k8s的存储之secerts

secrets配置管理

Secret 对象类型用来保存敏感信息，例如密码、OAuth 令牌和 ssh key。

敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活

Pod 可以用两种方式使用 secret：

作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里。当 kubelet 为 pod 拉取镜像时使用。

Secret的类型：

Service Account：Kubernetes 自动创建包含访问 API 凭据的 secret，并自动修改 pod 以使用此类型的 secret。

Opaque：使用base64编码存储信息，可以通过base64 --decode解码获得原始数据，因此安全性弱。kubernetes.io/dockerconfigjson：用于存储docker registry的认证信息

secrets的创建

在创建secrets时我们可以用命令的方法或者yaml文件的方法

从文件创建

编写yaml文件

Secret的使用方法

将Secret挂载到Volume中

kubectl run  nginx --image nginx --dry-run=client -o yaml > pod1.yaml

#向固定路径映射

 vim pod1.yam

    volumeMounts:
    - name: secrets
      mountPath: /secret
      readOnly: true

  volumes:
  - name: secrets
    secret:
      secretName: userlist

向指定路径映射 secret 密钥

#向指定路径映射

vim pod2.yaml

  volumeMounts:
    - name: secrets
      mountPath: /secret
      readOnly: true

  volumes:
  - name: secrets
    secret:
      secretName: userlist
      items:
      - key: username
        path: my-users/username

将Secret设置为环境变量

 vim pod3.yaml

command:
    - /bin/sh
    - -c
    - env
    env:
    - name: USERNAME
      valueFrom:
        secretKeyRef:
          name: userlist
          key: username
    - name: PASS
      valueFrom:
        secretKeyRef:
          name: userlist
          key: password
  restartPolicy: Never