深入理解Kubernetes中的Secrets与ConfigMaps - 来自DescomplicandoKubernetes项目的第八天教程
项目地址: https://gitcode.com/gh_mirrors/de/DescomplicandoKubernetes 前言
在现代容器化应用中,安全管理敏感信息是至关重要的。Kubernetes提供了多种机制来处理这类需求,其中最核心的就是Secrets和ConfigMaps。本文将基于DescomplicandoKubernetes项目的第八天教程内容,深入探讨这些关键概念及其实际应用。
Secrets基础概念
什么是Secrets
Secrets是Kubernetes中用于存储和管理敏感信息的对象,如密码、OAuth令牌、SSH密钥等。与直接将这些信息硬编码在Pod定义或容器镜像中相比,使用Secrets提供了更高的安全性和灵活性。
Secrets的工作原理
Secrets存储在Kubernetes的Etcd数据库中。默认情况下,它们以非加密形式存储,但Etcd支持数据加密功能。访问控制通过RBAC(基于角色的访问控制)实现,确保只有授权用户和Pod可以访问特定Secrets。
Secrets的类型
Kubernetes支持多种类型的Secrets,每种类型针对不同的使用场景:
- Opaque Secrets:最通用的类型,用于存储任意数据
- kubernetes.io/service-account-token:用于服务账户令牌
- kubernetes.io/dockercfg/dockerconfigjson:用于Docker注册表凭证
- kubernetes.io/tls:用于TLS证书和密钥
- kubernetes.io/ssh-auth:用于SSH认证
- kubernetes.io/basic-auth:用于基本认证
- bootstrap.kubernetes.io/token:用于集群引导令牌
Base64编码基础
在深入使用Secrets之前,理解Base64编码至关重要。Base64是一种二进制到文本的编码方案,用于确保数据在传输过程中保持完整。需要注意的是:
- Base64不是加密,只是编码
- 任何人都可以轻松解码Base64数据
- Kubernetes使用Base64编码Secrets数据,但不提供加密保护
Base64编码示例
# 编码
echo -n 'giropops' | base64
# 输出: Z2lyb3BvcHM=
# 解码
echo -n 'Z2lyb3BvcHM=' | base64 -d
# 输出: giropops
创建和使用Secrets
创建Opaque Secret
创建一个YAML文件定义Secret:
apiVersion: v1
kind: Secret
metadata:
name: giropops-secret
type: Opaque
data:
username: SmVmZXJzb25fbGluZG8=
password: Z2lyb3BvcHM=
应用该定义:
kubectl apply -f giropops-secret.yaml
命令行创建Secret
也可以直接使用kubectl命令创建:
kubectl create secret generic giropops-secret \
--from-literal=username=<value> \
--from-literal=password=giropops
在Pod中使用Secret
创建一个Pod定义文件,引用之前创建的Secret:
apiVersion: v1
kind: Pod
metadata:
name: giropops-pod
spec:
containers:
- name: giropops-container
image: nginx
env:
- name: USERNAME
valueFrom:
secretKeyRef:
name: giropops-secret
key: username
- name: PASSWORD
valueFrom:
secretKeyRef:
name: giropops-secret
key: password
应用Pod定义后,可以通过以下命令验证Secret是否被正确注入:
kubectl exec giropops-pod -- env | grep -E 'USERNAME|PASSWORD'
高级Secret类型
Docker注册表凭证
对于需要从私有Docker注册表拉取镜像的场景,可以创建dockerconfigjson类型的Secret:
kubectl create secret docker-registry regcred \
--docker-server=<your-registry-server> \
--docker-username=<your-name> \
--docker-password=<your-pword> \
--docker-email=<your-email>
TLS证书
存储TLS证书和密钥:
kubectl create secret tls tls-secret \
--cert=path/to/cert.pem \
--key=path/to/key.pem
ConfigMaps简介
ConfigMaps与Secrets类似,但专门用于存储非敏感配置数据。它们可以:
- 存储键值对
- 存储配置文件
- 作为环境变量注入容器
- 作为卷挂载到容器中
创建ConfigMap示例:
kubectl create configmap game-config \
--from-literal=game.level=4 \
--from-literal=game.enemies=aliens
External Secrets Operator (ESO)
对于更高级的Secret管理需求,External Secrets Operator提供了强大的解决方案:
核心概念
- SecretStore:定义如何访问外部Secret存储
- ClusterSecretStore:集群范围的SecretStore
- ExternalSecret:定义从外部存储同步哪些Secrets
安装与配置
使用Helm安装ESO:
helm repo add external-secrets https://charts.external-secrets.io
helm install external-secrets \
external-secrets/external-secrets \
-n external-secrets \
--create-namespace
与Vault集成
HashiCorp Vault是流行的Secret管理工具,可以与Kubernetes和ESO集成:
- 安装Vault:
helm repo add hashicorp https://helm.releases.hashicorp.com
helm install vault hashicorp/vault --set server.dev.enabled=true
- 配置ClusterSecretStore:
apiVersion: external-secrets.io/v1beta1
kind: ClusterSecretStore
metadata:
name: vault-backend
spec:
provider:
vault:
server: "http://vault.default:8200"
path: "secret"
version: "v2"
auth:
tokenSecretRef:
name: "vault-token"
key: "token"
- 创建ExternalSecret:
apiVersion: external-secrets.io/v1beta1
kind: ExternalSecret
metadata:
name: vault-example
spec:
refreshInterval: "15s"
secretStoreRef:
name: vault-backend
kind: ClusterSecretStore
target:
name: example-sync
data:
- secretKey: foobar
remoteRef:
key: secret/example
property: foo
安全最佳实践
- 限制Secret访问权限(使用RBAC)
- 考虑启用Etcd加密
- 定期轮换Secrets
- 避免将敏感信息存储在版本控制系统中
- 考虑使用专业的Secret管理工具如Vault
- 监控Secret访问情况
总结
Kubernetes的Secrets和ConfigMaps是管理应用配置和敏感信息的关键组件。通过本文的介绍,您应该已经掌握了:
- 不同类型Secrets的创建和使用方法
- 如何安全地管理敏感信息
- 高级Secret管理工具如External Secrets Operator的集成
- 安全最佳实践
随着应用规模的扩大,考虑采用更专业的Secret管理方案将有助于提高安全性和可维护性。
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
