使用 kubectl 管理 Secret

使用 kubectl 命令行创建 Secret 对象。

准备开始

你必须拥有一个 Kubernetes 的集群,同时你的 Kubernetes 集群必须带有 kubectl 命令行工具。 如果你还没有集群,你可以通过 Minikube 构建一 个你自己的集群,或者你可以使用下面任意一个 Kubernetes 工具构建:

创建 Secret

一个 Secret 可以包含 Pod 访问数据库所需的用户凭证。 例如,由用户名和密码组成的数据库连接字符串。 你可以在本地计算机上,将用户名存储在文件 ./username.txt 中,将密码存储在文件 ./password.txt 中。

  1. echo -n 'admin' > ./username.txt
  2. echo -n '1f2d1e2e67df' > ./password.txt

上面两个命令中的 -n 标志确保生成的文件在文本末尾不包含额外的换行符。 这一点很重要,因为当 kubectl 读取文件并将内容编码为 base64 字符串时,多余的换行符也会被编码。

kubectl create secret 命令将这些文件打包成一个 Secret 并在 API 服务器上创建对象。

  1. kubectl create secret generic db-user-pass \
  2. --from-file=./username.txt \
  3. --from-file=./password.txt

输出类似于:

  1. secret/db-user-pass created

默认密钥名称是文件名。 你可以选择使用 --from-file=[key=]source 来设置密钥名称。例如:

  1. kubectl create secret generic db-user-pass \
  2. --from-file=username=./username.txt \
  3. --from-file=password=./password.txt

你无需转义文件(--from-file)中的密码的特殊字符。

你还可以使用 --from-literal=<key>=<value> 标签提供 Secret 数据。 可以多次使用此标签,提供多个键值对。 请注意,特殊字符(例如:$\*=!)由你的 shell) 解释执行,而且需要转义。

  1. kubectl create secret generic dev-db-secret \
  2. --from-literal=username=devuser \
  3. --from-literal=password='S!B\*d$zDsb='

验证 Secret

你可以检查 secret 是否已创建:

  1. kubectl get secrets

输出类似于:

  1. NAME TYPE DATA AGE
  2. db-user-pass Opaque 2 51s

你可以查看 Secret 的描述:

  1. kubectl describe secrets/db-user-pass

输出类似于:

  1. Name: db-user-pass
  2. Namespace: default
  3. Labels: <none>
  4. Annotations: <none>
  5. Type: Opaque
  6. Data
  7. ====
  8. password.txt: 12 bytes
  9. username.txt: 5 bytes

kubectl getkubectl describe 命令默认不显示 Secret 的内容。 这是为了防止 Secret 被意外暴露给旁观者或存储在终端日志中。

解码 Secret

要查看我们刚刚创建的 Secret 的内容,可以运行以下命令:

  1. kubectl get secret db-user-pass -o jsonpath='{.data}'

输出类似于:

  1. {"password.txt":"MWYyZDFlMmU2N2Rm","username.txt":"YWRtaW4="}

现在你可以解码 password.txt 的数据:

  1. echo 'MWYyZDFlMmU2N2Rm' | base64 --decode

输出类似于:

  1. 1f2d1e2e67df

清理

删除刚刚创建的 Secret:

  1. kubectl delete secret db-user-pass

接下来