密码保存后,直接引用即可,避免密码泄露
1.创建密码
1.1.secret方式创建密码
详细信息请见:https://kubernetes.io/docs/concepts/configuration/secret/
#查看密码集
kubectl get secrets
#命令行创建密码为redhat
kubectl create secret generic mysecret1 --from-literal=user=tom --from-literal=password1=redhat --from-literal=password2=redhat
#解析:
#关键词: kubectl create secret generic
#密码名称:mysecret1
#使用tom 用户: --from-literal=user=tom
#密码1内容redhat: --from-literal=password1=redhat
#密码2内容redhat:--from-literal=password2=redhat
#查看密码 mysecret1
#获取密码描述
kubectl describe secrets mysecret1
#查看加密后的密码
[root@k8s-master1 ~]# kubectl get secrets mysecret1 -o yaml
apiVersion: v1
data:
password1: cmVkaGF0
password2: cmVkaGF0
user: dG9t
或者使用以下命令也可以获取
kubectl edit secrets mysecret1
#将加密的密码解密
[root@k8s-master1 ~]# echo cmVkaGF0 | base64 -d
redhat
#删除密码mysecret1
kubectl delete secrets mysecret1
1.2.configmaps方式创建密码mysecret2
#1.2.1直接创建mysecret2
kubectl create configmap mysecret2 --from-literal=user=tom --fromliteral=password1=redhat --fromliteral=password2=redhat
#1.2.2通过变量创建mysecret2
vim env.txt
user=tom
password1=redhat
password2=redhat
#创建密码mysecret2
kubectl create configmap mysecret2 --from-env-file=./env.txt
#1.2.3通过文件
#创建三个文件,文件名即为变量名,-n去除换行符
echo -n tom > user
echo -n redhat > password1
echo -n redhat > password2
#创建密码mysecret2
kubectl create configmap mysecret2 --from-file=./user --from-file=./password1 --from-file=./password2
1.3.以变量的方式创建密码
#创建变量文件
vim env.txt
user=tom
password1=redhat
password2=redhat
#创建密码mysecret3
kubectl create secret generic mysecret3 --from-env-file=./env.txt
1.4.以yaml的方式创建密码,
#注意其中user,password1,password2均为明文密码base64后的内容
[root@k8s-master1 ~]# echo tom |base64
dG9t
[root@k8s-master1 ~]# echo dG9t |base64 -d
tom
vim mysecret4.yaml
apiVersion: v1
kind: Secret
metadata:
name: mysecret4
type: Opaque
data:
user: dG9t
password1: cmVkaGF0
password2: cmVkaGF0
#创建密码mysecret4
kubectl apply -f mysecret4.yaml
2.密码使用
2.1以卷的方式使用secret,
#优点:可以支持动态更新,
#缺点:需要修改镜像,让其服务主动加载密码文件
vim nginx.yaml
apiVersion: v1
kind: Pod
metadata:
labels:
run: nginx
name: nginx
spec:
volumes:
- name: xx
secret:
secretName: mysecret1
items:
- key: user
path: xx/user
- key: password1
path: xx/password1
- key: password2
path: yy/password2
containers:
- image: nginx
name: nginx
volumeMounts:
- name: xx
mountPath: "/etc/xx"
readOnly: true
#创建pod,并查看pod目录/etc/xx/,发现在/etc/xx下会生成三个文件,user,password1,password2,其内容为解码后的明文密码,
#其中items,需要哪个你就写哪个,不用全部写,存储path也可以修改为自己需要存储的地方
[root@k8s-master1 k8s_yaml]#kubectl apply -f nginx.yaml
[root@k8s-master1 k8s_yaml]# kubectl exec -it nginx bash
root@nginx:/# ls /etc/xx/xx/
password1 user
root@nginx:/# ls /etc/xx/yy/
password2
root@nginx:/#cat /etc/xx/xx/user
tom
2.2变量的方式使用secret
#缺点:不支持动态更新
vim mysql.yaml
apiVersion: v1
kind: Pod
metadata:
name: mysql
labels:
name: mysql
spec:
containers:
- image: hub.c.163.com/library/mysql:latest
name: mysql
ports:
- containerPort: 3306
name: mysql
env:
- name: MYSQL_ROOT_PASSWORD
valueFrom:
secretKeyRef:
name: mysecret1
key: password1
#env中指定MYSQL_ROOT_PASSWORD为mysecret1中的password1内容
2.3configmaps的方式使用secret
#缺点:明文存储密码
vim nginx.yaml
#以文件的方式引用
apiVersion: v1
kind: Pod
metadata:
labels:
run: nginx
name: nginx
spec:
volumes:
- name: xx
configMap:
name: mysecret1
containers:
- image: nginx
name: nginx
volumeMounts:
- name: xx
mountPath: "/etc/xx"
readOnly: true
#以变量的方式引用
apiVersion: v1
kind: Pod
metadata:
name: mysql
labels:
name: mysql
spec:
containers:
- image: hub.c.163.com/library/mysql:latest
name: mysql
ports:
- containerPort: 3306
name: mysql
env:
- name: MYSQL_ROOT_PASSWORD
valueFrom:
configMapKeyRef:
name: mysecret1
key: password1
网友评论