Secret 解决了密码、token、**等敏感数据的配置问题，不需要把这些敏感数据暴露到镜像或者Pod spec中。同ConfigMap一样，Secret可以以Volume或者环境变量的方式使用。

Secret有三种类型：

1）Service Account：用来访问Kubectl API，由Kubernetes自动创建，并且会自动挂载到Pod的

/run/secrets/kubernetes.io/serviceaccount/目录下

2）Opaque：base64编码格式的Secret，用来存储密码、**等

3）Kubernetes.io/dockerconfigjson：用来存储私有 docker registry的认证信息

1.Service Account

Service Account：用来访问Kubectl API，由Kubernetes自动创建，并且会自动挂载到Pod的

/run/secrets/kubernetes.io/serviceaccount/ 目录下

2.Opaque

1)创建secret

Opaque类型的数据是一个 map类型，要求 value是base64编码格式

[[email protected] configmap]# echo -n "admin" | base64

YWRtaW4=

[[email protected] configmap]# echo -n "12def34dfb45ea" | base64

MTJkZWYzNGRmYjQ1ZWE=

# kubectl apply -f /root/yaml/003_storage/secret/01_secrets.yaml

2)使用方式 volume或env

# kubectl create -f /root/yaml/003_storage/secret/02_secret-env-volume-pod.yaml

# kubectl exec -it secret-volume-pod -c nginx-container -- /bin/cat /etc/secrets/username

# kubectl logs secret-env-volume-pod -c perl-container

 

3.Kubernetes.io/dockerconfigjson   

适用于：docker registry认证secret

# docker tag nginx:latest wuyue1991/linux:ng

# docker push wuyue1991/linux:ng

创建：

格式：kubectl create secret docker-registry myregistrykey --docker-server=DOCKER_REGISTRY_SERVER --docker-username=DOCKER_USER --docker-password=DOCKER_PASSWORD --docker-email=DOCKER_EMAIL

[[email protected] secret]# kubectl create secret docker-registry mydockerhubkey --docker-server=index.docker.io --docker-username=****** --docker-password=****** --docker-email=********@yeah.net

# kubectl get secret mydockerhubkey -o yaml

使用：

# kubectl create -f /root/yaml/003_storage/secret/04_reg_pod.yaml