使用 Secrets 安全分发凭据
本页面介绍如何将敏感数据(例如密码和加密密钥)安全地注入 Pod。
准备工作
你需要拥有一个 Kubernetes 集群,并且 kubectl 命令行工具已配置为与你的集群通信。建议你在至少有两个非控制平面主机的节点上运行此教程。如果你还没有集群,可以使用 minikube 创建一个,或者可以使用以下 Kubernetes 演练场之一
将你的 Secret 数据转换为 base64 编码表示
假设你有两部分 Secret 数据:一个用户名 my-app 和一个密码 39528$vdg7Jb。首先,使用 base64 编码工具将你的用户名和密码转换为 base64 编码表示。这里是一个使用常用 base64 程序的示例
echo -n 'my-app' | base64
echo -n '39528$vdg7Jb' | base64
输出显示你的用户名的 base64 编码表示是 bXktYXBw,密码的 base64 编码表示是 Mzk1MjgkdmRnN0pi。
注意
使用操作系统信任的本地工具,以降低外部工具的安全风险。创建 Secret
这里是一个你可以用来创建 Secret 的配置文件,它包含你的用户名和密码
apiVersion: v1
kind: Secret
metadata:
name: test-secret
data:
username: bXktYXBw
password: Mzk1MjgkdmRnN0pi
创建 Secret
kubectl apply -f https://k8s.io/examples/pods/inject/secret.yaml查看 Secret 的信息
kubectl get secret test-secret输出
NAME TYPE DATA AGE test-secret Opaque 2 1m查看 Secret 的更多详细信息
kubectl describe secret test-secret输出
Name: test-secret Namespace: default Labels: <none> Annotations: <none> Type: Opaque Data ==== password: 13 bytes username: 7 bytes
直接使用 kubectl 创建 Secret
如果你想跳过 Base64 编码步骤,可以使用 kubectl create secret 命令创建相同的 Secret。例如
kubectl create secret generic test-secret --from-literal='username=my-app' --from-literal='password=39528$vdg7Jb'
这更方便。前面展示的详细方法明确地演示了每个步骤正在发生的事情。
创建一个 Pod,通过 Volume 访问 Secret 数据
这里是一个你可以用来创建 Pod 的配置文件
apiVersion: v1
kind: Pod
metadata:
name: secret-test-pod
spec:
containers:
- name: test-container
image: nginx
volumeMounts:
# name must match the volume name below
- name: secret-volume
mountPath: /etc/secret-volume
readOnly: true
# The secret data is exposed to Containers in the Pod through a Volume.
volumes:
- name: secret-volume
secret:
secretName: test-secret
创建 Pod
kubectl apply -f https://k8s.io/examples/pods/inject/secret-pod.yaml验证你的 Pod 正在运行
kubectl get pod secret-test-pod输出
NAME READY STATUS RESTARTS AGE secret-test-pod 1/1 Running 0 42m进入你的 Pod 中运行的容器的 Shell
kubectl exec -i -t secret-test-pod -- /bin/bashSecret 数据通过挂载在
/etc/secret-volume下的 Volume 暴露给容器。在你的 Shell 中,列出
/etc/secret-volume目录中的文件# Run this in the shell inside the container ls /etc/secret-volume输出显示了两个文件,每个文件对应一部分 Secret 数据
password username在你的 Shell 中,显示
username和password文件的内容# Run this in the shell inside the container echo "$( cat /etc/secret-volume/username )" echo "$( cat /etc/secret-volume/password )"输出是你的用户名和密码
my-app 39528$vdg7Jb
修改你的镜像或命令行,以便程序在 mountPath 目录中查找文件。Secret 的 data map 中的每个键都成为此目录中的文件名。
将 Secret 键投影到特定的文件路径
你还可以控制 Volume 中 Secret 键投影到的路径。使用 .spec.volumes[].secret.items 字段来更改每个键的目标路径
apiVersion: v1
kind: Pod
metadata:
name: mypod
spec:
containers:
- name: mypod
image: redis
volumeMounts:
- name: foo
mountPath: "/etc/foo"
readOnly: true
volumes:
- name: foo
secret:
secretName: mysecret
items:
- key: username
path: my-group/my-username
当你部署此 Pod 时,会发生以下情况
- 来自
mysecret的username键在路径/etc/foo/my-group/my-username下可供容器使用,而不是在/etc/foo/username。 - 该 Secret 对象的
password键未被投影。
如果你使用 .spec.volumes[].secret.items 显式列出键,请考虑以下事项
- 只有在
items中指定的键才会被投影。 - 要使用 Secret 中的所有键,必须在
items字段中列出所有键。 - 所有列出的键必须存在于对应的 Secret 中。否则,Volume 将不会被创建。
为 Secret 键设置 POSIX 权限
你可以为单个 Secret 键设置 POSIX 文件访问权限位。如果你不指定任何权限,默认使用 0644。你还可以为整个 Secret Volume 设置一个默认的 POSIX 文件模式,并在需要时按键覆盖它。
例如,你可以像这样指定一个默认模式
apiVersion: v1
kind: Pod
metadata:
name: mypod
spec:
containers:
- name: mypod
image: redis
volumeMounts:
- name: foo
mountPath: "/etc/foo"
volumes:
- name: foo
secret:
secretName: mysecret
defaultMode: 0400
Secret 被挂载在 /etc/foo 上;Secret Volume 挂载创建的所有文件都具有权限 0400。
注意
如果你正在使用 JSON 定义 Pod 或 Pod 模板,请注意 JSON 规范不支持八进制数字文字,因为 JSON 将0400 视为*十进制*值 400。在 JSON 中,请对 defaultMode 使用十进制值。如果你正在编写 YAML,则可以使用八进制表示 defaultMode。使用 Secret 数据定义容器环境变量
你可以将 Secret 中的数据作为环境变量在容器中使用。
如果容器已将 Secret 作为环境变量使用,那么除非容器重启,否则不会看到 Secret 的更新。有一些第三方解决方案可以在 Secret 变更时触发重启。
使用单个 Secret 中的数据定义容器环境变量
将 Secret 中的键值对定义为环境变量
kubectl create secret generic backend-user --from-literal=backend-username='backend-admin'将 Secret 中定义的
backend-username值赋给 Pod 规范中的SECRET_USERNAME环境变量。apiVersion: v1 kind: Pod metadata: name: env-single-secret spec: containers: - name: envars-test-container image: nginx env: - name: SECRET_USERNAME valueFrom: secretKeyRef: name: backend-user key: backend-username创建 Pod
kubectl create -f https://k8s.io/examples/pods/inject/pod-single-secret-env-variable.yaml在你的 Shell 中,显示
SECRET_USERNAME容器环境变量的内容。kubectl exec -i -t env-single-secret -- /bin/sh -c 'echo $SECRET_USERNAME'输出类似于
backend-admin
使用多个 Secret 中的数据定义容器环境变量
与上一个示例一样,首先创建 Secret。
kubectl create secret generic backend-user --from-literal=backend-username='backend-admin' kubectl create secret generic db-user --from-literal=db-username='db-admin'在 Pod 规范中定义环境变量。
apiVersion: v1 kind: Pod metadata: name: envvars-multiple-secrets spec: containers: - name: envars-test-container image: nginx env: - name: BACKEND_USERNAME valueFrom: secretKeyRef: name: backend-user key: backend-username - name: DB_USERNAME valueFrom: secretKeyRef: name: db-user key: db-username创建 Pod
kubectl create -f https://k8s.io/examples/pods/inject/pod-multiple-secret-env-variable.yaml在你的 Shell 中,显示容器环境变量。
kubectl exec -i -t envvars-multiple-secrets -- /bin/sh -c 'env | grep _USERNAME'输出类似于
DB_USERNAME=db-admin BACKEND_USERNAME=backend-admin
将 Secret 中的所有键值对配置为容器环境变量
注意
此功能在 Kubernetes v1.6 及更高版本中可用。创建一个包含多个键值对的 Secret
kubectl create secret generic test-secret --from-literal=username='my-app' --from-literal=password='39528$vdg7Jb'使用 envFrom 将 Secret 的所有数据定义为容器环境变量。Secret 中的键成为 Pod 中的环境变量名。
apiVersion: v1 kind: Pod metadata: name: envfrom-secret spec: containers: - name: envars-test-container image: nginx envFrom: - secretRef: name: test-secret创建 Pod
kubectl create -f https://k8s.io/examples/pods/inject/pod-secret-envFrom.yaml在你的 Shell 中,显示
username和password容器环境变量。kubectl exec -i -t envfrom-secret -- /bin/sh -c 'echo "username: $username\npassword: $password\n"'输出类似于
username: my-app password: 39528$vdg7Jb
示例:使用 Secret 为 Pod 提供生产/测试环境凭证
此示例演示了一个 Pod 使用包含生产环境凭证的 Secret,另一个 Pod 使用包含测试环境凭证的 Secret。
创建用于生产环境凭证的 Secret
kubectl create secret generic prod-db-secret --from-literal=username=produser --from-literal=password=Y4nys7f11输出类似于
secret "prod-db-secret" created创建用于测试环境凭证的 Secret。
kubectl create secret generic test-db-secret --from-literal=username=testuser --from-literal=password=iluvtests输出类似于
secret "test-db-secret" created注意
你的 Shell 将解释特殊字符,例如
$、\、*、=和!,需要进行转义。在大多数 Shell 中,转义密码最简单的方法是用单引号(
')将其括起来。例如,如果你的实际密码是S!B\*d$zDsb=,你应该按如下方式执行命令kubectl create secret generic dev-db-secret --from-literal=username=devuser --from-literal=password='S!B\*d$zDsb='对于来自文件的密码(
--from-file),你不需要转义特殊字符。创建 Pod 清单
cat <<EOF > pod.yaml apiVersion: v1 kind: List items: - kind: Pod apiVersion: v1 metadata: name: prod-db-client-pod labels: name: prod-db-client spec: volumes: - name: secret-volume secret: secretName: prod-db-secret containers: - name: db-client-container image: myClientImage volumeMounts: - name: secret-volume readOnly: true mountPath: "/etc/secret-volume" - kind: Pod apiVersion: v1 metadata: name: test-db-client-pod labels: name: test-db-client spec: volumes: - name: secret-volume secret: secretName: test-db-secret containers: - name: db-client-container image: myClientImage volumeMounts: - name: secret-volume readOnly: true mountPath: "/etc/secret-volume" EOF注意
这两个 Pod 的规范仅在一个字段上不同;这有助于从通用的 Pod 模板创建具有不同能力的 Pod。通过运行以下命令,在 API 服务器上应用所有这些对象
kubectl create -f pod.yaml
两个容器的文件系统上都将存在以下文件,其中包含每个容器环境的值
/etc/secret-volume/username
/etc/secret-volume/password
你可以通过使用两个服务账号进一步简化基本的 Pod 规范
prod-user使用prod-db-secrettest-user使用test-db-secret
Pod 规范缩短为
apiVersion: v1
kind: Pod
metadata:
name: prod-db-client-pod
labels:
name: prod-db-client
spec:
serviceAccount: prod-db-client
containers:
- name: db-client-container
image: myClientImage