18、Secret

IT兄弟团 2020-08-01

Secret 存在意义

Secret 解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Spec中。Secret 可以以 Volume 或者环境变量的方式使用。

Secret 有三种类型:
  • Service Account:用来访问 Kubernetes API,由 Kubernetes 自动创建,并且会自动挂载到 Pod 的/run/secrets/kubernetes.io/serviceaccount目录中
  • Opaque:base64编码格式的Secret,用来存储密码、密钥等
  • kubernetes.io/dockerconfigjson:用来存储私有 docker registry 的认证信息

Service Account

Service Account 用来访问 Kubernetes API,由 Kubernetes 自动创建,并且会自动挂载到 Pod的/run/secrets/kubernetes.io/serviceaccount目录中

$ kubectl run nginx --image hub.hlc.com/library/myapp:v1
pod/nginx created
$ kubectl get pods
NAME        READY   STATUS    RESTARTS   AGE
testnuinx   1/1     Running   0          105s
$ kubectl exec nginx -- ls /run/secrets/kubernetes.io/serviceaccount
ca.crt
namespace
token

Opaque Secret

I、创建说明

Opaque 类型的数据是一个 map 类型,要求 value 是 base64 编码格式:

$ echo-n"admin" | base64
YWRtaW4=
$ echo-n"1f2d1e2e67df" | base64
MWYyZDFlMmU2N2Rm

secrets.yml

apiVersion: v1
kind: Secret
metadata:
  name: mysecret
data:
  password: MWYyZDFlMmU2N2Rm
  username: YWRtaW4=

II、使用方式

1、将 Secret 挂载到 Volume 中

apiVersion: v1
kind: Pod
metadata:
  labels:
    name: seret-test
  name: seret-test
spec:
  volumes:
  - name: secrets
    secret:
      secretName: mysecret
  containers:
  - image: hub.hlc.com/library/myapp:v1
    name: db
    volumeMounts:
    - name: secrets
      mountPath: "readOnly: true"
      readOnly: true

II、使用方式1、将 Secret 挂载到 Volume 中2、将 Secret 导出到环境变量中

apiVersion: apps/v1
kind: Deployment
metadata:
  name: pod-deployment
spec:
  replicas: 2
  selector:
    matchLabels:
      app: pod-deployment
  template:
    metadata:
      labels:
        app: pod-deployment
    spec:
      containers:
      - name: pod-1
        image: hub.hlc.com/library/myapp:v1
        ports:
        - containerPort: 80
        env:
        - name: TEST_USER
          valueFrom:
            secretKeyRef:
              name: mysecret
              key: username
        - name: TEST_PASSWORD
          valueFrom:
            secretKeyRef:
              name: mysecret
              key: password
$ kubectl exec pod-deployment-5877f7ddf8-rhs5j -it -- bash

$ echo $TEST_USER
admin

$ echo $TEST_PASSWORD
1f2d1e2e67df

kubernetes.io/dockerconfigjson

使用 Kuberctl 创建 docker registry 认证的 secret

$ kubectl create secret docker-registry myregistrykey --docker-server=DOCKER_REGISTRY_SERVER --docker-username=DOCKER_USER --docker-password=DOCKER_PASSWORD --docker-email=DOCKER_EMAIL
secret "myregistrykey" created.

在创建 Pod 的时候,通过imagePullSecrets来引用刚创建的 myregistrykey

apiVersion: v1
kind: Pod
metadata:
  name: foo
spec:
  containers:
    - name: foo
      image: roc/awangyang:v1
  imagePullSecrets:
     - name: myregistrykey
IT兄弟团

IT兄弟团

相关推荐

6张图带你学懂 Kubernetes Ingress

Kubernetes Ingress 只是 Kubernetes 中的一个普通资源对象,需要一个对应的 Ingress 控制器来解析 Ingress 的规则,暴露服务到外部,比如 ingress-nginx,本质上来说它只是一个 Nginx Pod,然后将

朱培知浅ZLH / 0评论 2020-11-16

推荐4款超好用本地Kubernetes部署工具

我们本地开发者,真的需要一个 Kuberntees 吗?这个是必要的吗?我认为这个答案是非必要,并不是所有的本地开发者都需要有一个独立的 Kubernetes 集群来使用,但是如果有符合下列需求之一,就会需要创建一个本地的 Kubernetes 集群:。而

cdbdqn00 / 0评论 2020-11-12

值得推荐的13个 Jenkins 替代方案

Jenkins 是目前最常用的持续集成工具,拥有近 50% 的市场份额,它还是很多技术团队的第一个使用的自动化工具。但是随着自动化领域的持续发展,Jenkins 逐渐暴露出了一些问题,例如缺乏功能、维护问题、依赖关系和扩展问题等等。本文将为大家介绍几个持续

达观数据 / 0评论 2020-11-11

2020年非常值得推荐的7种 Kubernetes 日志管理工具

你可能会奇怪,为什么要为 Kubernetes 的日志管理工具而烦恼?Kubernetes 是容器编排市场的主导者,经常被用来托管微服务。微服务的每个实例都会生成大量的日志事件,并且这些事件很快就会变得难以管理。大多数 Kubernetes 日志管理工具都

JustinChia / 0评论 2020-11-11

两款超好用的Kubernetes实时日志查看工具

通常情况下,Kubernetes 环境下的应用日志都需要通过日志系统来进行收集,比如:Filebeat + ElasticSearch + Kibana 的组合来实现。虽然这一组合的功能相当强大,但是在一些比较简陋的测试集群中,或者不具备浏览器条件的自动化

远远的山 / 12评论 2020-11-09

本地环境运行Kubernetes的4种开源工具

Kubernetes作为最重要的开源容器编排平台,用于自动化部署,扩展和管理容器化应用程序。无论遇到什么情况,建议将本地Kubernetes设置为开发环境,因为这种设置可以创建安全,灵活的应用程序部署过程。Minikube是本地Kubernetes应用程序

jingtao / 15评论 2020-11-08

五款值得关注的Kubernetes日志监控工具

Kubernetes在容器编排市场中占主导地位,推动企业向微服务演进。微服务的每个实例都会生成大量日志事件,这些事件很快就变得难以管理。但更复杂的是当出现问题时,由于服务之间复杂的交互作用,以及可能的故障模式,导致很难找到根本原因。潜在的问题使得Kuber

大叔比较胖 / 10评论 2020-10-30

机器学习任务编排工具比较

最近,出现了用于编排任务和数据工作流的新工具。这些工具的数量众多,因此很难选择要使用的工具,也难以理解它们的重叠方式,因此我们决定对一些最受欢迎的工具进行比较。> Airflow is the most popular solution, follo

gracecxj / 12评论 2020-10-30

使用Ansible的Kubernetes模块实现容器编排自动化

将 Kubernetes 与 Ansible 结合实现云端自动化。此外,还可以参照我们的 Ansible 的 k8s 模块速查表。Ansible是实现自动化工作的优秀工具,而Kubernetes则是容器编排方面的利器,要是把两者结合起来,会有怎样的效果呢?

onepiecedn / 0评论 2020-10-29

面试问到了K8S原理,花5分钟来总结下,以后再也不怕了

K8S现在是一项必会的技能,它为软件工程师提供了强大的容器编排能力,模糊了开发和运维之间的边界,让我们开发、管理和维护一个大型的分布式系统和项目变得更加容易,并且每次面试多多少少都会问到,笔者也是被问到了很多次。本文就准备用最短的篇幅来介绍下K8S的工作过

kunyus / 11评论 2020-10-28

如何降低开发人员的生产力?

关于开发人员是如何因构造其日常工作而导致生产力下降的文章很多。常见的一个例子是:在一天中安排了很多非必要的会议,因此没人能进入深度聚焦模式。今天,我想研究开发人员生产力方面的最大杀手:配置和设置DevOps工作流程的方式。在几乎所有情况下,我都遇到了一些捷

JustHaveTry / 0评论 2020-10-27

Windows环境下,如何在Docker里运行SAP UI5应用

本文面向的读者是对Docker技术有一些基本概念,但因为没有测试环境,所以没有动手操作过的朋友们。最近Jerry因为要做一个新的SAP云产品开发,得搭各种开发环境,其中之一就是Docker.当时给出的例子是,在Ubuntu操作系统下用Docker和Kube

锋锋 / 9评论 2020-10-26

解放开发者!3款工具实现快速K8S开发

时至今日,Kubernetes正在变得越来越重要,不仅仅是运维需要Kubernetes,在开发的世界里Kubernetes也不可或缺。因此能够熟练掌握Kubernetes知识会备受追捧。然而问题是,开发人员是否需要直接上手操作Kubernetes,他们是否

hubanbei00的家园 / 0评论 2020-10-25

什么是CaaS?简化容器管理

随着现代容器化应用陆续被各大企业发现并认可,主要供应商开始提供容器基础设施和管理 "即服务 "只是时间问题。根据Flexera最新的2020年云计算状态报告,容器的使用在全球企业中稳中有升,65%的组织表示他们使用Docker容器,58

谢恩铭 / 10评论 2020-10-23

Linux基金会开源软件大学技术公开课丨K8s必备技能攻略

随着云开发向容器方面转移,Kubernetes等与容器相关的技术已成为当下技术人员的必备技能。数字时代,许多企业及其所服务的客户正在探寻更灵活、更快交付,且在私有云、混合云,甚至多云环境下都能快速部署或运行的软件及系统。此外,应用Kubernetes还能带

btqszl / 10评论 2020-10-21

Kubernetes上对应用程序进行故障排除的6个技巧

从 Docker 迁移到 Docker Swarm,再到 Kubernetes,然后处理了多年来的所有各种 API 更改之后,我非常乐意发现部署中出现的问题和把问题进行修复。我今天分享下我认为最有用的5条故障排除技巧,以及一些其他的使用技巧。这个命令如此重

kaidiphp / 10评论 2020-10-13

避免云锁定有哪几招?

我们Render正在构建一个跨多个公共云启动的新云平台,计划增加本地工作负载,这对于我们避免将自己被某一家提供商锁定至关重要。本文讨论了我们做出的一些关键技术决策,以避免自己被某一家云提供商锁定,并为混合云未来做好准备。大受欢迎的选择包括AWS Clou

guchengxinfen / 0评论 2020-10-12

企业扩大容器和Kubernetes应用的5大现实问题

虽然容器已经诞生了10多年,但在过去几年中,容器的普及和采用率仍然不断增长。根据Gartner的调查,到2025年全球超过85%的企业将在生产中运行容器化应用,这比2019年的不到35%有了大幅增长。为了从容器和Kubernetes技术中受益,并做出更明智

liverlife / 11评论 2020-10-10

如何设置一个正经的Kubernetes终端

Kubernetes预先包装了出色的CLI。对于基本操作,它的运行非常出色。las,当需要快速执行某项操作时,复杂性就会增加。Kubernetes社区已经构建了各种基于Web的工具来监视您的集群-kube ops视图,grafana等。但是,拥有完整的终

BigDataMining / 0评论 2020-10-08

首次部署 Kubernetes 应用,总会忽略这些事

根据我的个人经验,大多数人似乎倾向于通过 Helm 或者手动方式将应用程序甩给 Kubernetes,之后就坐等每天轻松调用的美好生活。但在 GumGum 公司的实践当中,我们体会到 Kubernetes 应用的一系列“陷阱”,也希望把这些陷阱与大家分享,

JustHaveTry / 0评论 2020-09-29

云原生如何助力微服务?

随着技术的发展,我们云托管时代逐步的向云原生演进了。所谓云原生,就是将微服务、DevOps的架构理念与云所提供的容器、Serverless无服务器更好的结合,提升资源的使用效率,提高研发运维效率。那么在云原生时代,微服务应该如何与云原生相辅相成呢?但是当一

kunyus / 0评论 2020-09-25

Kubernetes的五种安全实践

Kubernetes还不到6岁,但它已经是每个人最喜欢的容器编排程序了。云和基础设施监测公司Datadog发现Kubernetes主导着容器市场:“大约45%的运行容器的Datadog客户使用Kubernetes。”其他容器编排程序,如Marathon和D

JackXuF / 0评论 2020-09-25

Kubernetes 3年生产中我们所学到的东西

本文转载自微信公众号「新钛云服」,作者祝祥 。我们于2017年开始构建第一个基于1.9.4版本的Kubernetes集群。至今,我们已经有两个集群,一个集群在裸机RHEL VM上运行,另一个集群在公有云AWS EC2上运行。今天,我们的Kubernete

ioniconline / 0评论 2020-09-22

容器云平台No.2~kubeadm创建高可用集群v1.19.1

通过kubernetes构建容器云平台第二篇,最近刚好官方发布了V1.19.0,本文就以最新版来介绍通过kubeadm安装高可用的kubernetes集群。市面上安装k8s的工具很多,但是用于学习的话,还是建议一步步安装,了解整个集群内部运行的组件,以便后

xingyuzhe / 0评论 2020-09-21

Kubernetes如何为应用程序提供网络和存储?

网络组件支持pod到pod、节点到pod、pod到服务以及外部客户端到服务的通信。Kubernetes遵循用于实现网络服务的插件模式。Kubenet是默认的网络插件,配置简单。它通常与为节点之间或单节点环境中的通信设置路由规则的云提供商一起使用。Kuber

cloudvtech / 0评论 2020-09-18

云原生安全模型与实践

在消息传递和协作环境中,纵深防御体系可以确保恶意攻击活动被阻止在基础结构内的多个检查点,降低了威胁进入内部网络的可能性。以某IDaaS系统为例,我们把一个云原生系统安全模型分为 4 个层面,由外至内分别是:云/数据中心/网络层、集群层、容器层、代码层,如下

cynthiachf / 0评论 2020-09-18

(转)Kubernetes总架构图

Kubecfg将特定的请求,比如创建Pod,发送给Kubernetes Client。API Server根据请求的类型,比如创建Pod时storage类型是pods,然后依此选择何种REST Storage API对请求作出处理。REST Storage

xieyixiao / 0评论 2020-09-17

如何为物联网构建数据流、人工智能和机器学习平台

当今的IoT用例越来越依赖于对大量设备生成的数据进行分析或实时更新机器学习算法。如果没有实时获取、处理和采取行动,以监控患者、自动驾驶汽车或预测性维护应用的数据,则患者会遭受伤害,车辆坠毁或系统出现故障。企业可以使用基于开放源代码软件堆栈构建的流平台和数据

leehbing / 0评论 2020-09-15

如何利用开放策略代理保护Kubernetes

随着越来越多的组织将容器化应用程序转移到生产环境中,Kubernetes已经成为在私有云、公共云和混合云环境中管理这些应用程序的有效方法。事实上,根据云原生计算基金会的调查,至少84%的组织已经在业务中使用容器,78%的组织利用Kubernetes来部署容

朱培知浅ZLH / 0评论 2020-09-15

Kubernetes探针踩坑记

本文转载自微信公众号「Dotnet Plus」,可以通过以下二维码关注。最近一两个月生产K8s集群频繁出现短时503 Service Temporarily Unavailable,还不能主动复现,相当郁闷,压力山大。HTTP 5xx响应状态码用于定义服务

技术积累LZ / 0评论 2020-09-15

在生产环境使用Kubernetes三年后我学到的东西

我们于2017年开始构建第一个Kubernetes集群1.9.4版本。我们有两个集群,一个集群在裸机RHEL VM上运行,另一个集群在AWS EC2上运行。今天,我们的Kubernetes基础架构团队由分布在多个数据中心的400多个虚拟机组成。该平台托管高

kunyus / 0评论 2020-09-14

Kubernetes部署的10种反模式

随着容器采用率和使用率的不断提高,Kubernetes已成为容器编排的领先平台。这是一个开源项目,拥有来自315多家公司的数万名贡献者,旨在保持可扩展性和不可知论性,并且它是每个主要云提供商的基础。并且有许多工具与Kubernetes集成在一起,可以满足您

朱培知浅ZLH / 0评论 2020-09-14

从架构到部署,全面了解K3s

Kubernetes无处不在——开发者的笔记本、树莓派、云、数据中心、混合云甚至多云上都有Kubernetes。它已然成为现代基础设施的基础,抽象了底层的计算、存储和网络服务。Kubernetes隐藏了各种基础设施环境之间的差异,它将多云变成了现实。尽管K

godwot / 0评论 2020-09-11

采用GitOps的11大原因

Kubernetes允许我们单纯地使用声明性的配置文件来管理我们的应用部署和其他基础设施组件。这使我们能够把所有这些文件放到Git仓库中,然后把它挂到流水线上,流水线会把这些变化应用到集群上,然后就有了GitOps。为了使工作正常进行,我们必须确保改变集群

JustHaveTry / 0评论 2020-09-11

Kubernetes 存活、就绪探针

在设计关键任务、高可用应用程序时,弹性是要考虑的最重要因素之一。当应用程序可以快速从故障中恢复时,它便具有弹性。云原生应用程序通常设计为使用微服务架构,其中每个组件都位于容器中。为了确保Kubernetes托管的应用程序高可用,在设计集群时需要遵循一些特定

dingtianhao / 0评论 2020-09-10

如何管理Kubernetes集群的容量与资源

显然,通过kubectl get,我们发现有数十个evicted pod,而实际上可能只想运行5个pod。此时,您可能非常希望通过对Kubernetes集群资源的管理,来自动实现对于容量和资源的分配。如上图所示,假设我们手头有一个带有16个虚拟CPU和6

ioniconline / 0评论 2020-09-09

部署Prometheus监控平台,应该考虑6个因素,缺一不可

企业在采用容器的同时,也将容器的监控问题放在了比较优先的位置上,不少企业使用普罗米修斯监控容器和微服务,对于规模企业通常会更加激进,所以当他们规模部署时将面临扩展的挑战。现在由于容器以及向微服务架构的迁移,要跟踪的实体数量激增。Prometheus已成为开

JackXuF / 0评论 2020-09-06

C++的替补选手:微软是如何应用Rust的?

微软拥有世界上最大的C/C++代码库之一。从Windows、Office到Azure云,微软的所有核心产品都在该代码库上运行。但因为C++不是内存安全的语言,代码库中自然频频出现内存漏洞,大量的时间被耗费在修补漏洞上。微软自去年开始寻找用以替代的编程语言来

tkernel / 0评论 2020-09-03

管理Kubernetes资源:5件要注意的事情

本文转载自微信公众号「新钛云服」,作者黄豪杰 翻译。Kubernetes自动化了许多大规模管理容器的工作。但是容器化的应用程序通常共享池化的资源,因此您需要正确地分配和管理它们。想想Kubernetes 在项目官方网站上自我描述的强大功能:“Kuberne

zccheu / 0评论 2020-09-01

Kubernetns LB方案:无需云厂商的动态DNS和负载均衡

本文转载自微信公众号「新钛云服」,作者祝祥 翻译 。我们经常谈论托管Kubernetes或在云中运行的Kubernetes,但我们也在非云的环境上运行Kubernetes。您可能还会听到很多有关云供应商集成的经典案例:您可以获取无密码凭据来访问托管服务,无

YzhilongY / 0评论 2020-08-31

如何部署一个Kubernetes集群

在本篇文章中我将以在Mac笔记本中安装两台Ubantu系统的方式,演示如何部署一套具备一个控制节点和一个计算节点的Kubernetes学习集群。要求64位Linux操作系统,且内核版本要求3.10及以上,能满足安装Docker项目所需的要求;机器之间要保持

gracecxj / 0评论 2020-08-25

第7章:Kubernetes存储

创建一个空卷,挂载到Pod中的容器。Pod删除该卷也会被删除。什么样的适合在pod中运行多个容器?command: ["bash","-c","for i in {1..100};do echo $i &g

BigDataMining / 0评论 2020-08-21

10 分钟部署一个 Kubernetes 集群

一台或多台机器,操作系统 CentOS7.x-86_x64;硬件配置:2GB或更多RAM,2个CPU或更多CPU,硬盘30GB或更多;集群中所有机器之间网络互通;可以访问外网,需要拉取镜像;禁止swap分区。Kubernetes默认CRI为Docker,因

liusaisoso / 0评论 2020-08-19

Kubernetes(一)概念介绍

Kubernetes这个名字起源于希腊语,意思是舵手,由于k到s之间有8个字符又简称k8s。Google在2014年开源了Kubernetes项目,基于容器技术的分布式管理系统,在Docker技术的基础上,为容器化的应用提供部署运行、资源调度、服务发现和动

shurenyun / 0评论 2020-08-19

kubernetes集群部署

kubeadm:用来初始化集群kubelet:运行在集群中的所有节点上,负责启动 pod 和 容器。kubectl:这个是 Kubernetes 命令行工具。通过 kubectl 可以部署和管理应用,查看各种资源,创建、删除和更新各种组件。注意:–pod-

limx / 0评论 2020-08-19

kubernetes环境搭建

yum install -y net-tools epel-release vim yum-utils device-mapper-persistent-data lvm2

知行合一止于至善 / 0评论 2020-08-19

kubernetes网络/网络策略

★使用nslookup时,使用如下镜像。通过nslookup查询service的IP:kubectl exec -it busybox -- nslookup my-svc. ★分为Ingress和Egress策略控制,都为白名单。Ingress为入口请求

知行合一止于至善 / 0评论 2020-08-18

kubernetes(十五) kubernetes 运维

cicd方案:gitlab,build, harbor, jenkins-master-slave,helm发布到k8s集群。$ mkdir ~/binary_pkg && cd binary_pkg #提供所需的软件包。$ cd

CurrentJ / 0评论 2020-08-18

Kubernetes Operators和Helm图表,互补还是竞争?

Kubernetes Operators和Helm图表是互补而非竞争的技术。在Kubernetes中,Helm图表和Kubernetes Operators都是让任务自动化的便捷工具,这些任务原本需要大量的人工工作。虽然它们都是为自动化而生,但它们并不是

BigDataMining / 0评论 2020-08-16

可视化监控大型集群,这一个工具就够了!

许多企业使用Kubernetes来快速发布新功能并提高服务的可靠性。Rancher使团队能够减少管理其云原生工作负载的操作成本——但获得这些环境的持续可见性可能是一个挑战。在这篇文章中,我们将探讨如何利用Rancher内置支持的Prometheus和Gra

MrFuWen / 0评论 2020-08-15