Secret

    Secret有三种类型:

    • Opaque:base64 编码格式的 Secret,用来存储密码、密钥等;但数据也可以通过base64 –decode解码得到原始数据,所有加密性很弱。
    • kubernetes.io/dockerconfigjson:用来存储私有docker registry的认证信息。
    • kubernetes.io/service-account-token:用于被serviceaccount引用,serviceaccout 创建时Kubernetes会默认创建对应的secret。Pod如果使用了serviceaccount,对应的secret会自动挂载到Pod目录/run/secrets/kubernetes.io/serviceaccount中。

    Opaque 类型的数据是一个 map 类型,要求value是base64编码格式,比如我们来创建一个用户名为 admin,密码为 admin321 的 Secret 对象,首先我们先把这用户名和密码做 base64 编码,

    然后我们就可以利用上面编码过后的数据来编写一个YAML文件:(secret-demo.yaml)

    1. apiVersion: v1
    2. kind: Secret
    3. metadata:
    4.   name: mysecret
    5. type: Opaque
    6. data:
    7.   username: YWRtaW4=
    8.   password: YWRtaW4zMjE=

    然后同样的我们就可以使用kubectl命令来创建了:

    1. $ kubectl create -f secret-demo.yaml
    2. secret "mysecret" created

    利用get secret命令查看:

    1. $ kubectl get secret
    2. NAME                  TYPE                                  DATA      AGE
    3. default-token-n9w2d   kubernetes.io/service-account-token   3         33d
    4. mysecret              Opaque                                2         40s

    使用describe命令,查看详情:

    1. $ kubectl describe secret mysecret
    2. Name:         mysecret
    3. Namespace:    default
    4. Labels:       <none>
    5. Annotations:  <none>
    7. Type:  Opaque
    9. Data
    10. ====
    11. password:  8 bytes
    12. username:  5 bytes

    我们可以看到利用describe命令查看到的Data没有直接显示出来,如果想看到Data里面的详细信息,同样我们可以输出成YAML文件进行查看:

    1. $ kubectl get secret mysecret -o yaml
    2. apiVersion: v1
    3. data:
    4.   password: YWRtaW4zMjE=
    5.   username: YWRtaW4=
    6. kind: Secret
    7. metadata:
    8.   name: mysecret
    9.   namespace: default
    11.   selfLink: /api/v1/namespaces/default/secrets/mysecret
    12.   uid: 39c139f5-73d5-11e8-a101-525400db4df7
    13. type: Opaque

    创建好Secret对象后,有两种方式来使用它:

    • 以环境变量的形式
    • 以Volume的形式挂载

    主要上面环境变量中定义的secretKeyRef关键字,和我们上节课的configMapKeyRef是不是比较类似,一个是从Secret对象中获取,一个是从ConfigMap对象中获取,创建上面的Pod

    1. $ kubectl create -f secret1-pod.yaml
    2. pod "secret1-pod" created

    然后我们查看Pod的日志输出:

    1. $ kubectl logs secret1-pod
    2. ...
    3. USERNAME=admin
    4. PASSWORD=admin321
    5. ...

    可以看到有 USERNAME 和 PASSWORD 两个环境变量输出出来。

    Volume 挂载

    同样的我们用一个Pod来验证下Volume挂载,创建一个Pod文件:(secret2-pod.yaml)

    1. apiVersion: v1
    2. kind: Pod
    3. metadata:
    4.   name: secret2-pod
    5. spec:
    6.   containers:
    7.   - name: secret2
    8.     image: busybox
    9.     command: ["/bin/sh", "-c", "ls /etc/secrets"]
    10.     volumeMounts:
    11.     - name: secrets
    12.       mountPath: /etc/secrets
    13.   volumes:
    14.   - name: secrets
    15.     secret:
    16.      secretName: mysecret

    创建Pod:

    1. $ kubectl create -f secret-pod2.yaml
    2. pod "secret2-pod" created

    然后我们查看输出日志:

    1. $ kubectl logs secret2-pod
    2. password
    3. username

    可以看到secret把两个key挂载成了两个对应的文件。当然如果想要挂载到指定的文件上面,是不是也可以使用上一节课的方法:在secretName下面添加items指定 key 和 path,这个大家可以参考上节课ConfigMap中的方法去测试下。

    除了上面的Opaque这种类型外,我们还可以来创建用户docker registry认证的Secret,直接使用kubectl create命令创建即可,如下:

    然后查看Secret列表:

    1. $ kubectl get secret
    2. NAME                  TYPE                                  DATA      AGE
    3. default-token-n9w2d   kubernetes.io/service-account-token   3         33d
    4. myregistry            kubernetes.io/dockerconfigjson        1         15s
    5. mysecret              Opaque                                2         34m
    1. $ kubectl describe secret myregistry
    2. Namespace:    default
    3. Labels:       <none>
    4. Annotations:  <none>
    6. Type:  kubernetes.io/dockerconfigjson
    8. Data
    9. ====
    10. .dockerconfigjson:  152 bytes

    同样的可以看到Data区域没有直接展示出来,如果想查看的话可以使用-o yaml来输出展示出来:

    1. $ kubectl get secret myregistry -o yaml
    2. apiVersion: v1
    3. data:
    4.   .dockerconfigjson: eyJhdXRocyI6eyJET0NLRVJfU0VSVkVSIjp7InVzZXJuYW1lIjoiRE9DS0VSX1VTRVIiLCJwYXNzd29yZCI6IkRPQ0tFUl9QQVNTV09SRCIsImVtYWlsIjoiRE9DS0VSX0VNQUlMIiwiYXV0aCI6IlJFOURTMFZTWDFWVFJWSTZSRTlEUzBWU1gxQkJVMU5YVDFKRSJ9fX0=
    5. kind: Secret
    6. metadata:
    7.   creationTimestamp: 2018-06-19T16:01:05Z
    8.   name: myregistry
    9.   namespace: default
    10.   resourceVersion: "3696966"
    11.   selfLink: /api/v1/namespaces/default/secrets/myregistry
    12.   uid: f91db707-73d9-11e8-a101-525400db4df7
    13. type: kubernetes.io/dockerconfigjson

    可以把上面的data.dockerconfigjson下面的数据做一个base64解码,看看里面的数据是怎样的呢?

    1. $ echo eyJhdXRocyI6eyJET0NLRVJfU0VSVkVSIjp7InVzZXJuYW1lIjoiRE9DS0VSX1VTRVIiLCJwYXNzd29yZCI6IkRPQ0tFUl9QQVNTV09SRCIsImVtYWlsIjoiRE9DS0VSX0VNQUlMIiwiYXV0aCI6IlJFOURTMFZTWDFWVFJWSTZSRTlEUzBWU1gxQkJVMU5YVDFKRSJ9fX0= | base64 -d
    2. {"auths":{"DOCKER_SERVER":{"username":"DOCKER_USER","password":"DOCKER_PASSWORD","email":"DOCKER_EMAIL","auth":"RE9DS0VSX1VTRVI6RE9DS0VSX1BBU1NXT1JE"}}}

    如果我们需要拉取私有仓库中的docker镜像的话就需要使用到上面的myregistry这个Secret

    1. apiVersion: v1
    2. kind: Pod
    3. metadata:
    4.   name: foo
    5. spec:
    6.   containers:
    7.   - name: foo
    8.     image: 192.168.1.100:5000/test:v1
    9.   imagePullSecrets:
    10.   - name: myregistrykey

    我们需要拉取私有仓库镜像192.168.1.100:5000/test:v1,我们就需要针对该私有仓库来创建一个如上的Secret,然后在Pod的 YAML 文件中指定imagePullSecrets,我们会在后面的私有仓库搭建的课程中跟大家详细说明的。

    另外一种Secret类型就是kubernetes.io/service-account-token,用于被serviceaccount引用。serviceaccout 创建时 Kubernetes 会默认创建对应的 secret。Pod 如果使用了 serviceaccount,对应的secret会自动挂载到Pod的/run/secrets/kubernetes.io/serviceaccount目录中。

    这里我们使用一个nginx镜像来验证一下,大家想一想为什么不是呀busybox镜像来验证?当然也是可以的,但是我们就不能在command里面来验证了,因为token是需要Pod运行起来过后才会被挂载上去的,直接在command命令中去查看肯定是还没有 token 文件的。

    最后我们来对比下SecretConfigMap这两种资源对象的异同点:

    相同点:

    • key/value的形式
    • 属于某个特定的namespace
    • 可以导出到环境变量
    • 可以通过目录/文件形式挂载
    • 通过 volume 挂载的配置信息均可热更新

    不同点:

    • Secret 可以被 ServerAccount 关联
    • Secret 可以存储 docker register 的鉴权信息,用在 ImagePullSecret 参数中,用于拉取私有仓库的镜像
    • Secret 支持 Base64 加密