密钥

Secret 是一种对象，用于包含少量敏感数据，例如密码、令牌或密钥。此类信息原本可能放在 Pod 规约中或 容器镜像中。使用 Secret 意味着你无需在应用程序代码中包含敏感数据。

由于 Secret 可以独立于使用它们的 Pod 进行创建，因此在创建、查看和编辑 Pod 的工作流程中，Secret（及其数据）被暴露的风险较低。Kubernetes 以及运行在集群中的应用程序还可以对 Secret 采取额外的预防措施，例如避免将敏感数据写入非易失性存储。

Secret 与 ConfigMap 类似，但专门用于存放保密数据。

更多详情请参阅Secret 的信息安全。

Secret 的用途

你可以将 Secret 用于以下目的：

• 为容器设置环境变量.
• 向 Pod 提供 SSH 密钥或密码等凭据.
• 允许 kubelet 从私有镜像仓库拉取容器镜像.

Kubernetes 控制平面也使用 Secret；例如，Bootstrap Token Secret 是一种帮助自动化节点注册的机制。

用例：Secret 卷中的点文件（dotfile）

你可以通过定义一个以点开头的键来“隐藏”你的数据。这个键代表一个点文件或“隐藏”文件。例如，当以下 Secret 挂载到卷 secret-volume 中时，该卷将包含一个名为 .secret-file 的文件，并且 dotfile-test-container 将在路径 /etc/secret-volume/.secret-file 处拥有此文件。

secret/dotfile-secret.yaml

apiVersion: v1
kind: Secret
metadata:
  name: dotfile-secret
data:
  .secret-file: dmFsdWUtMg0KDQo=
---
apiVersion: v1
kind: Pod
metadata:
  name: secret-dotfiles-pod
spec:
  volumes:
    - name: secret-volume
      secret:
        secretName: dotfile-secret
  containers:
    - name: dotfile-test-container
      image: registry.k8s.io/busybox
      command:
        - ls
        - "-l"
        - "/etc/secret-volume"
      volumeMounts:
        - name: secret-volume
          readOnly: true
          mountPath: "/etc/secret-volume"

用例：Pod 中仅对一个容器可见的 Secret

考虑一个需要处理 HTTP 请求、执行一些复杂的业务逻辑，然后使用 HMAC 签署一些消息的程序。由于它包含复杂的应用程序逻辑，服务器中可能存在一个未被注意到的远程文件读取漏洞，这可能会将私钥暴露给攻击者。

这可以分成两个容器中的两个进程：一个前端容器，负责处理用户交互和业务逻辑，但看不到私钥；以及一个签名容器，它可以看到私钥，并响应来自前端的简单签名请求（例如，通过 localhost 网络）。

使用这种分区方法，攻击者现在必须诱骗应用程序服务器执行相当随意的操作，这可能比让它读取文件更难。

Secret 的替代方案

除了使用 Secret 来保护保密数据外，你还可以选择其他替代方案。

你有一些选项，例如：

• 如果你的云原生组件需要向你知道运行在同一个 Kubernetes 集群内的另一个应用程序进行身份认证，你可以使用 ServiceAccount 及其令牌来标识你的客户端。
• 存在一些第三方工具，你可以在集群内或集群外运行它们来管理敏感数据。例如，一个 Pod 可以通过 HTTPS 访问的服务，如果客户端正确认证（例如，使用 ServiceAccount 令牌），该服务就会公开 Secret。
• 对于身份认证，你可以实现一个用于 X.509 证书的自定义签名器，并使用 CertificateSigningRequest 让该自定义签名器向需要证书的 Pod 颁发证书。
• 你可以使用设备插件 将节点本地加密硬件暴露给特定的 Pod。例如，你可以将受信任的 Pod 调度到提供可信平台模块（Trusted Platform Module）且已带外（out-of-band）配置的节点上。

你还可以组合使用其中两个或更多选项，包括使用 Secret 对象本身。

例如：实现（或部署）一个 Operator，该 Operator 从外部服务获取短期会话令牌，然后基于这些短期会话令牌创建 Secret。运行在集群中的 Pod 可以使用会话令牌，并且 Operator 会确保它们的有效性。这种分离意味着你可以运行那些不知道颁发和刷新这些会话令牌具体机制的 Pod。

Secret 类型

创建 Secret 时，可以使用 Secret 资源的 type 字段或某些等效的 kubectl 命令行标志（如果可用）来指定其类型。Secret 类型用于方便以编程方式处理 Secret 数据。

Kubernetes 为一些常见的使用场景提供了几个内置类型。这些类型在执行的验证和 Kubernetes 对其施加的约束方面有所不同。

你可以通过为 Secret 对象的 type 字段指定一个非空字符串来定义和使用你自己的 Secret 类型（空字符串被视为 Opaque 类型）。

Kubernetes 对类型名称没有施加任何约束。但是，如果你使用内置类型之一，则必须满足为该类型定义的所有要求。

如果你正在定义用于公共使用的 Secret 类型，请遵循约定，将域名放在名称之前，并用 / 分隔。例如：cloud-hosting.example.net/cloud-api-credentials。

Opaque Secret

如果你在 Secret 清单中未明确指定类型，则 Opaque 是默认的 Secret 类型。当你使用 kubectl 创建 Secret 时，必须使用 generic 子命令来指定一个 Opaque Secret 类型。例如，以下命令会创建一个空的 Opaque 类型的 Secret：

kubectl create secret generic empty-secret
kubectl get secret empty-secret

输出如下所示：

NAME           TYPE     DATA   AGE
empty-secret   Opaque   0      2m6s

DATA 列显示了 Secret 中存储的数据项数量。在此例中，0 表示你创建了一个空的 Secret。

ServiceAccount 令牌 Secret

类型为 kubernetes.io/service-account-token 的 Secret 用于存储一个令牌凭据，该凭据标识一个 ServiceAccount。这是一种遗留机制，用于向 Pod 提供长期有效的 ServiceAccount 凭据。

在 Kubernetes v1.22 及更高版本中，推荐的方法是改用 TokenRequest API 来获取短期且自动轮换的 ServiceAccount 令牌。你可以通过以下方法获取这些短期令牌：

• 直接调用 TokenRequest API 或使用 kubectl 等 API 客户端。例如，你可以使用 kubectl create token 命令。
• 在 Pod 清单中的 投射卷 (projected volume) 中请求挂载令牌。Kubernetes 会创建令牌并将其挂载到 Pod 中。该令牌在挂载它的 Pod 被删除时会自动失效。详情请参阅 使用 Service Account 令牌投射启动 Pod。

使用此 Secret 类型时，需要确保 kubernetes.io/service-account.name 注解设置为一个已存在的 ServiceAccount 名称。如果你同时创建 ServiceAccount 和 Secret 对象，应先创建 ServiceAccount 对象。

Secret 创建后，Kubernetes 控制器 会填充一些其他字段，例如 kubernetes.io/service-account.uid 注解，以及 data 字段中的 token 键，该键会填充一个身份认证令牌。

以下示例配置声明了一个 ServiceAccount 令牌 Secret：

secret/serviceaccount-token-secret.yaml

apiVersion: v1
kind: Secret
metadata:
  name: secret-sa-sample
  annotations:
    kubernetes.io/service-account.name: "sa-name"
type: kubernetes.io/service-account-token
data:
  extra: YmFyCg==

创建 Secret 后，请等待 Kubernetes 填充 data 字段中的 token 键。

有关 ServiceAccount 如何工作的更多信息，请参阅ServiceAccount 文档。你还可以查看 Pod 的 automountServiceAccountToken 字段和 serviceAccountName 字段，以了解如何在 Pod 中引用 ServiceAccount 凭据。

Docker 配置 Secret

如果你创建 Secret 是为了存储访问容器镜像仓库的凭据，则该 Secret 必须使用以下 type 值之一：

• kubernetes.io/dockercfg：存储序列化的 ~/.dockercfg 文件，这是配置 Docker 命令行的旧格式。Secret 的 data 字段包含一个 .dockercfg 键，其值是经过 base64 编码的 ~/.dockercfg 文件内容。
• kubernetes.io/dockerconfigjson：存储一个序列化的 JSON，它遵循与 ~/.docker/config.json 文件相同的格式规则，这是 ~/.dockercfg 的新格式。Secret 的 data 字段必须包含一个 .dockerconfigjson 键，其值是经过 base64 编码的 ~/.docker/config.json 文件内容。

以下是 kubernetes.io/dockercfg 类型 Secret 的一个示例：

secret/dockercfg-secret.yaml

apiVersion: v1
kind: Secret
metadata:
  name: secret-dockercfg
type: kubernetes.io/dockercfg
data:
  .dockercfg: |
    eyJhdXRocyI6eyJodHRwczovL2V4YW1wbGUvdjEvIjp7ImF1dGgiOiJvcGVuc2VzYW1lIn19fQo=    

当你使用清单创建 Docker 配置 Secret 时，API 服务器会检查 data 字段中是否存在预期的键，并验证提供的值是否可以解析为有效的 JSON。API 服务器不验证 JSON 是否实际上是一个 Docker 配置文件。

你还可以使用 kubectl 创建一个用于访问容器镜像仓库的 Secret，例如在你没有 Docker 配置文件时：

kubectl create secret docker-registry secret-tiger-docker \
  --docker-email=tiger@acme.example \
  --docker-username=tiger \
  --docker-password=pass1234 \
  --docker-server=my-registry.example:5000

此命令会创建一个类型为 kubernetes.io/dockerconfigjson 的 Secret。

从新创建的 Secret 中检索 .data.dockerconfigjson 字段并解码数据：

kubectl get secret secret-tiger-docker -o jsonpath='{.data.*}' | base64 -d

输出等同于以下 JSON 文档（它也是一个有效的 Docker 配置文件）：

{
  "auths": {
    "my-registry.example:5000": {
      "username": "tiger",
      "password": "pass1234",
      "email": "tiger@acme.example",
      "auth": "dGlnZXI6cGFzczEyMzQ="
    }
  }
}

基本认证 Secret

kubernetes.io/basic-auth 类型用于存储基本认证所需的凭据。使用此 Secret 类型时，Secret 的 data 字段必须包含以下两个键之一：

• username：用于身份认证的用户名
• password：用于身份认证的密码或令牌

上述两个键的值都是 base64 编码的字符串。你也可以在 Secret 清单中使用 stringData 字段提供明文内容。

以下清单是基本认证 Secret 的一个示例：

secret/basicauth-secret.yaml

apiVersion: v1
kind: Secret
metadata:
  name: secret-basic-auth
type: kubernetes.io/basic-auth
stringData:
  username: admin # required field for kubernetes.io/basic-auth
  password: t0p-Secret # required field for kubernetes.io/basic-auth

提供基本认证 Secret 类型仅为方便起见。你可以为基本认证所需的凭据创建一个 Opaque 类型。但是，使用已定义并公开的 Secret 类型（kubernetes.io/basic-auth）有助于其他人理解你的 Secret 的用途，并设定预期键名称的惯例。

SSH 认证 Secret

内置类型 kubernetes.io/ssh-auth 用于存储 SSH 认证中所需的数据。使用此 Secret 类型时，你必须在 data（或 stringData）字段中指定一个 ssh-privatekey 键值对作为要使用的 SSH 凭据。

以下清单是一个用于 SSH 公钥/私钥认证的 Secret 示例：

secret/ssh-auth-secret.yaml

apiVersion: v1
kind: Secret
metadata:
  name: secret-ssh-auth
type: kubernetes.io/ssh-auth
data:
  # the data is abbreviated in this example
  ssh-privatekey: |
    UG91cmluZzYlRW1vdGljb24lU2N1YmE=    

提供 SSH 认证 Secret 类型仅为方便起见。你可以为 SSH 认证所需的凭据创建一个 Opaque 类型。但是，使用已定义并公开的 Secret 类型（kubernetes.io/ssh-auth）有助于其他人理解你的 Secret 的用途，并设定预期键名称的惯例。Kubernetes API 会验证此类型 Secret 是否设置了所需的键。

TLS Secret

kubernetes.io/tls Secret 类型用于存储通常用于 TLS 的证书及其关联密钥。

TLS Secret 的一个常见用途是为 Ingress 配置传输中加密，但你也可以将其与其他资源或直接在你的工作负载中使用。使用此类型 Secret 时，Secret 配置的 data（或 stringData）字段中必须提供 tls.key 和 tls.crt 两个键，尽管 API 服务器实际上不验证每个键的值。

作为使用 stringData 的替代方法，你可以使用 data 字段提供 base64 编码的证书和私钥。详情请参阅Secret 名称和数据的约束。

以下 YAML 包含 TLS Secret 的示例配置：

secret/tls-auth-secret.yaml

apiVersion: v1
kind: Secret
metadata:
  name: secret-tls
type: kubernetes.io/tls
data:
  # values are base64 encoded, which obscures them but does NOT provide
  # any useful level of confidentiality
  tls.crt: |
    LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tCk1JSUNVakNDQWJzQ0FnMytNQTBHQ1NxR1NJYjNE
    UUVCQlFVQU1JR2JNUXN3Q1FZRFZRUUdFd0pLVURFT01Bd0cKQTFVRUNCTUZWRzlyZVc4eEVEQU9C
    Z05WQkFjVEIwTm9kVzh0YTNVeEVUQVBCZ05WQkFvVENFWnlZVzVyTkVSRQpNUmd3RmdZRFZRUUxF
    dzlYWldKRFpYSjBJRk4xY0hCdmNuUXhHREFXQmdOVkJBTVREMFp5WVc1ck5FUkVJRmRsCllpQkRR
    VEVqTUNFR0NTcUdTSWIzRFFFSkFSWVVjM1Z3Y0c5eWRFQm1jbUZ1YXpSa1pDNWpiMjB3SGhjTk1U
    TXcKTVRFeE1EUTFNVE01V2hjTk1UZ3dNVEV3TURRMU1UTTVXakJMTVFzd0NRWURWUVFHREFKS1VE
    RVBNQTBHQTFVRQpDQXdHWEZSdmEzbHZNUkV3RHdZRFZRUUtEQWhHY21GdWF6UkVSREVZTUJZR0Ex
    VUVBd3dQZDNkM0xtVjRZVzF3CmJHVXVZMjl0TUlHYU1BMEdDU3FHU0liM0RRRUJBUVVBQTRHSUFE
    Q0JoQUo5WThFaUhmeHhNL25PbjJTbkkxWHgKRHdPdEJEVDFKRjBReTliMVlKanV2YjdjaTEwZjVN
    Vm1UQllqMUZTVWZNOU1vejJDVVFZdW4yRFljV29IcFA4ZQpqSG1BUFVrNVd5cDJRN1ArMjh1bklI
    QkphVGZlQ09PekZSUFY2MEdTWWUzNmFScG04L3dVVm16eGFLOGtCOWVaCmhPN3F1TjdtSWQxL2pW
    cTNKODhDQXdFQUFUQU5CZ2txaGtpRzl3MEJBUVVGQUFPQmdRQU1meTQzeE15OHh3QTUKVjF2T2NS
    OEtyNWNaSXdtbFhCUU8xeFEzazlxSGtyNFlUY1JxTVQ5WjVKTm1rWHYxK2VSaGcwTi9WMW5NUTRZ
    RgpnWXcxbnlESnBnOTduZUV4VzQyeXVlMFlHSDYyV1hYUUhyOVNVREgrRlowVnQvRGZsdklVTWRj
    UUFEZjM4aU9zCjlQbG1kb3YrcE0vNCs5a1h5aDhSUEkzZXZ6OS9NQT09Ci0tLS0tRU5EIENFUlRJ
    RklDQVRFLS0tLS0K    
  # In this example, the key data is not a real PEM-encoded private key
  tls.key: |
    RXhhbXBsZSBkYXRhIGZvciB0aGUgVExTIGNydCBmaWVsZA==    

提供 TLS Secret 类型仅为方便起见。你可以为 TLS 认证所需的凭据创建一个 Opaque 类型。但是，使用已定义并公开的 Secret 类型（kubernetes.io/tls）有助于确保项目中 Secret 格式的一致性。API 服务器会验证此类型 Secret 是否设置了所需的键。

要使用 kubectl 创建 TLS Secret，请使用 tls 子命令：

kubectl create secret tls my-tls-secret \
  --cert=path/to/cert/file \
  --key=path/to/key/file

公钥/私钥对必须事先存在。用于 --cert 的公钥证书必须是 .PEM 编码的，并且必须与用于 --key 的给定私钥匹配。

Bootstrap Token Secret

bootstrap.kubernetes.io/token Secret 类型用于节点引导 (bootstrap) 过程中使用的令牌。它存储用于签署众所周知的 ConfigMap 的令牌。

Bootstrap Token Secret 通常在 kube-system 命名空间中创建，并命名为 bootstrap-token-<token-id> 的形式，其中 <token-id> 是令牌 ID 的一个 6 个字符的字符串。

作为 Kubernetes 清单，Bootstrap Token Secret 可能如下所示：

secret/bootstrap-token-secret-base64.yaml

apiVersion: v1
kind: Secret
metadata:
  name: bootstrap-token-5emitj
  namespace: kube-system
type: bootstrap.kubernetes.io/token
data:
  auth-extra-groups: c3lzdGVtOmJvb3RzdHJhcHBlcnM6a3ViZWFkbTpkZWZhdWx0LW5vZGUtdG9rZW4=
  expiration: MjAyMC0wOS0xM1QwNDozOToxMFo=
  token-id: NWVtaXRq
  token-secret: a3E0Z2lodnN6emduMXAwcg==
  usage-bootstrap-authentication: dHJ1ZQ==
  usage-bootstrap-signing: dHJ1ZQ==

Bootstrap Token Secret 在 data 下指定了以下键：

• token-id：一个随机的 6 个字符的字符串，作为令牌标识符。必需。
• token-secret：一个随机的 16 个字符的字符串，作为实际的令牌 Secret。必需。
• description：一个人类可读的字符串，描述令牌的用途。可选。
• expiration：一个使用 RFC3339 格式的绝对 UTC 时间，指定令牌何时过期。可选。
• usage-bootstrap-<usage>：一个布尔标志，指示 bootstrap token 的额外用途。
• auth-extra-groups：一个逗号分隔的组名列表，除 system:bootstrappers 组外，还会以这些组的身份进行身份认证。

你也可以在 Secret 的 stringData 字段中提供这些值，而无需进行 base64 编码：

secret/bootstrap-token-secret-literal.yaml

apiVersion: v1
kind: Secret
metadata:
  # Note how the Secret is named
  name: bootstrap-token-5emitj
  # A bootstrap token Secret usually resides in the kube-system namespace
  namespace: kube-system
type: bootstrap.kubernetes.io/token
stringData:
  auth-extra-groups: "system:bootstrappers:kubeadm:default-node-token"
  expiration: "2020-09-13T04:39:10Z"
  # This token ID is used in the name
  token-id: "5emitj"
  token-secret: "kq4gihvszzgn1p0r"
  # This token can be used for authentication
  usage-bootstrap-authentication: "true"
  # and it can be used for signing
  usage-bootstrap-signing: "true"

使用 Secret

创建 Secret

有几种创建 Secret 的选项：

• 使用 kubectl
• 使用配置文件
• 使用 Kustomize 工具

Secret 名称和数据的约束

Secret 对象的名称必须是有效的 DNS 子域名。

为 Secret 创建配置文件时，可以指定 data 和/或 stringData 字段。data 和 stringData 字段是可选的。data 字段中所有键的值都必须是 base64 编码的字符串。如果不想转换为 base64 字符串，可以选择指定 stringData 字段，该字段接受任意字符串作为值。

data 和 stringData 的键必须由字母数字字符、-、_ 或 . 组成。stringData 字段中的所有键值对都会在内部合并到 data 字段中。如果同一个键同时出现在 data 和 stringData 字段中，则 stringData 字段中指定的值优先。

大小限制

单个 Secret 的大小限制为 1MiB。这是为了阻止创建可能耗尽 API 服务器和 kubelet 内存的超大 Secret。然而，创建许多小型 Secret 也可能耗尽内存。你可以使用资源配额 来限制命名空间中 Secret（或其他资源）的数量。

编辑 Secret

你可以编辑现有的 Secret，除非它是不可变的。要编辑 Secret，请使用以下方法之一：

• 使用 kubectl
• 使用配置文件

你还可以使用 Kustomize 工具来编辑 Secret 中的数据。但是，此方法会创建一个包含已编辑数据的新 Secret 对象。

根据你创建 Secret 的方式以及 Secret 在 Pod 中的使用方式，对现有 Secret 对象的更新会自动传播到使用这些数据的 Pod。更多信息，请参阅从 Pod 中将 Secret 用作文件一节。

使用 Secret

Secret 可以挂载为数据卷或作为环境变量 暴露给 Pod 中的容器使用。Secret 也可以被系统的其他部分使用，而无需直接暴露给 Pod。例如，Secret 可以存放系统其他部分代表你与外部系统交互时应使用的凭据。

Secret 卷源会经过验证，以确保指定的对象引用确实指向类型为 Secret 的对象。因此，必须先创建 Secret，然后才能创建依赖它的任何 Pod。

如果 Secret 无法获取（可能是因为它不存在，或者由于与 API 服务器暂时断开连接），kubelet 会周期性地重试运行该 Pod。kubelet 还会为该 Pod 报告一个事件（Event），其中包括获取 Secret 问题的详细信息。

可选 Secret

在 Pod 中引用 Secret 时，你可以将 Secret 标记为 *可选*，如下例所示。如果一个可选 Secret 不存在，Kubernetes 将忽略它。

secret/optional-secret.yaml

apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: mypod
    image: redis
    volumeMounts:
    - name: foo
      mountPath: "/etc/foo"
      readOnly: true
  volumes:
  - name: foo
    secret:
      secretName: mysecret
      optional: true

默认情况下，Secret 是必需的。在所有非可选的 Secret 可用之前，Pod 中的任何容器都不会启动。

如果 Pod 引用了一个非可选 Secret 中的特定键，并且该 Secret 存在但缺少指定的键，则 Pod 会在启动期间失败。

从 Pod 中以文件方式使用 Secret

如果你想在 Pod 中访问 Secret 中的数据，一种方法是让 Kubernetes 将该 Secret 的值以文件形式提供给 Pod 中一个或多个容器的文件系统。

有关说明，请参阅 通过卷访问 Secret 数据的 Pod。

当卷包含来自 Secret 的数据，并且该 Secret 被更新时，Kubernetes 会跟踪此更新并以最终一致性（eventually-consistent）的方式更新卷中的数据。

kubelet 会缓存该节点上 Pod 中用于卷的 Secret 的当前键和值。你可以配置 kubelet 检测缓存值变化的方式。kubelet 配置中的 configMapAndSecretChangeDetectionStrategy 字段控制 kubelet 使用哪种策略。默认策略是 Watch。

Secret 的更新可以通过 API watch 机制（默认）、基于具有定义生存时间（time-to-live）的缓存来传播，或者在每个 kubelet 同步循环中从集群 API server轮询获取。

因此，从 Secret 更新到新键投射到 Pod 的总延迟时间可能长达 kubelet 同步周期 + 缓存传播延迟，其中缓存传播延迟取决于所选的缓存类型（按照上一段中列出的相同顺序，它们是：watch 传播延迟、配置的缓存 TTL，或直接轮询时的零延迟）。

以环境变量方式使用 Secret

要在 Pod 中以 环境变量 方式使用 Secret

1. 对于 Pod 规范中的每个容器，为你想要使用的每个 Secret 键添加一个环境变量到 env[].valueFrom.secretKeyRef 字段。
2. 修改你的镜像和/或命令行，以便程序在指定的环境变量中查找值。

有关说明，请参阅 使用 Secret 数据定义容器环境变量。

重要提示：Pod 中环境变量名称允许使用的字符范围是受限的。如果任何键不符合规则，则这些键不会对你的容器可用，但 Pod 仍允许启动。

容器镜像拉取 Secret

如果你想从私有仓库拉取容器镜像，你需要一种方式让每个节点上的 kubelet 能够在该仓库进行认证。你可以配置 image pull Secrets 来实现这一点。这些 Secret 是在 Pod 级别配置的。

使用 imagePullSecrets

imagePullSecrets 字段是对同一命名空间中 Secret 的引用列表。你可以使用 imagePullSecrets 将包含 Docker（或其他）镜像仓库密码的 Secret 传递给 kubelet。kubelet 使用此信息代表你的 Pod 拉取私有镜像。有关 imagePullSecrets 字段的更多信息，请参阅 PodSpec API。

手动指定 imagePullSecret

你可以从容器镜像文档中了解如何指定 imagePullSecrets。

自动附加 imagePullSecrets

你可以手动创建 imagePullSecrets，并从 ServiceAccount 引用它们。使用该 ServiceAccount 创建的任何 Pod，或默认使用该 ServiceAccount 创建的任何 Pod，其 imagePullSecrets 字段都将设置为该 ServiceAccount 的值。有关该过程的详细说明，请参阅 向 ServiceAccount 添加 ImagePullSecrets。

将 Secret 与静态 Pod 一起使用

你不能将 ConfigMap 或 Secret 与静态 Pod 一起使用。

不可变 Secret

Kubernetes 允许你将特定的 Secret（和 ConfigMap）标记为 不可变。阻止更改现有 Secret 的数据具有以下好处：

• 保护你免受可能导致应用程序中断的意外（或不必要的）更新
• （对于广泛使用 Secret 的集群 - 至少有数万个唯一的 Secret 到 Pod 的挂载），切换到不可变 Secret 可以通过显著降低 kube-apiserver 的负载来提高集群性能。kubelet 不需要对标记为不可变的任何 Secret 保持 [watch]。

将 Secret 标记为不可变

你可以通过将 immutable 字段设置为 true 来创建一个不可变 Secret。例如，

apiVersion: v1
kind: Secret
metadata: ...
data: ...
immutable: true

你也可以更新任何现有的可变 Secret，将其设置为不可变。

Secret 的信息安全

尽管 ConfigMap 和 Secret 的工作方式类似，但 Kubernetes 对 Secret 对象应用了一些额外的保护措施。

Secret 通常包含不同重要程度的值，其中许多可能导致 Kubernetes 内部（例如 service account token）和外部系统的权限提升。即使单个应用可以推断出它预期与之交互的 Secret 的权限，同一命名空间内的其他应用也可能使这些假设失效。

Secret 仅在节点上的 Pod 需要它时才发送到该节点。对于将 Secret 挂载到 Pod 中，kubelet 会将数据的副本存储到 tmpfs 中，以便机密数据不会被写入持久存储。一旦依赖于 Secret 的 Pod 被删除，kubelet 也会删除其本地存储的该 Secret 的机密数据副本。

一个 Pod 中可能有多个容器。默认情况下，你定义的容器仅有权访问默认的 ServiceAccount 及其相关的 Secret。你必须显式定义环境变量或将卷映射到容器中，才能提供对任何其他 Secret 的访问权限。

同一节点上可能存在多个 Pod 的 Secret。但是，只有 Pod 请求的 Secret 才可能在其容器内可见。因此，一个 Pod 无法访问另一个 Pod 的 Secret。

配置 Secret 的最小特权访问

为了增强围绕 Secret 的安全措施，使用独立的命名空间来隔离对挂载的 Secret 的访问。

下一步

• 有关管理和提高 Secret 安全性的指南，请参阅Kubernetes Secret 的最佳实践。
• 了解如何使用 kubectl 管理 Secret
• 了解如何使用配置文件管理 Secret
• 了解如何使用 kustomize 管理 Secret
• 阅读 Secret 的API 参考