密钥

Secret 是一个包含少量敏感数据的对象,例如密码、令牌或密钥。 这些信息原本可能会放入Pod规范或容器镜像中。 使用 Secret 意味着你无需在应用程序代码中包含机密数据。

由于 Secret 可以独立于使用它们的 Pod 创建,因此在创建、查看和编辑 Pod 的工作流程中,Secret(及其数据)被暴露的风险较小。 Kubernetes 以及在集群中运行的应用程序也可以对 Secret 采取额外的预防措施,例如避免将敏感数据写入非易失性存储。

Secret 与ConfigMap 相似,但专门用于保存机密数据。

有关更多详细信息,请参阅Secret 的信息安全

Secret 的用途

你可以将 Secret 用于以下目的

Kubernetes 控制平面也使用 Secret; 例如,引导令牌 Secret 是一种帮助自动化节点注册的机制。

用例:secret 卷中的点文件

你可以通过定义以点开头的键来使你的数据“隐藏”。 此键表示点文件或“隐藏”文件。 例如,当以下 Secret 被挂载到卷secret-volume时,该卷将包含一个名为.secret-file的文件,并且dotfile-test-container将在路径/etc/secret-volume/.secret-file存在该文件。

secret/dotfile-secret.yaml 
apiVersion: v1
kind: Secret
metadata:
  name: dotfile-secret
data:
  .secret-file: dmFsdWUtMg0KDQo=
---
apiVersion: v1
kind: Pod
metadata:
  name: secret-dotfiles-pod
spec:
  volumes:
    - name: secret-volume
      secret:
        secretName: dotfile-secret
  containers:
    - name: dotfile-test-container
      image: registry.k8s.io/busybox
      command:
        - ls
        - "-l"
        - "/etc/secret-volume"
      volumeMounts:
        - name: secret-volume
          readOnly: true
          mountPath: "/etc/secret-volume"

用例:Pod 中一个容器可见的 Secret

考虑一个需要处理 HTTP 请求、进行一些复杂的业务逻辑,然后使用 HMAC 签名一些消息的程序。 由于它具有复杂的应用程序逻辑,服务器中可能存在未被注意到的远程文件读取漏洞,这可能会将私钥暴露给攻击者。

这可以分为两个容器中的两个进程:一个处理用户交互和业务逻辑的前端容器,但它看不到私钥; 以及一个可以看到私钥的签名器容器,它响应来自前端的简单签名请求(例如,通过 localhost 网络)。

通过这种分区方法,攻击者现在必须诱骗应用程序服务器执行一些相当任意的操作,这可能比让它读取文件更难。

Secret 的替代方案

与其使用 Secret 来保护机密数据,不如从替代方案中选择。

以下是一些选项

  • 如果你的云原生组件需要对另一个已知在同一个 Kubernetes 集群中运行的应用程序进行身份验证,你可以使用ServiceAccount及其令牌来标识你的客户端。
  • 你可以运行一些第三方工具,无论是在集群内部还是外部,来管理敏感数据。 例如,一个 Pod 通过 HTTPS 访问的服务,如果客户端正确地进行了身份验证(例如,使用 ServiceAccount 令牌),则该服务会泄露一个 Secret。
  • 对于身份验证,你可以为 X.509 证书实现自定义签名器,并使用CertificateSigningRequests让该自定义签名器向需要证书的 Pod 颁发证书。
  • 你可以使用设备插件将节点本地加密硬件暴露给特定的 Pod。 例如,你可以将受信任的 Pod 调度到提供带外配置的可信平台模块的节点上。

你还可以将其中两个或多个选项组合起来,包括使用 Secret 对象本身的选择。

例如:实现(或部署)一个operator,该操作符从外部服务获取短时会话令牌,然后根据这些短时会话令牌创建 Secret。 在集群中运行的 Pod 可以使用会话令牌,并且 operator 可确保它们有效。 这种分离意味着你可以运行不了解颁发和刷新这些会话令牌的确切机制的 Pod。

Secret 的类型

创建 Secret 时,你可以使用Secret 资源的 type 字段或某些等效的 kubectl 命令行标志(如果可用)来指定其类型。 Secret 类型用于方便 Secret 数据的编程处理。

Kubernetes 为一些常见的用例提供了几种内置类型。 这些类型在执行的验证和 Kubernetes 施加的约束方面有所不同。

内置类型用法
Opaque任意用户定义的数据
kubernetes.io/service-account-tokenServiceAccount 令牌
kubernetes.io/dockercfg序列化的 ~/.dockercfg 文件
kubernetes.io/dockerconfigjson序列化的 ~/.docker/config.json 文件
kubernetes.io/basic-auth基本身份验证的凭据
kubernetes.io/ssh-authSSH 身份验证的凭据
kubernetes.io/tlsTLS 客户端或服务器的数据
bootstrap.kubernetes.io/token引导令牌数据

你可以通过为 Secret 对象分配一个非空字符串作为 type 值(空字符串被视为 Opaque 类型)来定义和使用你自己的 Secret 类型。

Kubernetes 对类型名称没有任何限制。 但是,如果你使用的是内置类型之一,则必须满足为该类型定义的所有要求。

如果要定义一个用于公开使用的 Secret 类型,请遵循约定并在名称前添加你的域名作为 Secret 类型的结构,用 / 分隔。 例如: cloud-hosting.example.net/cloud-api-credentials

Opaque Secret

如果你没有在 Secret 清单中明确指定类型,则 Opaque 是默认的 Secret 类型。 当你使用 kubectl 创建 Secret 时,必须使用 generic 子命令来指示 Opaque Secret 类型。 例如,以下命令创建一个 Opaque 类型的空 Secret

kubectl create secret generic empty-secret
kubectl get secret empty-secret

输出如下所示

NAME           TYPE     DATA   AGE
empty-secret   Opaque   0      2m6s

DATA 列显示 Secret 中存储的数据项数量。在这种情况下,0 表示您创建了一个空的 Secret。

ServiceAccount 令牌 Secret

kubernetes.io/service-account-token 类型的 Secret 用于存储标识ServiceAccount的令牌凭据。这是一种遗留机制,为 Pod 提供长期有效的 ServiceAccount 凭据。

在 Kubernetes v1.22 及更高版本中,推荐的方法是使用TokenRequest API 获取短生命周期、自动轮换的 ServiceAccount 令牌。您可以使用以下方法获取这些短生命周期令牌

  • 直接调用 TokenRequest API 或使用 kubectl 等 API 客户端。例如,您可以使用 kubectl create token 命令。
  • 在 Pod 清单的投影卷中请求挂载的令牌。Kubernetes 会创建令牌并将其挂载到 Pod 中。当挂载该令牌的 Pod 被删除时,令牌会自动失效。有关详细信息,请参阅使用服务帐户令牌投影启动 Pod

使用此 Secret 类型时,您需要确保 kubernetes.io/service-account.name 注解设置为现有的 ServiceAccount 名称。如果您同时创建 ServiceAccount 和 Secret 对象,应先创建 ServiceAccount 对象。

创建 Secret 后,Kubernetes 控制器会填充其他一些字段,例如 kubernetes.io/service-account.uid 注解,以及 data 字段中的 token 键,该键填充了身份验证令牌。

以下示例配置声明了一个 ServiceAccount 令牌 Secret

secret/serviceaccount-token-secret.yaml 
apiVersion: v1
kind: Secret
metadata:
  name: secret-sa-sample
  annotations:
    kubernetes.io/service-account.name: "sa-name"
type: kubernetes.io/service-account-token
data:
  extra: YmFyCg==

创建 Secret 后,等待 Kubernetes 填充 data 字段中的 token 键。

有关 ServiceAccount 工作原理的更多信息,请参阅ServiceAccount文档。您还可以查看PodautomountServiceAccountToken 字段和 serviceAccountName 字段,以了解如何从 Pod 中引用 ServiceAccount 凭据。

Docker 配置 Secret

如果要创建一个 Secret 来存储用于访问容器镜像注册表的凭据,则必须为该 Secret 使用以下 type 值之一

  • kubernetes.io/dockercfg:存储序列化的 ~/.dockercfg,它是配置 Docker 命令行工具的旧格式。Secret 的 data 字段包含一个 .dockercfg 键,其值是 base64 编码的 ~/.dockercfg 文件的内容。
  • kubernetes.io/dockerconfigjson:存储一个序列化的 JSON,该 JSON 遵循与 ~/.docker/config.json 文件相同的格式规则,后者是 ~/.dockercfg 的新格式。Secret 的 data 字段必须包含一个 .dockerconfigjson 键,该键的值是 base64 编码的 ~/.docker/config.json 文件的内容。

以下是一个 kubernetes.io/dockercfg 类型 Secret 的示例

secret/dockercfg-secret.yaml 
apiVersion: v1
kind: Secret
metadata:
  name: secret-dockercfg
type: kubernetes.io/dockercfg
data:
  .dockercfg: |
    eyJhdXRocyI6eyJodHRwczovL2V4YW1wbGUvdjEvIjp7ImF1dGgiOiJvcGVuc2VzYW1lIn19fQo=

当您使用清单创建 Docker 配置 Secret 时,API 服务器会检查 data 字段中是否存在预期的键,并验证提供的值是否可以解析为有效的 JSON。API 服务器不会验证 JSON 是否真的是 Docker 配置文件。

您也可以使用 kubectl 创建用于访问容器注册表的 Secret,例如当您没有 Docker 配置文件时

kubectl create secret docker-registry secret-tiger-docker \
  --docker-email=[email protected] \
  --docker-username=tiger \
  --docker-password=pass1234 \
  --docker-server=my-registry.example:5000

此命令创建一个类型为 kubernetes.io/dockerconfigjson 的 Secret。

从新的 Secret 中检索 .data.dockerconfigjson 字段并解码数据

kubectl get secret secret-tiger-docker -o jsonpath='{.data.*}' | base64 -d

输出等效于以下 JSON 文档(这也是有效的 Docker 配置文件)

{
  "auths": {
    "my-registry.example:5000": {
      "username": "tiger",
      "password": "pass1234",
      "email": "[email protected]",
      "auth": "dGlnZXI6cGFzczEyMzQ="
    }
  }
}

基本身份验证 Secret

提供 kubernetes.io/basic-auth 类型用于存储基本身份验证所需的凭据。使用此 Secret 类型时,Secret 的 data 字段必须包含以下两个键之一

  • username:用于身份验证的用户名
  • password:用于身份验证的密码或令牌

以上两个键的值都是 base64 编码的字符串。您也可以在 Secret 清单中使用 stringData 字段提供明文内容。

以下清单是基本身份验证 Secret 的示例

secret/basicauth-secret.yaml 
apiVersion: v1
kind: Secret
metadata:
  name: secret-basic-auth
type: kubernetes.io/basic-auth
stringData:
  username: admin # required field for kubernetes.io/basic-auth
  password: t0p-Secret # required field for kubernetes.io/basic-auth

基本身份验证 Secret 类型仅为方便起见而提供。您可以为用于基本身份验证的凭据创建 Opaque 类型。但是,使用已定义且公开的 Secret 类型 (kubernetes.io/basic-auth) 可以帮助其他人理解您的 Secret 的用途,并为预期的键名称建立约定。

SSH 身份验证 Secret

内置类型 kubernetes.io/ssh-auth 用于存储 SSH 身份验证中使用的数据。使用此 Secret 类型时,您必须在 data(或 stringData)字段中指定一个 ssh-privatekey 键值对,作为要使用的 SSH 凭据。

以下清单是用于 SSH 公钥/私钥身份验证的 Secret 的示例

secret/ssh-auth-secret.yaml 
apiVersion: v1
kind: Secret
metadata:
  name: secret-ssh-auth
type: kubernetes.io/ssh-auth
data:
  # the data is abbreviated in this example
  ssh-privatekey: |
    UG91cmluZzYlRW1vdGljb24lU2N1YmE=

SSH 身份验证 Secret 类型仅为方便起见而提供。您可以为用于 SSH 身份验证的凭据创建 Opaque 类型。但是,使用已定义且公开的 Secret 类型 (kubernetes.io/ssh-auth) 可以帮助其他人理解您的 Secret 的用途,并为预期的键名称建立约定。Kubernetes API 会验证此类型的 Secret 是否设置了必需的键。

TLS Secret

kubernetes.io/tls Secret 类型用于存储通常用于 TLS 的证书及其关联的密钥。

TLS Secret 的一个常见用途是在Ingress中配置传输中的加密,但您也可以将其与其他资源或直接在您的工作负载中使用。使用这种类型的 Secret 时,必须在 Secret 配置的 data(或 stringData)字段中提供 tls.keytls.crt 键,尽管 API 服务器实际上不验证每个键的值。

除了使用 stringData 之外,您还可以使用 data 字段来提供 base64 编码的证书和私钥。有关详细信息,请参阅Secret 名称和数据的约束

以下 YAML 包含 TLS Secret 的示例配置

secret/tls-auth-secret.yaml 
apiVersion: v1
kind: Secret
metadata:
  name: secret-tls
type: kubernetes.io/tls
data:
  # values are base64 encoded, which obscures them but does NOT provide
  # any useful level of confidentiality
  tls.crt: |
    LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tCk1JSUNVakNDQWJzQ0FnMytNQTBHQ1NxR1NJYjNE
    UUVCQlFVQU1JR2JNUXN3Q1FZRFZRUUdFd0pLVURFT01Bd0cKQTFVRUNCTUZWRzlyZVc4eEVEQU9C
    Z05WQkFjVEIwTm9kVzh0YTNVeEVUQVBCZ05WQkFvVENFWnlZVzVyTkVSRQpNUmd3RmdZRFZRUUxF
    dzlYWldKRFpYSjBJRk4xY0hCdmNuUXhHREFXQmdOVkJBTVREMFp5WVc1ck5FUkVJRmRsCllpQkRR
    VEVqTUNFR0NTcUdTSWIzRFFFSkFSWVVjM1Z3Y0c5eWRFQm1jbUZ1YXpSa1pDNWpiMjB3SGhjTk1U
    TXcKTVRFeE1EUTFNVE01V2hjTk1UZ3dNVEV3TURRMU1UTTVXakJMTVFzd0NRWURWUVFHREFKS1VE
    RVBNQTBHQTFVRQpDQXdHWEZSdmEzbHZNUkV3RHdZRFZRUUtEQWhHY21GdWF6UkVSREVZTUJZR0Ex
    VUVBd3dQZDNkM0xtVjRZVzF3CmJHVXVZMjl0TUlHYU1BMEdDU3FHU0liM0RRRUJBUVVBQTRHSUFE
    Q0JoQUo5WThFaUhmeHhNL25PbjJTbkkxWHgKRHdPdEJEVDFKRjBReTliMVlKanV2YjdjaTEwZjVN
    Vm1UQllqMUZTVWZNOU1vejJDVVFZdW4yRFljV29IcFA4ZQpqSG1BUFVrNVd5cDJRN1ArMjh1bklI
    QkphVGZlQ09PekZSUFY2MEdTWWUzNmFScG04L3dVVm16eGFLOGtCOWVaCmhPN3F1TjdtSWQxL2pW
    cTNKODhDQXdFQUFUQU5CZ2txaGtpRzl3MEJBUVVGQUFPQmdRQU1meTQzeE15OHh3QTUKVjF2T2NS
    OEtyNWNaSXdtbFhCUU8xeFEzazlxSGtyNFlUY1JxTVQ5WjVKTm1rWHYxK2VSaGcwTi9WMW5NUTRZ
    RgpnWXcxbnlESnBnOTduZUV4VzQyeXVlMFlHSDYyV1hYUUhyOVNVREgrRlowVnQvRGZsdklVTWRj
    UUFEZjM4aU9zCjlQbG1kb3YrcE0vNCs5a1h5aDhSUEkzZXZ6OS9NQT09Ci0tLS0tRU5EIENFUlRJ
    RklDQVRFLS0tLS0K    
  # In this example, the key data is not a real PEM-encoded private key
  tls.key: |
    RXhhbXBsZSBkYXRhIGZvciB0aGUgVExTIGNydCBmaWVsZA==

TLS Secret 类型仅为方便起见而提供。您可以为用于 TLS 身份验证的凭据创建 Opaque 类型。但是,使用已定义且公开的 Secret 类型 (kubernetes.io/tls) 有助于确保项目中的 Secret 格式一致。API 服务器会验证此类型的 Secret 是否设置了必需的键。

要使用 kubectl 创建 TLS Secret,请使用 tls 子命令

kubectl create secret tls my-tls-secret \
  --cert=path/to/cert/file \
  --key=path/to/key/file

公钥/私钥对必须事先存在。--cert 的公钥证书必须是 .PEM 编码的,并且必须与 --key 的给定私钥匹配。

引导令牌 Secret

bootstrap.kubernetes.io/token Secret 类型用于节点引导过程中使用的令牌。它存储用于签名众所周知的 ConfigMap 的令牌。

引导令牌 Secret 通常在 kube-system 命名空间中创建,并以 bootstrap-token-<token-id> 的形式命名,其中 <token-id> 是令牌 ID 的 6 个字符的字符串。

作为 Kubernetes 清单,引导令牌 Secret 可能如下所示

secret/bootstrap-token-secret-base64.yaml 
apiVersion: v1
kind: Secret
metadata:
  name: bootstrap-token-5emitj
  namespace: kube-system
type: bootstrap.kubernetes.io/token
data:
  auth-extra-groups: c3lzdGVtOmJvb3RzdHJhcHBlcnM6a3ViZWFkbTpkZWZhdWx0LW5vZGUtdG9rZW4=
  expiration: MjAyMC0wOS0xM1QwNDozOToxMFo=
  token-id: NWVtaXRq
  token-secret: a3E0Z2lodnN6emduMXAwcg==
  usage-bootstrap-authentication: dHJ1ZQ==
  usage-bootstrap-signing: dHJ1ZQ==

引导令牌 Secret 在 data 下指定以下键

  • token-id:一个随机的 6 个字符的字符串作为令牌标识符。必需。
  • token-secret:一个随机的 16 个字符的字符串作为实际的令牌 Secret。必需。
  • description:一个人类可读的字符串,用于描述令牌的用途。可选。
  • expiration:使用 RFC3339 指定令牌应过期的绝对 UTC 时间。可选。
  • usage-bootstrap-<usage>:一个布尔标志,指示引导令牌的其他用途。
  • auth-extra-groups:一个逗号分隔的组名称列表,这些组名称除了 system:bootstrappers 组之外还将作为身份验证。

您也可以在 Secret 的 stringData 字段中提供值,而无需对其进行 base64 编码

secret/bootstrap-token-secret-literal.yaml 
apiVersion: v1
kind: Secret
metadata:
  # Note how the Secret is named
  name: bootstrap-token-5emitj
  # A bootstrap token Secret usually resides in the kube-system namespace
  namespace: kube-system
type: bootstrap.kubernetes.io/token
stringData:
  auth-extra-groups: "system:bootstrappers:kubeadm:default-node-token"
  expiration: "2020-09-13T04:39:10Z"
  # This token ID is used in the name
  token-id: "5emitj"
  token-secret: "kq4gihvszzgn1p0r"
  # This token can be used for authentication
  usage-bootstrap-authentication: "true"
  # and it can be used for signing
  usage-bootstrap-signing: "true"

使用 Secret

创建 Secret

有几种创建 Secret 的选项

Secret 名称和数据的约束

Secret 对象的名称必须是有效的DNS 子域名

在为 Secret 创建配置文件时,你可以指定 data 和/或 stringData 字段。datastringData 字段都是可选的。data 字段中所有键的值都必须是经过 base64 编码的字符串。如果不需要转换为 base64 字符串,你可以选择指定 stringData 字段,该字段接受任意字符串作为值。

datastringData 的键必须由字母数字字符、-_. 组成。stringData 字段中的所有键值对都会在内部合并到 data 字段中。如果一个键同时出现在 datastringData 字段中,则 stringData 字段中指定的值优先。

大小限制

单个 Secret 的大小限制为 1MiB。这是为了避免创建过大的 Secret,从而耗尽 API 服务器和 kubelet 的内存。然而,创建许多较小的 Secret 也可能耗尽内存。你可以使用资源配额来限制命名空间中 Secret(或其他资源)的数量。

编辑 Secret

你可以编辑现有的 Secret,除非它是不可变的。要编辑 Secret,请使用以下方法之一

你还可以使用 Kustomize 工具编辑 Secret 中的数据。但是,此方法会创建一个包含已编辑数据的新 Secret 对象。

根据你创建 Secret 的方式,以及 Secret 在你的 Pod 中使用的方式,对现有 Secret 对象的更新会自动传播到使用该数据的 Pod。有关更多信息,请参阅从 Pod 中使用 Secret 作为文件部分。

使用 Secret

Secret 可以作为数据卷挂载,或者作为环境变量公开,供 Pod 中的容器使用。Secret 也可以被系统的其他部分使用,而无需直接暴露给 Pod。例如,Secret 可以保存系统的其他部分应该用来代表你与外部系统交互的凭据。

Secret 卷源会经过验证,以确保指定的对象引用实际指向 Secret 类型的对象。因此,必须先创建 Secret,然后才能创建任何依赖于它的 Pod。

如果无法获取 Secret(可能是因为它不存在,或者由于与 API 服务器的临时连接中断),则 kubelet 会定期重试运行该 Pod。kubelet 还会为该 Pod 报告一个事件,其中包含有关获取 Secret 问题的详细信息。

可选 Secret

在 Pod 中引用 Secret 时,你可以将 Secret 标记为可选,如下例所示。如果可选的 Secret 不存在,Kubernetes 将忽略它。

secret/optional-secret.yaml 
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: mypod
    image: redis
    volumeMounts:
    - name: foo
      mountPath: "/etc/foo"
      readOnly: true
  volumes:
  - name: foo
    secret:
      secretName: mysecret
      optional: true

默认情况下,Secret 是必需的。在所有非可选的 Secret 可用之前,Pod 的任何容器都不会启动。

如果 Pod 引用了非可选 Secret 中的特定键,并且该 Secret 确实存在,但缺少指定的键,则 Pod 在启动期间会失败。

从 Pod 中使用 Secret 作为文件

如果想在 Pod 中访问 Secret 中的数据,一种方法是让 Kubernetes 将该 Secret 的值作为文件提供给 Pod 的一个或多个容器的文件系统内。

有关说明,请参阅创建可以通过卷访问 Secret 数据的 Pod

当卷包含来自 Secret 的数据,并且该 Secret 被更新时,Kubernetes 会跟踪此情况并使用最终一致的方法更新卷中的数据。

kubelet 会保留一个缓存,其中包含该节点上 Pod 的卷中使用的 Secret 的当前键和值。你可以配置 kubelet 检测缓存值更改的方式。 kubelet 配置中的 configMapAndSecretChangeDetectionStrategy 字段控制 kubelet 使用的策略。默认策略为 Watch

对 Secret 的更新可以通过 API 监视机制(默认)、基于具有定义的生存时间的缓存进行传播,或者在每个 kubelet 同步循环中从集群 API 服务器轮询。

因此,从 Secret 更新到将新键投影到 Pod 的总延迟可能长达 kubelet 同步周期 + 缓存传播延迟,其中缓存传播延迟取决于选择的缓存类型(按照上一段中列出的顺序,它们是:监视传播延迟,配置的缓存 TTL,或直接轮询的零)。

使用 Secret 作为环境变量

要在 Pod 中的环境变量中使用 Secret

  1. 对于 Pod 规范中的每个容器,为你想要使用的每个 Secret 键添加到 env[].valueFrom.secretKeyRef 字段中。
  2. 修改你的镜像和/或命令行,以便程序在指定的环境变量中查找值。

有关说明,请参阅使用 Secret 数据定义容器环境变量

需要注意的是,Pod 中环境变量名称允许的字符范围是受限的。如果任何键不符合规则,则这些键将无法提供给你的容器,但允许 Pod 启动。

容器镜像拉取 Secret

如果想从私有仓库获取容器镜像,你需要一种方法让每个节点上的 kubelet 能够验证该仓库。你可以配置 *镜像拉取 Secret* 以实现此目的。这些 Secret 在 Pod 级别配置。

使用 imagePullSecrets

imagePullSecrets 字段是同一命名空间中 Secret 的引用列表。你可以使用 imagePullSecrets 传递一个包含 Docker(或其他)镜像仓库密码的 Secret 给 kubelet。kubelet 使用此信息代表你的 Pod 拉取私有镜像。有关 imagePullSecrets 字段的更多信息,请参阅PodSpec API

手动指定 imagePullSecret

你可以从容器镜像文档中学习如何指定 imagePullSecrets

安排自动附加 imagePullSecrets

你可以手动创建 imagePullSecrets,并从 ServiceAccount 引用这些 Secret。任何使用该 ServiceAccount 创建的 Pod 或默认使用该 ServiceAccount 创建的 Pod,其 imagePullSecrets 字段都将设置为该服务帐户的字段。有关该过程的详细说明,请参阅将 ImagePullSecrets 添加到服务帐户

将 Secret 用于静态 Pod

你不能将 ConfigMap 或 Secret 用于静态 Pod

不可变的 Secret

功能状态: Kubernetes v1.21 [stable]

Kubernetes 允许你将特定的 Secret(和 ConfigMap)标记为不可变。阻止对现有 Secret 的数据进行更改具有以下好处

  • 保护你免受可能导致应用程序中断的意外(或不必要的)更新
  • (对于广泛使用 Secret 的集群 - 至少有数万个独特的 Secret 到 Pod 的挂载),切换到不可变的 Secret 可以通过显着减少 kube-apiserver 上的负载来提高集群的性能。kubelet 不需要维护任何标记为不可变的 Secret 上的 [watch]。

将 Secret 标记为不可变

你可以通过将 immutable 字段设置为 true 来创建不可变的 Secret。例如,

apiVersion: v1
kind: Secret
metadata: ...
data: ...
immutable: true

你还可以更新任何现有的可变 Secret,使其变为不可变。

Secret 的信息安全

虽然 ConfigMap 和 Secret 的工作方式类似,但 Kubernetes 对 Secret 对象应用了一些额外的保护。

Secret 通常保存着重要程度各异的值,其中许多值可能导致 Kubernetes(例如,服务帐户令牌)和外部系统内的权限提升。即使单个应用程序可以推断出它期望与之交互的 Secret 的权限,同一命名空间内的其他应用程序也可能使这些假设失效。

仅当该节点上的 Pod 需要 Secret 时,才会将 Secret 发送到该节点。对于将 Secret 挂载到 Pod 中,kubelet 会将数据的副本存储到 tmpfs 中,以便机密数据不会写入持久存储。一旦依赖于 Secret 的 Pod 被删除,kubelet 就会删除其 Secret 中机密数据的本地副本。

一个 Pod 中可能存在多个容器。默认情况下,你定义的容器只能访问默认的 ServiceAccount 及其相关的 Secret。你必须显式定义环境变量或将卷映射到容器中,以便提供对任何其他 Secret 的访问权限。

同一节点上可能存在多个 Pod 的 Secret。但是,只有 Pod 请求的 Secret 才可能在其容器中可见。因此,一个 Pod 无权访问另一个 Pod 的 Secret。

配置对 Secret 的最低权限访问

为了增强围绕 Secret 的安全措施,请使用单独的命名空间来隔离对已挂载 Secret 的访问。

下一步

上次修改时间:2024年11月19日下午10:53(太平洋标准时间):解决评论 (3b8c927a3b)