使用 Secret 安全地分发凭证

本文展示如何安全地将敏感数据(如密码和加密密钥)注入到 Pods 中。

准备开始

你必须拥有一个 Kubernetes 的集群,同时你的 Kubernetes 集群必须带有 kubectl 命令行工具。 如果你还没有集群,你可以通过 Minikube 构建一 个你自己的集群,或者你可以使用下面任意一个 Kubernetes 工具构建:

要获知版本信息,请输入 kubectl version.

将 secret 数据转换为 base-64 形式

假设用户想要有两条 secret 数据:用户名 my-app 和密码 39528$vdg7Jb。 首先使用 Base64 编码 将用户名和密码转化为 base-64 形式。 这里是一个 Linux 示例:

  1. ```shell
  2. echo -n 'my-app' | base64
  3. echo -n '39528$vdg7Jb' | base64
  4. ```

结果显示 base-64 形式的用户名为 bXktYXBw, base-64 形式的密码为 Mzk1MjgkdmRnN0pi

创建 Secret

这里是一个配置文件,可以用来创建存有用户名和密码的 Secret:

pods/inject/secret.yaml 使用 Secret 安全地分发凭证 - 图1
  1. apiVersion: v1
  2. kind: Secret
  3. metadata:
  4. name: test-secret
  5. data:
  6. username: bXktYXBw
  7. password: Mzk1MjgkdmRnN0pi
  1. 创建 Secret

    1. kubectl create -f https://k8s.io/examples/pods/inject/secret.yaml

    注意: 如果想要跳过 Base64 编码的步骤,可以使用 kubectl create secret 命令来创建 Secret:

    1. kubectl create secret generic test-secret --from-literal=username='my-app' --from-literal=password='39528$vdg7Jb'
  2. 查看 Secret 相关信息:

    kubectl get secret test-secret

    输出:

    1. NAME TYPE DATA AGE
    2. test-secret Opaque 2 1m
  3. 查看 Secret 相关的更多详细信息:

    kubectl describe secret test-secret

    输出:

    1. Name: test-secret
    2. Namespace: default
    3. Labels: <none>
    4. Annotations: <none>
    5. Type: Opaque
    6. Data
    7. ====
    8. password: 13 bytes
    9. username: 7 bytes

创建可以通过卷访问 secret 数据的 Pod

这里是一个可以用来创建 pod 的配置文件:

pods/inject/secret-pod.yaml 使用 Secret 安全地分发凭证 - 图2
  1. apiVersion: v1
  2. kind: Pod
  3. metadata:
  4. name: secret-test-pod
  5. spec:
  6. containers:
  7. - name: test-container
  8. image: nginx
  9. volumeMounts:
  10. # name must match the volume name below
  11. - name: secret-volume
  12. mountPath: /etc/secret-volume
  13. # The secret data is exposed to Containers in the Pod through a Volume.
  14. volumes:
  15. - name: secret-volume
  16. secret:
  17. secretName: test-secret
  1. 创建 Pod:

    1. kubectl create -f secret-pod.yaml
  2. 确认 Pod 正在运行:

    1. kubectl get pod secret-test-pod

    输出:

    1. NAME READY STATUS RESTARTS AGE
    2. secret-test-pod 1/1 Running 0 42m
  3. 在 Pod 中运行的容器中获取一个 shell:

    1. kubectl exec -it secret-test-pod -- /bin/bash
  4. secret 数据通过挂载在 /etc/secret-volume 目录下的卷暴露在容器中。 在 shell 中,进入 secret 数据被暴露的目录:

    1. root@secret-test-pod:/# cd /etc/secret-volume
  5. 在 shell 中,列出 /etc/secret-volume 目录的文件:

    1. root@secret-test-pod:/etc/secret-volume# ls

    输出显示了两个文件,每个对应一条 secret 数据:

    1. password username
  6. 在 shell 中,显示 usernamepassword 文件的内容:

    1. root@secret-test-pod:/etc/secret-volume# cat username; echo; cat password; echo

    输出为用户名和密码:

    1. my-app
    2. 39528$vdg7Jb

创建通过环境变量访问 secret 数据的 Pod

这里是一个可以用来创建 pod 的配置文件:

pods/inject/secret-envars-pod.yaml 使用 Secret 安全地分发凭证 - 图3
  1. apiVersion: v1
  2. kind: Pod
  3. metadata:
  4. name: secret-envars-test-pod
  5. spec:
  6. containers:
  7. - name: envars-test-container
  8. image: nginx
  9. env:
  10. - name: SECRET_USERNAME
  11. valueFrom:
  12. secretKeyRef:
  13. name: test-secret
  14. key: username
  15. - name: SECRET_PASSWORD
  16. valueFrom:
  17. secretKeyRef:
  18. name: test-secret
  19. key: password
  1. 创建 Pod:

    1. kubectl create -f https://k8s.io/examples/pods/inject/secret-envars-pod.yaml
  2. 确认 Pod 正在运行:

    1. kubectl get pod secret-envars-test-pod

    输出:

    1. NAME READY STATUS RESTARTS AGE
    2. secret-envars-test-pod 1/1 Running 0 4m
  3. 在 Pod 中运行的容器中获取一个 shell:

    1. kubectl exec -it secret-envars-test-pod -- /bin/bash
  4. 在 shell 中,显示环境变量:

    1. root@secret-envars-test-pod:/# printenv

    输出包括用户名和密码:

    1. ...
    2. SECRET_USERNAME=my-app
    3. ...
    4. SECRET_PASSWORD=39528$vdg7Jb

接下来

参考