的是,环境变量读取 Secret 很方便,但无法支撑 Secret 动态更新。
Secret 可以为 Pod 提供密码、Token、私钥等敏感数据;
删除
#kubectl delete secret mysecret
或
#kubectl delete -f mysecret.yml