使用配置文件管理 Secret

使用资源配置文件创建 Secret 对象。

Before you begin

你必须拥有一个 Kubernetes 的集群,同时你的 Kubernetes 集群必须带有 kubectl 命令行工具。 建议在至少有两个节点的集群上运行本教程,且这些节点不作为控制平面主机。 如果你还没有集群,你可以通过 Minikube 构建一个你自己的集群,或者你可以使用下面任意一个 Kubernetes 工具构建:

创建配置文件

你可以先用 JSON 或 YAML 格式在文件中创建 Secret,然后创建该对象。 Secret 资源包含2个键值对: datastringDatadata 字段用来存储 base64 编码的任意数据。 提供 stringData 字段是为了方便,它允许 Secret 使用未编码的字符串。 datastringData 的键必须由字母、数字、-_. 组成。

例如,要使用 Secret 的 data 字段存储两个字符串,请将字符串转换为 base64 ,如下所示:

  1. echo -n 'admin' | base64

输出类似于:

  1. YWRtaW4=
  1. echo -n '1f2d1e2e67df' | base64

输出类似于:

  1. MWYyZDFlMmU2N2Rm

编写一个 Secret 配置文件,如下所示:

  1. apiVersion: v1
  2. kind: Secret
  3. metadata:
  4. name: mysecret
  5. type: Opaque
  6. data:
  7. username: YWRtaW4=
  8. password: MWYyZDFlMmU2N2Rm

注意,Secret 对象的名称必须是有效的 DNS 子域名.

Note:

Secret 数据的 JSON 和 YAML 序列化结果是以 base64 编码的。 换行符在这些字符串中无效,必须省略。 在 Darwin/macOS 上使用 base64 工具时,用户不应该使用 -b 选项分割长行。 相反地,Linux 用户 应该base64 地命令中添加 -w 0 选项, 或者在 -w 选项不可用的情况下,输入 base64 | tr -d '\n'

对于某些场景,你可能希望使用 stringData 字段。 这字段可以将一个非 base64 编码的字符串直接放入 Secret 中, 当创建或更新该 Secret 时,此字段将被编码。

上述用例的实际场景可能是这样:当你部署应用时,使用 Secret 存储配置文件, 你希望在部署过程中,填入部分内容到该配置文件。

例如,如果你的应用程序使用以下配置文件:

  1. apiUrl: "https://my.api.com/api/v1"
  2. username: "<user>"
  3. password: "<password>"

你可以使用以下定义将其存储在 Secret 中:

  1. apiVersion: v1
  2. kind: Secret
  3. metadata:
  4. name: mysecret
  5. type: Opaque
  6. stringData:
  7. config.yaml: |
  8. apiUrl: "https://my.api.com/api/v1"
  9. username: <user>
  10. password: <password>

创建 Secret 对象

现在使用 kubectl apply 创建 Secret:

  1. kubectl apply -f ./secret.yaml

输出类似于:

  1. secret/mysecret created

检查 Secret

stringData 字段是只写的。获取 Secret 时,此字段永远不会输出。 例如,如果你运行以下命令:

  1. kubectl get secret mysecret -o yaml

输出类似于:

  1. apiVersion: v1
  2. data:
  3. config.yaml: YXBpVXJsOiAiaHR0cHM6Ly9teS5hcGkuY29tL2FwaS92MSIKdXNlcm5hbWU6IHt7dXNlcm5hbWV9fQpwYXNzd29yZDoge3twYXNzd29yZH19
  4. kind: Secret
  5. metadata:
  6. creationTimestamp: 2018-11-15T20:40:59Z
  7. name: mysecret
  8. namespace: default
  9. resourceVersion: "7225"
  10. uid: c280ad2e-e916-11e8-98f2-025000000001
  11. type: Opaque

命令 kubectl getkubectl describe 默认不显示 Secret 的内容。 这是为了防止 Secret 意外地暴露给旁观者或者保存在终端日志中。 检查编码数据的实际内容,请参考解码 secret.

如果在 datastringData 中都指定了一个字段,比如 username,字段值来自 stringData。 例如,下面的 Secret 定义:

  1. apiVersion: v1
  2. kind: Secret
  3. metadata:
  4. name: mysecret
  5. type: Opaque
  6. data:
  7. username: YWRtaW4=
  8. stringData:
  9. username: administrator

结果有以下 Secret:

  1. apiVersion: v1
  2. data:
  3. username: YWRtaW5pc3RyYXRvcg==
  4. kind: Secret
  5. metadata:
  6. creationTimestamp: 2018-11-15T20:46:46Z
  7. name: mysecret
  8. namespace: default
  9. resourceVersion: "7579"
  10. uid: 91460ecb-e917-11e8-98f2-025000000001
  11. type: Opaque

其中 YWRtaW5pc3RyYXRvcg== 解码成 administrator

清理

删除你创建的 Secret:

  1. kubectl delete secret mysecret

What’s next

最后修改 August 22, 2021 at 5:19 PM PST: [zh]sync misc task files (a33bc3b2b)