kubernetes_05_存储_02_Secret_20190925
Secret 解决了密码、token、**等敏感数据的配置问题,不需要把这些敏感数据暴露到镜像或者Pod spec中。同ConfigMap一样,Secret可以以Volume或者环境变量的方式使用。
Secret有三种类型:
1)Service Account:用来访问Kubectl API,由Kubernetes自动创建,并且会自动挂载到Pod的
/run/secrets/kubernetes.io/serviceaccount/目录下
2)Opaque:base64编码格式的Secret,用来存储密码、**等
3)Kubernetes.io/dockerconfigjson:用来存储私有 docker registry的认证信息
1.Service Account
Service Account:用来访问Kubectl API,由Kubernetes自动创建,并且会自动挂载到Pod的
/run/secrets/kubernetes.io/serviceaccount/ 目录下
2.Opaque
1)创建secret
Opaque类型的数据是一个 map类型,要求 value是base64编码格式
[[email protected] configmap]# echo -n "admin" | base64
YWRtaW4=
[[email protected] configmap]# echo -n "12def34dfb45ea" | base64
MTJkZWYzNGRmYjQ1ZWE=
# kubectl apply -f /root/yaml/003_storage/secret/01_secrets.yaml
2)使用方式 volume或env
# kubectl create -f /root/yaml/003_storage/secret/02_secret-env-volume-pod.yaml
# kubectl exec -it secret-volume-pod -c nginx-container -- /bin/cat /etc/secrets/username
# kubectl logs secret-env-volume-pod -c perl-container
3.Kubernetes.io/dockerconfigjson
适用于:docker registry认证secret
# docker tag nginx:latest wuyue1991/linux:ng
# docker push wuyue1991/linux:ng
创建:
格式:kubectl create secret docker-registry myregistrykey --docker-server=DOCKER_REGISTRY_SERVER --docker-username=DOCKER_USER --docker-password=DOCKER_PASSWORD --docker-email=DOCKER_EMAIL
[[email protected] secret]# kubectl create secret docker-registry mydockerhubkey --docker-server=index.docker.io --docker-username=****** --docker-password=****** --docker-email=********@yeah.net
# kubectl get secret mydockerhubkey -o yaml
使用:
# kubectl create -f /root/yaml/003_storage/secret/04_reg_pod.yaml