本文展示如何安全地将敏感数据(如密码和加密密钥)注入到 Pods 中。

Before you begin

You need to have a Kubernetes cluster, and the kubectl command-line tool must be configured to communicate with your cluster. If you do not already have a cluster, you can create one by using Minikube, or you can use one of these Kubernetes playgrounds:

To check the version, enter kubectl version.

将 secret 数据转换为 base-64 形式

假设用户想要有两条 secret 数据:用户名 my-app 和密码 39528$vdg7Jb。 首先使用 Base64 编码 将用户名和密码转化为 base-64 形式。 这里是一个 Linux 示例:

echo -n 'my-app' | base64
echo -n '39528$vdg7Jb' | base64

结果显示 base-64 形式的用户名为 bXktYXBw, base-64 形式的密码为 Mzk1MjgkdmRnN0pi

创建 Secret

这里是一个配置文件,可以用来创建存有用户名和密码的 Secret:

secret.yaml
apiVersion: v1
kind: Secret
metadata:
  name: test-secret
data:
  username: bXktYXBwCg==
  password: Mzk1MjgkdmRnN0piCg==
  1. 创建 Secret

    kubectl create -f secret.yaml
    

    注意: 如果想要跳过 Base64 编码的步骤,可以使用 kubectl create secret 命令来创建 Secret:

    kubectl create secret generic test-secret --from-literal=username='my-app' --from-literal=password='39528$vdg7Jb'
    
  2. 查看 Secret 相关信息:

    kubectl get secret test-secret
    

    输出:

     NAME          TYPE      DATA      AGE
     test-secret   Opaque    2         1m
    
  3. 查看 Secret 相关的更多详细信息:

    kubectl describe secret test-secret
    

    输出:

     Name:       test-secret
     Namespace:  default
     Labels:     <none>
     Annotations:    <none>
    
     Type:   Opaque
    
     Data
     ====
     password:   13 bytes
     username:   7 bytes
    

创建可以通过卷访问 secret 数据的 Pod

这里是一个可以用来创建 pod 的配置文件:

secret-pod.yaml
apiVersion: v1
kind: Pod
metadata:
  name: secret-test-pod
spec:
  containers:
    - name: test-container
      image: nginx
      volumeMounts:
          # name must match the volume name below
          - name: secret-volume
            mountPath: /etc/secret-volume
  # The secret data is exposed to Containers in the Pod through a Volume.
  volumes:
    - name: secret-volume
      secret:
        secretName: test-secret
  1. 创建 Pod:

    kubectl create -f secret-pod.yaml
    
  2. 确认 Pod 正在运行:

    kubectl get pod secret-test-pod
    

    输出:

     NAME              READY     STATUS    RESTARTS   AGE
     secret-test-pod   1/1       Running   0          42m
    
  3. 在 Pod 中运行的容器中获取一个 shell:

    kubectl exec -it secret-test-pod -- /bin/bash
    
  4. secret 数据通过挂载在 /etc/secret-volume 目录下的卷暴露在容器中。 在 shell 中,进入 secret 数据被暴露的目录:

    root@secret-test-pod:/# cd /etc/secret-volume
    
  5. 在 shell 中,列出 /etc/secret-volume 目录的文件:

    root@secret-test-pod:/etc/secret-volume# ls
    

    输出显示了两个文件,每个对应一条 secret 数据:

     password username
    
  6. 在 shell 中,显示 usernamepassword 文件的内容:

    root@secret-test-pod:/etc/secret-volume# cat username; echo; cat password; echo
    

    输出为用户名和密码:

     my-app
     39528$vdg7Jb
    

创建通过环境变量访问 secret 数据的 Pod

这里是一个可以用来创建 pod 的配置文件:

secret-envars-pod.yaml
apiVersion: v1
kind: Pod
metadata:
  name: secret-envars-test-pod
spec:
  containers:
  - name: envars-test-container
    image: nginx
    env:
    - name: SECRET_USERNAME
      valueFrom:
        secretKeyRef:
          name: test-secret
          key: username
    - name: SECRET_PASSWORD
      valueFrom:
        secretKeyRef:
          name: test-secret
          key: password
  1. 创建 Pod:

    kubectl create -f secret-envars-pod.yaml
    
  2. 确认 Pod 正在运行:

    kubectl get pod secret-envars-test-pod
    

    输出:

     NAME                     READY     STATUS    RESTARTS   AGE
     secret-envars-test-pod   1/1       Running   0          4m
    
  3. 在 Pod 中运行的容器中获取一个 shell:

    kubectl exec -it secret-envars-test-pod -- /bin/bash
    
  4. 在 shell 中,显示环境变量:

     root@secret-envars-test-pod:/# printenv
    

    输出包括用户名和密码:

     ...
     SECRET_USERNAME=my-app
     ...
     SECRET_PASSWORD=39528$vdg7Jb
    

What’s next

参考