摘要:目前只支持使用來(lái)自于的。現(xiàn)在我們能創(chuàng)建使用這個(gè)的當(dāng)這個(gè)中的運(yùn)行后��,將會(huì)有如下兩個(gè)文件及對(duì)應(yīng)的內(nèi)容現(xiàn)在可以用這個(gè)數(shù)據(jù)來(lái)建立連接�����。
在kubernetes中�����,secret對(duì)象類型主要目的是 保存一些私密數(shù)據(jù)�,比如密碼��,OAuth tokens,ssh keys等信息�����。將這些信息放在secret對(duì)象中 比 直接放在pod或docker image中更安全��,也更方便使用�����。
secrets描述
創(chuàng)建secrets對(duì)象的方式有兩種����,一種是用戶手動(dòng)創(chuàng)建,另一種是集群自動(dòng)創(chuàng)建�����。
一個(gè)已經(jīng)創(chuàng)建好的secrets對(duì)象有兩種方式被pod對(duì)象使用����,其一,在container中的volume對(duì)象里以file的形式被使用��,其二,在pull images時(shí)被kubelet使用���。
為了使用secret對(duì)象��,pod必須‘引用’這個(gè)secret��,同樣可以手動(dòng)或者自動(dòng)來(lái)執(zhí)行‘引用’操作��。
自動(dòng)建立ServiceAccount && 使用secret API
kubernetes會(huì)自動(dòng)創(chuàng)建包含證書(shū)信息的secret�,并且使用它來(lái)訪問(wèn)api��,kubernetes也將自動(dòng)修改pod來(lái)使用這個(gè)secret�。
自動(dòng)創(chuàng)建的secret 以及 所使用的api證書(shū) 可以根據(jù)需要disable 或者 覆蓋。如果僅僅需要 安全訪問(wèn)apiserver���,那么上述的流程是推薦的方式�。
手動(dòng)創(chuàng)建secret
以下是一個(gè)簡(jiǎn)單secret對(duì)象的例子:
apiVersion: v1
kind: Secret
metadata:
name: mysecret
type: Opaque
data:
password: dmFsdWUtMg0K
username: dmFsdWUtMQ0K
數(shù)據(jù)中的字段為map類型�����。其中keys必須符合dns_subdomain規(guī)則�����,values可以為任意類型��,使用base64編碼�����。上述例子中����,username和password的數(shù)據(jù)值在base64編碼前的值為value-1 和 value-2。
一旦secret被創(chuàng)建����,可以:
通過(guò)ServiceAccount使用它自動(dòng)創(chuàng)建pod;
修改pod來(lái)使用secret����;
手動(dòng)為pod綁定secret
以下是一個(gè)例子,綁定secret到一個(gè)pod的volume:
{
"apiVersion": "v1",
"kind": "Pod",
"metadata": {
"name": "mypod",
"namespace": "myns"
},
"spec": {
"containers": [{
"name": "mypod",
"image": "redis",
"volumeMounts": [{
"name": "foo",
"mountPath": "/etc/foo",
"readOnly": true
}]
}],
"volumes": [{
"name": "foo",
"secret": {
"secretName": "mysecret"
}
}]
}
}
注意���,必須有spec.volumes才能使用secret�����。
如果一個(gè)pod中有多個(gè)container����,每個(gè)container需要他們多帶帶對(duì)應(yīng)的volumeMounts ,但是一個(gè)secret只能對(duì)應(yīng)一個(gè)spec.volumes����。
只要需要,可以將許多文件打包進(jìn)一個(gè)secret���,或者使用多個(gè)secret���。
手動(dòng)指定imagePullSecret
詳細(xì)信息見(jiàn):images documentation
Details
限制
在使用之前,secret volume 資源被驗(yàn)證���,以確保指定的對(duì)象引用真是指向一個(gè)secret對(duì)象��。因此����,在pod使用它之前必須保證需要的secret被成功創(chuàng)建����。
secret api對(duì)象從屬于namespace,一個(gè)secret對(duì)象只能被同namespace的pod所使用���。
單個(gè)secret限制在1Mb之內(nèi)���,防止過(guò)大的secret耗盡apiserver & kubelet的內(nèi)存。然而����,創(chuàng)建許多類似的secret同樣也會(huì)無(wú)用的消耗掉apiserver&kubelet的內(nèi)存。
kubelet目前只支持pod使用來(lái)自于apiserver的secret��。pods包括了被 kubectl創(chuàng)建的pod 或者 被replication controller間接創(chuàng)建的����。
Consuming Secret Values
在一個(gè)綁定了secret的container中,會(huì)以secret keys為名的文件��,其內(nèi)容為secret value的base64 decode后的內(nèi)容��。下面是上述例子的輸出:
$ ls /etc/foo/
username
password
$ cat /etc/foo/username
value-1
$ cat /etc/foo/password
value-2
container中的程序可以讀取其中的文件來(lái)獲取其內(nèi)容����。
Secret 與 Pod Lifetime 關(guān)系
當(dāng)通過(guò)api創(chuàng)建一個(gè)pod后,不會(huì)去檢查所引用的secret是否存在���。一旦這個(gè)pod被使用��,kubelet將會(huì)嘗試去獲取引用的secret的值���。如果這個(gè)secret不存在��,或者kubelet暫時(shí)鏈接不上apiserver�����,kubelet將會(huì)定期重試���,并發(fā)送一個(gè)event來(lái)解釋pod沒(méi)有啟動(dòng)的原因。如果獲取到了對(duì)應(yīng)的secret�,kubelet將會(huì)創(chuàng)建對(duì)應(yīng)的volume并綁定到container。
一旦kubelet創(chuàng)建了一個(gè)pod�����,則container使用的相關(guān)secret volume不會(huì)在改變�����,即使對(duì)應(yīng)的secret對(duì)象被修改��。如果為了改變使用的secret����,則必須刪除舊的pod�,并重新創(chuàng)建一個(gè)新的pod�。
User Case
Use-Case: Pod with ssh keys
pod通過(guò)secret來(lái)使用ssh-key��,首先得先創(chuàng)建對(duì)應(yīng)的secret:
{
"kind": "Secret",
"apiVersion": "v1",
"metadata": {
"name": "ssh-key-secret"
},
"data": {
"id-rsa": "dmFsdWUtMg0KDQo=",
"id-rsa.pub": "dmFsdWUtMQ0K"
}
}
Note:其中secret的data數(shù)據(jù)經(jīng)過(guò)base64編碼���,不包含換行符��。
現(xiàn)在我們能創(chuàng)建使用這個(gè)secret的pod:
{
"kind": "Pod",
"apiVersion": "v1",
"metadata": {
"name": "secret-test-pod",
"labels": {
"name": "secret-test"
}
},
"spec": {
"volumes": [
{
"name": "secret-volume",
"secret": {
"secretName": "ssh-key-secret"
}
}
],
"containers": [
{
"name": "ssh-test-container",
"image": "mySshImage",
"volumeMounts": [
{
"name": "secret-volume",
"readOnly": true,
"mountPath": "/etc/secret-volume"
}
]
}
]
}
}
當(dāng)這個(gè)pod中的container運(yùn)行后���,將會(huì)有如下兩個(gè)文件及對(duì)應(yīng)的內(nèi)容:
/etc/secret-volume/id-rsa.pub
/etc/secret-volume/id-rsa
現(xiàn)在container可以用這個(gè)secret數(shù)據(jù)來(lái)建立ssh連接。
Use-Case: Pods with prod / test credentials
下面的例子將會(huì)展示 一個(gè)pod使用包含prod環(huán)境證書(shū)的secret對(duì)象��,另一個(gè)pod使用包含test環(huán)境證書(shū)的secret對(duì)象:
secret對(duì)象:
{
"apiVersion": "v1",
"kind": "List",
"items":
[{
"kind": "Secret",
"apiVersion": "v1",
"metadata": {
"name": "prod-db-secret"
},
"data": {
"password": "dmFsdWUtMg0KDQo=",
"username": "dmFsdWUtMQ0K"
}
},
{
"kind": "Secret",
"apiVersion": "v1",
"metadata": {
"name": "test-db-secret"
},
"data": {
"password": "dmFsdWUtMg0KDQo=",
"username": "dmFsdWUtMQ0K"
}
}]
}
建立pods:
{
"apiVersion": "v1",
"kind": "List",
"items":
[{
"kind": "Pod",
"apiVersion": "v1",
"metadata": {
"name": "prod-db-client-pod",
"labels": {
"name": "prod-db-client"
}
},
"spec": {
"volumes": [
{
"name": "secret-volume",
"secret": {
"secretName": "prod-db-secret"
}
}
],
"containers": [
{
"name": "db-client-container",
"image": "myClientImage",
"volumeMounts": [
{
"name": "secret-volume",
"readOnly": true,
"mountPath": "/etc/secret-volume"
}
]
}
]
}
},
{
"kind": "Pod",
"apiVersion": "v1",
"metadata": {
"name": "test-db-client-pod",
"labels": {
"name": "test-db-client"
}
},
"spec": {
"volumes": [
{
"name": "secret-volume",
"secret": {
"secretName": "test-db-secret"
}
}
],
"containers": [
{
"name": "db-client-container",
"image": "myClientImage",
"volumeMounts": [
{
"name": "secret-volume",
"readOnly": true,
"mountPath": "/etc/secret-volume"
}
]
}
]
}
}]
}
建立的兩個(gè)pod都擁有兩個(gè)文件:
/etc/secret-volume/username
/etc/secret-volume/password
可以使用service accounts來(lái)簡(jiǎn)化上述的流程�,一個(gè)是prod-user對(duì)應(yīng)prod-db-secret,另一個(gè)是test-user對(duì)應(yīng)test-db-secret���,如:
{
"kind": "Pod",
"apiVersion": "v1",
"metadata": {
"name": "prod-db-client-pod",
"labels": {
"name": "prod-db-client"
}
},
"spec": {
"serviceAccount": "prod-db-client",
"containers": [
{
"name": "db-client-container",
"image": "myClientImage",
}
]
}
