使用秘密安全地分发凭据
本页展示了如何将敏感数据(如密码和加密密钥)安全地注入 Pod 中。
开始之前
您需要拥有一个 Kubernetes 集群,并且 kubectl 命令行工具必须配置为与您的集群通信。建议您在一个至少有两个节点的集群上运行本教程,这些节点不充当控制平面主机。如果您还没有集群,可以使用 minikube 创建一个,或者可以使用以下 Kubernetes playground 之一
将您的秘密数据转换为 Base64 表示形式
假设您想要有两部分秘密数据:用户名 my-app 和密码 39528$vdg7Jb。首先,使用 Base64 编码工具将您的用户名和密码转换为 Base64 表示形式。以下示例使用常用的 Base64 程序
echo -n 'my-app' | base64
echo -n '39528$vdg7Jb' | base64
输出显示您的用户名的 Base64 表示形式为 bXktYXBw,密码的 Base64 表示形式为 Mzk1MjgkdmRnN0pi。
警告
使用您的操作系统信任的本地工具来降低外部工具的安全风险。创建 Secret
以下是一个配置文件,您可以使用它来创建包含您的用户名和密码的 Secret
apiVersion: v1
kind: Secret
metadata:
name: test-secret
data:
username: bXktYXBw
password: Mzk1MjgkdmRnN0pi
创建 Secret
kubectl apply -f https://k8s.io/examples/pods/inject/secret.yaml查看有关 Secret 的信息
kubectl get secret test-secret输出
NAME TYPE DATA AGE test-secret Opaque 2 1m查看有关 Secret 的更多详细信息
kubectl describe secret test-secret输出
Name: test-secret Namespace: default Labels: <none> Annotations: <none> Type: Opaque Data ==== password: 13 bytes username: 7 bytes
使用 kubectl 直接创建 Secret
如果您想要跳过 Base64 编码步骤,可以使用 kubectl create secret 命令创建相同的 Secret。例如
kubectl create secret generic test-secret --from-literal='username=my-app' --from-literal='password=39528$vdg7Jb'
这更方便。之前显示的详细方法明确地运行了每个步骤,以演示正在发生的事情。
创建一个 Pod,该 Pod 通过卷访问秘密数据
以下是一个配置文件,您可以使用它来创建一个 Pod
apiVersion: v1
kind: Pod
metadata:
name: secret-test-pod
spec:
containers:
- name: test-container
image: nginx
volumeMounts:
# name must match the volume name below
- name: secret-volume
mountPath: /etc/secret-volume
readOnly: true
# The secret data is exposed to Containers in the Pod through a Volume.
volumes:
- name: secret-volume
secret:
secretName: test-secret
创建 Pod
kubectl apply -f https://k8s.io/examples/pods/inject/secret-pod.yaml验证您的 Pod 是否正在运行
kubectl get pod secret-test-pod输出
NAME READY STATUS RESTARTS AGE secret-test-pod 1/1 Running 0 42m获取运行在您的 Pod 中的容器的 shell
kubectl exec -i -t secret-test-pod -- /bin/bash秘密数据通过安装在
/etc/secret-volume下的卷暴露给容器。在您的 shell 中,列出
/etc/secret-volume目录中的文件# Run this in the shell inside the container ls /etc/secret-volume输出显示两个文件,每个文件对应一个秘密数据。
password username在您的 shell 中,显示
username和password文件的内容# Run this in the shell inside the container echo "$( cat /etc/secret-volume/username )" echo "$( cat /etc/secret-volume/password )"输出是您的用户名和密码
my-app 39528$vdg7Jb
修改您的镜像或命令行,以便程序在 mountPath 目录中查找文件。Secret data 映射中的每个键都成为此目录中的一个文件名。
将 Secret 密钥投影到特定文件路径
您还可以控制在卷中将 Secret 密钥投影到的路径。使用 .spec.volumes[].secret.items 字段更改每个密钥的目标路径
apiVersion: v1
kind: Pod
metadata:
name: mypod
spec:
containers:
- name: mypod
image: redis
volumeMounts:
- name: foo
mountPath: "/etc/foo"
readOnly: true
volumes:
- name: foo
secret:
secretName: mysecret
items:
- key: username
path: my-group/my-username
部署此 Pod 时,会发生以下情况
- 来自
mysecret的username密钥在/etc/foo/my-group/my-username路径下而不是在/etc/foo/username路径下可用于容器。 - 该 Secret 对象中的
password密钥不会投影。
如果您使用 .spec.volumes[].secret.items 明确列出密钥,请考虑以下事项
- 只投影
items中指定的密钥。 - 要使用 Secret 中的所有密钥,必须在
items字段中列出所有密钥。 - 所有列出的密钥都必须存在于相应的 Secret 中。否则,卷将不会创建。
为 Secret 密钥设置 POSIX 权限
您可以为单个 Secret 密钥设置 POSIX 文件访问权限位。如果您没有指定任何权限,默认情况下会使用 0644。您还可以为整个 Secret 卷设置默认的 POSIX 文件模式,并在需要时覆盖每个密钥。
例如,您可以像这样指定默认模式
apiVersion: v1
kind: Pod
metadata:
name: mypod
spec:
containers:
- name: mypod
image: redis
volumeMounts:
- name: foo
mountPath: "/etc/foo"
volumes:
- name: foo
secret:
secretName: mysecret
defaultMode: 0400
Secret 安装在 /etc/foo 上;由 Secret 卷安装创建的所有文件都具有 0400 权限。
注意
如果您使用 JSON 定义 Pod 或 Pod 模板,请注意 JSON 规范不支持数字的八进制文字,因为 JSON 将0400 视为十进制值 400。在 JSON 中,请使用十进制值代替 defaultMode。如果您正在编写 YAML,则可以使用八进制形式编写 defaultMode。使用 Secret 数据定义容器环境变量
您可以在容器中将 Secret 中的数据用作环境变量。
如果容器已经在环境变量中使用了一个 Secret,那么除非容器重新启动,否则 Secret 更新不会被容器看到。存在用于在秘密更改时触发重启的第三方解决方案。
使用来自单个 Secret 的数据定义容器环境变量
在 Secret 中将环境变量定义为键值对
kubectl create secret generic backend-user --from-literal=backend-username='backend-admin'将 Secret 中定义的
backend-username值分配给 Pod 规范中的SECRET_USERNAME环境变量。apiVersion: v1 kind: Pod metadata: name: env-single-secret spec: containers: - name: envars-test-container image: nginx env: - name: SECRET_USERNAME valueFrom: secretKeyRef: name: backend-user key: backend-username创建 Pod
kubectl create -f https://k8s.io/examples/pods/inject/pod-single-secret-env-variable.yaml在您的 shell 中,显示
SECRET_USERNAME容器环境变量的内容。kubectl exec -i -t env-single-secret -- /bin/sh -c 'echo $SECRET_USERNAME'输出类似于
backend-admin
使用来自多个 Secret 的数据定义容器环境变量
与前面的示例一样,首先创建 Secret。
kubectl create secret generic backend-user --from-literal=backend-username='backend-admin' kubectl create secret generic db-user --from-literal=db-username='db-admin'在 Pod 规范中定义环境变量。
apiVersion: v1 kind: Pod metadata: name: envvars-multiple-secrets spec: containers: - name: envars-test-container image: nginx env: - name: BACKEND_USERNAME valueFrom: secretKeyRef: name: backend-user key: backend-username - name: DB_USERNAME valueFrom: secretKeyRef: name: db-user key: db-username创建 Pod
kubectl create -f https://k8s.io/examples/pods/inject/pod-multiple-secret-env-variable.yaml在您的 shell 中,显示容器环境变量。
kubectl exec -i -t envvars-multiple-secrets -- /bin/sh -c 'env | grep _USERNAME'输出类似于
DB_USERNAME=db-admin BACKEND_USERNAME=backend-admin
将 Secret 中的所有键值对配置为容器环境变量
注意
此功能在 Kubernetes v1.6 及更高版本中可用。创建一个包含多个键值对的 Secret
kubectl create secret generic test-secret --from-literal=username='my-app' --from-literal=password='39528$vdg7Jb'使用 envFrom 将 Secret 的所有数据定义为容器环境变量。Secret 中的键将成为 Pod 中的环境变量名称。
apiVersion: v1 kind: Pod metadata: name: envfrom-secret spec: containers: - name: envars-test-container image: nginx envFrom: - secretRef: name: test-secret创建 Pod
kubectl create -f https://k8s.io/examples/pods/inject/pod-secret-envFrom.yaml在您的 shell 中,显示
username和password容器环境变量。kubectl exec -i -t envfrom-secret -- /bin/sh -c 'echo "username: $username\npassword: $password\n"'输出类似于
username: my-app password: 39528$vdg7Jb
示例:使用 Secret 向 Pod 提供生产/测试凭据
此示例说明了一个使用包含生产凭据的秘密的 Pod 和另一个使用包含测试环境凭据的秘密的 Pod。
为生产环境凭据创建一个秘密
kubectl create secret generic prod-db-secret --from-literal=username=produser --from-literal=password=Y4nys7f11输出类似于
secret "prod-db-secret" created为测试环境凭据创建一个秘密。
kubectl create secret generic test-db-secret --from-literal=username=testuser --from-literal=password=iluvtests输出类似于
secret "test-db-secret" created注意
$、\、*、=和!等特殊字符将由您的 shell 解释,因此需要转义。在大多数 shell 中,转义密码的最简单方法是将其用单引号 (
') 括起来。例如,如果您的实际密码为S!B\*d$zDsb=,您应该像这样执行命令kubectl create secret generic dev-db-secret --from-literal=username=devuser --from-literal=password='S!B\*d$zDsb='您不需要转义来自文件 (
--from-file) 的密码中的特殊字符。创建 Pod 清单
cat <<EOF > pod.yaml apiVersion: v1 kind: List items: - kind: Pod apiVersion: v1 metadata: name: prod-db-client-pod labels: name: prod-db-client spec: volumes: - name: secret-volume secret: secretName: prod-db-secret containers: - name: db-client-container image: myClientImage volumeMounts: - name: secret-volume readOnly: true mountPath: "/etc/secret-volume" - kind: Pod apiVersion: v1 metadata: name: test-db-client-pod labels: name: test-db-client spec: volumes: - name: secret-volume secret: secretName: test-db-secret containers: - name: db-client-container image: myClientImage volumeMounts: - name: secret-volume readOnly: true mountPath: "/etc/secret-volume" EOF注意
两个 Pod 的规范如何不同只在一个字段上;这有助于从公共 Pod 模板创建具有不同功能的 Pod。通过运行以下命令,将所有这些对象应用到 API 服务器上
kubectl create -f pod.yaml
两个容器都将在其文件系统上存在以下文件,其中包含每个容器环境的值
/etc/secret-volume/username
/etc/secret-volume/password
您可以通过使用两个服务帐户进一步简化基本 Pod 规范
prod-user具有prod-db-secrettest-user具有test-db-secret
Pod 规范缩短为
apiVersion: v1
kind: Pod
metadata:
name: prod-db-client-pod
labels:
name: prod-db-client
spec:
serviceAccount: prod-db-client
containers:
- name: db-client-container
image: myClientImage