Kubernetes的Secret

1. Secret介绍
   Secret解决了密码、token、密钥等敏感数据的配置问题，而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。
2. Secret类型
   目前Secret的类型有3种：
   （1）Opaque(default)：任意字符串，base64编码格式的Secret，用来存储密码、密钥等；
   （2）kubernetes.io/service-account-token：作用于ServiceAccount，就是kubernetes的Service Account中所说的。 即用来访问Kubernetes API，由Kubernetes自动创建，并且会自动挂载到Pod的/run/secrets/kubernetes.io/serviceaccount目录中；
   （3）kubernetes.io/dockercfg: 作用于Docker registry，用户下载docker镜像认证使用。用来存储私有docker registry的认证信息。
3. Opaque Secret类型

   #Opaque类型的数据是一个map类型，要求value是base64编码格式：##创建admin账户echo -n "admin" | base64YWRtaW4=echo -n "1f2d1e2e67df" | base64MWYyZDFlMmU2N2Rm

   #创建secret.yamlcat >> secrets.yml << EOFapiVersion: v1kind: Secretmetadata: ???name: mysecrettype: Opaquedata: ???password: MWYyZDFlMmU2N2Rm ???username: YWRtaW4=

   #创建secretkubectl create -f secrets.yml

   #查看secret运行状态kubectl get secret --all-namespacesNAMESPACE ????NAME ????????????????????????????????????????????TYPE ?????????????????????????????????DATA ?????AGEdefault ??????mysecret ????????????????????????????????????????Opaque ???????????????????????????????2 ????????10m

   #使用secret##创建好secret之后，有两种方式来使用它：（1）以Volume方式（2）以环境变量方式

4. 将Secret挂载到Volume中

   #创建nginx.yamlapiVersion: v1kind: Podmetadata: ???labels: ???????name: wtf ???name: mypodspec: ???volumes: ???- name: secrets ???????secret: ???????????secretName: mysecret ???containers: ???- image: nginx:1.7.9 ???????name: nginx ???????volumeMounts: ???????- name: secrets ???????????mountPath: "/etc/secrets" ???????????readOnly: true ???????ports: ???????- name: cp ??????????containerPort: 5432 ??????????hostPort: 5432##说明：这样就可以通过文件的方式挂载到容器内，在/etc/secrets目录下回生成这个文件。 

   #查看Pod运行状态kubectl get podNAME ?????READY ????STATUS ???RESTARTS ??AGEmypod ????1/1 ??????Running ??0 ?????????12s

   #进入容器内部查看/etc/secrets目录下文件kubectl exec -it mypod /bin/bashroot@mypod:/# cd /etc/secretsroot@mypod:/etc/secrets# ls -ltotal 0lrwxrwxrwx 1 root root 15 Jun ?1 07:25 password -> ..data/passwordlrwxrwxrwx 1 root root 15 Jun ?1 07:25 username -> ..data/usernamecat usernameadmincat password 1f2d1e2e67df

5. 将Secret导出到环境变量中

   #创建wordpress.yamlapiVersion: extensions/v1beta1kind: Deploymentmetadata: ???name: wordpress-deploymentspec: ???replicas: 2 ???template: ???????metadata: ???????????labels: ???????????????app: wordpress ???????spec: ???????????containers: ???????????- name: "wordpress" ???????????????image: "wordpress:latest" ???????????????ports: ???????????????- containerPort: 80 ???????????????env: ???????????????- name: WORDPRESS_DB_USER ???????????????????valueFrom: ???????????????????????secretKeyRef: ???????????????????????????name: mysecret ???????????????????????????key: username ???????????????- name: WORDPRESS_DB_PASSWORD ???????????????????valueFrom: ???????????????????????secretKeyRef: ???????????????????????????name: mysecret ???????????????????????????key: password

   #查看Pod运行状态kubectl get poNAME ???????????????????????????????????READY ????STATUS ???RESTARTS ??AGEwordpress-deployment-6b569fbb7d-8qcpg ??1/1 ??????Running ??0 ?????????2mwordpress-deployment-6b569fbb7d-xwwkg ??1/1 ??????Running ??0 ?????????2m##说明：进入容器通过env命令，你将可以看到这两个环境变量被注入到容器内。

   #进入容器内部查看环境变量kubectl exec -it wordpress-deployment-694f4c79b4-cpsxw ?/bin/bashroot@wordpress-deployment-694f4c79b4-cpsxw:/var/www/html# envWORDPRESS_DB_USER=adminWORDPRESS_DB_PASSWORD=1f2d1e2e67df

6. kubernetes.io/dockerconfigjson

   #可以直接用kubectl命令来创建用于docker registry认证的secret：kubectl create secret docker-registry myregistrykey --docker-server=DOCKER_REGISTRY_SERVER --docker-username=DOCKER_USER --docker-password=DOCKER_PASSWORD --docker-email=DOCKER_EMAILsecret "myregistrykey" created

   #也可以直接读取~/.docker/config.json的内容来创建：cat ~/.docker/config.json | base64cat > myregistrykey.yaml << EOFapiVersion: v1kind: Secretmetadata: ???name: myregistrykeydata: ???.dockerconfigjson: UmVhbGx5IHJlYWxseSByZWVlZWVlZWVlZWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWxsbGxsbGxsbGxsbGxsbGxsbGxsbGxsbGxsbGxsbGx5eXl5eXl5eXl5eXl5eXl5eXl5eSBsbGxsbGxsbGxsbGxsbG9vb29vb29vb29vb29vb29vb29vb29vb29vb25ubm5ubm5ubm5ubm5ubm5ubm5ubm5ubmdnZ2dnZ2dnZ2dnZ2dnZ2dnZ2cgYXV0aCBrZXlzCg==type: kubernetes.io/dockerconfigjsonEOF

   #创建kubectl create -f myregistrykey.yaml

7. 实战kubernetes.io/dockerconfigjson的运用

   #在创建Pod的时候，通过imagePullSecrets来引用刚创建的myregistrykey:apiVersion: v1kind: Podmetadata: ???name: foospec: ???containers: ???????- name: foo ???????????image: janedoe/awesomeapp:v1 ???imagePullSecrets: ???????- name: myregistrykey

8. Service Account类型

   #Service Account用来访问Kubernetes API，由Kubernetes自动创建，并且会自动挂载到Pod的/run/secrets/kubernetes.io/serviceaccount目录中。kubectl run nginx --image nginxdeployment "nginx" createdkubectl get podsNAME ????????????????????READY ????STATUS ???RESTARTS ??AGEnginx-3137573019-md1u2 ??1/1 ??????Running ??0 ?????????13skubectl exec nginx-3137573019-md1u2 ls /run/secrets/kubernetes.io/serviceaccountca.crtnamespacetoken

Kubernetes的Secret

原文地址：http://blog.51cto.com/wutengfei/2123231