# Secret(信息数据卷)
Kubemetes提供了Secret来处理敏感数据,比如密码、Token和密钥,相比于直接将敏感数据配置在Pod的定义或者镜像中,Secret提供了更加安全的机制**`(Base64加密)`**。
Secret可以以Volume或者环境变量的方式使用
Secret有三种类型:
- **Service Account**:用来访问Kubernetes API,由Kubernetes自动创建,并且会自动挂载到Pod的`/run/secrets/kubernetes.io/serviceaccount`目录中
- **Opaque**:base64编码格式的Secret,用来存储密码、密钥等
- **kubernetes.io/dockerconfigjson**:用来存储私有docker registry的认证信息
## Opaque Secret
Opaque类型的数据是一个map类型,要求value是base64编码格式:
```
$ echo -n "admin" | base64
YWRtaW4=
$ echo -n "1f2d1e2e67df" | base64
MWYyZDFlMmU2N2Rm
```
secrets.yaml
```
apiVersion: v1
kind: Secret
metadata:
name: mysecret
type: Opaque # secret类型
data:
password: MWYyZDFlMmU2N2Rm
username: YWRtaW4=
```
### 将Secret挂载到Volume中
```
apiVersion: v1
kind: Pod
metadata:
labels:
name: db
name: db
spec:
volumes:
- name: secrets
secret:
secretName: mysecret # 对应secrets.yaml中的name
containers:
- image: gcr.io/my_project_id/pg:v1
name: db
volumeMounts:
- name: secrets # 对应volumes中的name
mountPath: "/etc/secrets" # 挂载到容器文件
readOnly: true
ports:
- name: cp
containerPort: 5432
hostPort: 5432
```
### 将Secret导出到环境变量中
```
apiVersion: extensions/v1beta1
kind: Deployment
metadata:
name: wordpress-deployment
spec:
replicas: 2
strategy:
type: RollingUpdate
template:
metadata:
labels:
app: wordpress
visualize: "true"
spec:
containers:
- name: "wordpress"
image: "wordpress"
ports:
- containerPort: 80
env:
- name: WORDPRESS_DB_USER
valueFrom:
secretKeyRef:
name: mysecret # 对应secrets.yaml中的name
key: username # 对应secret的key
- name: WORDPRESS_DB_PASSWORD
valueFrom:
secretKeyRef:
name: mysecret # 对应secrets.yaml中的name
key: password # 对应secret的key
```
## kubernetes.io/dockerconfigjson
直接读取`~/.docker/config.json`的内容来创建
```
$ cat ~/.docker/config.json | base64
$ cat > myregistrykey.yaml <<EOF
apiVersion: v1
kind: Secret
metadata:
name: myregistrykey
data:
.dockerconfigjson: UmVhbGx5IHJlYWxseSByZWVlZWVlZWVlZWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWFhYWxsbGxsbGxsbGxsbGxsbGxsbGxsbGxsbGxsbGxsbGx5eXl5eXl5eXl5eXl5eXl5eXl5eSBsbGxsbGxsbGxsbGxsbG9vb29vb29vb29vb29vb29vb29vb29vb29vb25ubm5ubm5ubm5ubm5ubm5ubm5ubm5ubmdnZ2dnZ2dnZ2dnZ2dnZ2dnZ2cgYXV0aCBrZXlzCg==
type: kubernetes.io/dockerconfigjson
EOF
$ kubectl create -f myregistrykey.yaml
```
创建Pod的时候,通过`imagePullSecrets`来引用刚创建的`myregistrykey`
```
apiVersion: v1
kind: Pod
metadata:
name: foo
spec:
containers:
- name: foo
image: janedoe/awesomeapp:v1
imagePullSecrets:
- name: myregistrykey
```
- kubernetes基础
- 安装kubernetes
- kubeadm平滑升级群集
- Taint和Toleration
- 使用HostAliases向Pod /etc/hosts 文件添加条目
- ConfigMap
- 插件
- 支持外部dns
- 安装helm
- HPA
- 存储
- 本地存储
- 网络存储
- Secret
- ConfigMap
- QA
- k8s使用时需要注意的坑点
- 容器中的JVM资源该如何被安全的限制
- 项目实践
- eureka集群
- Traefik ingress服务发现与负载均衡
- etcd数据备份与恢复
- deployment滚动升级与回滚
- 监控
- prometheus operator初体验
- prometheus-operator监控
- metrics-server监控kubernetes资源
- weave scope可视化监控