2. 敏感信息Secret

## 一、secret概述

1. Secret对象存储数据以键值方式存储数据，在Pod资源中通过环境变量或存储卷进行数据访问。Secret对象仅会被分发至调用了此对象的Pod资源所在的工作节点，且只能由节点将其存储于内存中。Secret对象的数据的存储及打印格式为Base64编码的字符串，因此用户在创建Secret对象时也要提供此种编码格式的数据。
2. Secret对象主要有两种用途，一是作为存储卷注入到Pod上由容器应用程序所使用，二是用于kubelet为Pod里的容器拉取镜像时向私有仓库提供认证信息。使用ServiceAccount资源自建的Secret对象是一种更具安全性的方式。
3. Secret资源主要由四种类型组成
- Opaque：自定义数据内容；base64编码，用来存储密码、密钥、信息、证书等数据，类型标识符为generic。
- kubernetes.io/service-account-token:Service Account的认证信息，可在创建Service Accout时由Kubernetes自动创建。
- kubernetes.io/dockerconfigjson：用来存储Docker镜像仓库的认证信息，类型标识为docker-registry。
- kubernetes.io/tls：用于为SSL通信模式存储证书和私钥文件，命令式创建时类型标识为tls。

## 二、Opaque

### 通过命令创建资源
> 使用 `“kubectl createsecret generic <SECRET_NAME>--from-literal=key=value”` 命令直接进行创建

- 创建了一个名为mysql-auth的Secret对象，用户名为root，密码为123.com `# kubectl create secret generic mysql-auth --from-literal=username=root --from-literal=password=123.com` 
- 查看资源详细信息 ![未命名图片.png](/media/202406/8.2.15278153_image1.png)

### 通过文件创建资源
> 使用“ `kubectl create secret generic <SECRET_NAME> --from-file[=KEY1]=/PATH/TO/FILE` ”命令加载认证文件内容并生成为Secret对象

```bash
[root@k8s-master redis-ssl]# ls
ca.crt
[root@k8s-master redis-ssl]# kubectl create secret generic redis-ca --from-file=ca.crt=ca.crt
secret/redis-ca created
[root@k8s-master redis-ssl]# kubectl describe secrets redis-ca 
Name: redis-ca
Namespace: default
Labels: <none>
Annotations: <none>

Type:  Opaque

Data
====
ca.crt:  1895 bytes
```

### 使用Secret清单创建

- Opaque 类型的数据是一个 map 类型，要求 value 是 base64 编码格式

![未命名图片.png](/media/202406/8.2.15278153_image2.png)

- 创建资源清单文件

![未命名图片.png](/media/202406/8.2.15278153_image3.png)

- 或者将用户名和密码保存至文件中
```yaml
apiVersion: v1
kind: Secret
metadata:
  name: thanos-objectstorage
type: Opaque
stringData:
  key.yaml: |
    username: YWRtaW4=
    passowrd: MTIzLmNvbQ==
```

### 将secret挂载到volume中

- 创建pod资源清单

![未命名图片.png](/media/202406/8.2.15278153_image4.png)

- 查看pod信息

![未命名图片.png](/media/202406/8.2.15278153_image5.png)

### 将secret导入到环境变量中

- 创建pod资源清单

![未命名图片.png](/media/202406/8.2.15278153_image6.png)

- 查看pod信息

![未命名图片.png](/media/202406/8.2.15278153_image7.png)

## 三、Service Account

1. Service Account 用来访问 Kubernetes API，由 Kubernetes自动创建，并且会自动挂载到Pod的/run/secrets/kubernetes.io/serviceaccount目录中
2. 验证
- 创建nginx资源 `# kubectl run nginx --image nginx` 
- 查看资源信息

![未命名图片.png](/media/202406/8.2.15278153_image8.png)

## 四、docker config json

1. 使用 Kuberctl 创建 docker registry 认证的 secret `kubectl create secret docker-registry myregistrykey --docker-server=DOCKER_REGISTRY_SERVER --docker-username=DOCKER_USER --docker-password=DOCKER_PASSWORD --docker-email=DOCKER_EMAIL` 
2. 在创建 Pod 的时候，通过imagePullSecrets来引用刚创建的 `myregistrykey`

![未命名图片.png](/media/202406/8.2.15278153_image9.png)

## 五、TLS

1. 使用“kubectl create secret tls <SECRET_NAME> --cert=--key=”命令加载TLS文件内容并生成secret对象
- 将TLS密钥认证文件创建secret对象
```bash
[root@k8s-master redis-ssl]# ls
redis.crt redis.key
[root@k8s-master redis-ssl]# kubectl create secret tls redis-tls --key=redis.key --cert=redis.crt
secret/redis-tls created
[root@k8s-master redis-ssl]# kubectl describe secrets redis-tls 
Name: redis-tls
Namespace: default
Labels: <none>
Annotations: <none>

Type:  kubernetes.io/tls

Data
====
tls.crt:  1407 bytes
tls.key:  1679 bytes
```

- [1.Secret配置管理介绍](#1Secret_1)
- [2.创建Secret](#2Secret_47)
-  
   - [2.1 从文件中创建Secret](#21_Secret_48)
   - [2.2 编写一个 secret 对象](#22__secret__59)
- [3.将Secret挂载到Volume中](#3SecretVolume_84)
- [4.向指定路径映射 secret 密钥](#4_secret__129)
- [5.将Secret设置为环境变量](#5Secret_177)
- [6.存储docker registry的认证信息](#6docker_registry_230)

**Secret 对象类型用来保存敏感信息，例如密码、OAuth 令牌和 ssh key。 敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。**

**Pod 可以用两种方式使用 secret： • 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里。 • 当 kubelet 为 pod 拉取镜像时使用。**

**Secret的类型： • Service Account：Kubernetes 自动创建包含访问 API 凭据的 secret，并自动修改 pod 以使用此类型的 secret。**

**• Opaque：使用base64编码存储信息，可以通过base64 --decode解码获得原始数据， 因此安全性弱。**

**• kubernetes.io/dockerconfigjson：用于存储docker registry的认证信息。**

`kubectl describe pod -n ingress-nginx` **serviceaccout 创建时 Kubernetes 会默认创建对应的 secret。对应的 secret 会自动挂载到Pod 的 /run/secrets/kubernetes.io/serviceaccount 目录中** ![](/media/202406/8.2.15278153_image10.png)

![](/media/202406/8.2.15278153_image11.png) **在每一个namespace的sa都有一个默认的default用来使得pod连接apiserver 每个namespace下有一个名为default的默认的ServiceAccount对象 ServiceAccount里有一个名为Tokens的可以作为Volume一样被Mount到Pod里的Secret，当Pod启动时这个Secret会被自动Mount到Pod的指定目录下，用来协助完成Pod中的进程访问API Server时的身份鉴权过程。**

```bash
[kubeadm@server1 cm]$ kubectl get sa
NAME SECRETS AGE
default 1 9d
[kubeadm@server1 cm]$ kubectl get sa -n ingress-nginx 
NAME SECRETS AGE
default 1 11h
ingress-nginx 1 11h
ingress-nginx-admission 1 11h
[kubeadm@server1 ~]$ kubectl describe sa default 
Name: default
Namespace: default
Labels: <none>
Annotations: <none>
Image pull secrets: <none>
Mountable secrets: default-token-5qqxc
Tokens: default-token-5qqxc
Events: <none>
```

![](/media/202406/8.2.15278153_image12.png)

![](/media/202406/8.2.15278153_image13.png)

---

## 2.1 从文件中创建Secret

**`echo -n 'admin' > ./username.txt` `echo -n 'redhat' > ./password.txt` `kubectl create secret generic db-user-pass --from-file=./username.txt --fromfile=./password.txt` `kubectl get secrets` ##Opaque Secret 其value为base64编码后的值。 如果密码具有特殊字符，则需要使用 \ 字符对其进行转义，执行以下命令： `kubectl create secret generic dev-db-secret --from-literal=username=devuser --from-literal=password=S\!B\\*d\$zDsb`** ![](/media/202406/8.2.15278153_image14.png)

**默认情况下 kubectl get和kubectl describe 为了安全是不会显示密码的内容,可以 通过以下方式查看：** ![](/media/202406/8.2.15278153_image15.png)

---

## 2.2 编写一个 secret 对象

```bash
[kubeadm@server1 cm]$ vim cm2.yml
[kubeadm@server1 cm]$ cat cm2.yml
apiVersion: v1 
kind: Secret 
metadata:  
  name: mysecret 
type: Opaque 
data:  
  username: YWRtaW4=  
  password: cmVkaGF0
[kubeadm@server1 cm]$ kubectl apply -f cm2.yml 
secret/mysecret created
[kubeadm@server1 cm]$ kubectl get secrets 
NAME                  TYPE                                  DATA   AGE
basic-auth            Opaque                                1      13h
default-token-5qqxc   kubernetes.io/service-account-token   3      9d
mysecret              Opaque                                2      7s
tls-secret            kubernetes.io/tls                     2      27h
```

![](/media/202406/8.2.15278153_image16.png)

---

```bash
[kubeadm@server1 cm]$ vim cm2.yml 
[kubeadm@server1 cm]$ cat cm2.yml 
apiVersion: v1 
kind: Secret 
metadata:  
  name: mysecret 
type: Opaque 
data:  
  username: YWRtaW4=  
  password: cmVkaGF0
---
apiVersion: v1 
kind: Pod 
metadata:  
  name: mysecret 
spec:  
  containers:  
  - name: nginx    
    image: nginx    
    volumeMounts:    
    - name: secrets      
      mountPath: "/secret"      
      readOnly: true  
  volumes:  
  - name: secrets    
    secret:      
      secretName: mysecret

[kubeadm@server1 cm]$ kubectl apply -f cm2.yml 
secret/mysecret unchanged
pod/mysecret created
[kubeadm@server1 cm]$ kubectl exec mysecret -- ls /secret
password
username
[kubeadm@server1 cm]$ kubectl exec mysecret -- cat /secret/password
redhat
[kubeadm@server1 cm]$ kubectl exec mysecret -- cat /secret/username
admin
```

![](/media/202406/8.2.15278153_image17.png)

![](/media/202406/8.2.15278153_image18.png)

---

```bash
[kubeadm@server1 cm]$ cat cm2.yml 
apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  username: YWRtaW4=
  password: cmVkaGF0
---
apiVersion: v1
kind: Pod
metadata:
  name: mysecret
spec:
  containers:
  - name: nginx
    image: nginx
    volumeMounts:
    - name: secrets
      mountPath: "/secret"
      readOnly: true
  volumes:
  - name: secrets
    secret:
      secretName: mysecret
      items:
      - key: username
        path: my-group/my-username

[kubeadm@server1 cm]$ kubectl delete pod mysecret 
pod "mysecret" deleted
[kubeadm@server1 cm]$ vim cm2.yml 
[kubeadm@server1 cm]$ kubectl apply -f cm2.yml 
secret/mysecret unchanged
pod/mysecret created
[kubeadm@server1 cm]$ kubectl exec mysecret -- ls /secret/my-group
my-username
[kubeadm@server1 cm]$ kubectl exec mysecret -- cat /secret/my-group/my-username
```

![](/media/202406/8.2.15278153_image19.png)

![](/media/202406/8.2.15278153_image20.png)

---

```bash
[kubeadm@server1 cm]$ cat cm2.yml 
apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  username: YWRtaW4=
  password: cmVkaGF0
---
apiVersion: v1
kind: Pod
metadata:
  name: secret-env
spec:
  containers:
  - name: nginx
    image: nginx
    env:
      - name: SECRET_USERNAME
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: username
      - name: SECRET_PASSWORD
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: password

[kubeadm@server1 cm]$ kubectl delete pod mysecret 
pod "mysecret" deleted
[kubeadm@server1 cm]$ vim cm2.yml 
[kubeadm@server1 cm]$ kubectl apply -f cm2.yml 
secret/mysecret unchanged
pod/secret-env created
[kubeadm@server1 cm]$ kubectl get pod
NAME                        READY   STATUS    RESTARTS   AGE
my-nginx-56794ff6cb-5qxlq   1/1     Running   0          6h31m
secret-env                  1/1     Running   0          80s
[kubeadm@server1 cm]$ kubectl exec secret-env -- env
PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
HOSTNAME=secret-env
SECRET_PASSWORD=redhat
SECRET_USERNAME=admin
```

![](/media/202406/8.2.15278153_image21.png) ![](/media/202406/8.2.15278153_image22.png)

**环境变量读取Secret很方便，但无法支撑Secret动态更新。**

---

**kubernetes.io/dockerconfigjson用于存储docker registry的认证信息.** ![](/media/202406/8.2.15278153_image23.png)

![](/media/202406/8.2.15278153_image24.png)

![](/media/202406/8.2.15278153_image25.png)

```bash
[kubeadm@server1 cm]$ kubectl create secret docker-registry myregistrykey --docker-server=reg.red.org --docker-username=admin --docker-password=redhat --docker-email=root@server1.com
secret/myregistrykey created
[kubeadm@server1 cm]$ kubectl get secrets 
NAME TYPE DATA AGE
basic-auth Opaque 1 3d23h
default-token-5qqxc kubernetes.io/service-account-token 3 12d
myregistrykey kubernetes.io/dockerconfigjson 1 23s
mysecret Opaque 2 3d9h
tls-secret kubernetes.io/tls 2 4d13h
[kubeadm@server1 cm]$ vim pod.yml
[kubeadm@server1 cm]$ cat pod.yml
apiVersion: v1 
kind: Pod 
metadata: 
 name: mypod 
spec: 
 containers: 
 - name: game2048 
 image: reg.red.org/private/game2048 
 imagePullSecrets: 
 - name: myregistrykey
[kubeadm@server1 cm]$ kubectl apply -f pod.yml 
pod/mypod created
[kubeadm@server1 cm]$ kubectl get pod
NAME READY STATUS RESTARTS AGE
my-nginx-56794ff6cb-5qxlq 1/1 Running 0 7h5m
mypod 1/1 Running 0 23s
secret-env 1/1 Running 0 35m
[kubeadm@server1 cm]$ kubectl describe pod mypod 
Name: mypod
Namespace: default
Priority: 0
Node: server2/172.25.1.2
Start Time: Wed, 01 Jul 2020 17:10:50 +0800
Labels: <none>
Annotations: Status: Running
IP: 10.244.1.75
IPs:
 IP: 10.244.1.75
Events:
 Type Reason Age From Message
 ---- ------ ---- ---- -------
 Normal Scheduled <unknown> default-scheduler Successfully assigned default/mypod to server2
 Normal Pulling 36s kubelet, server2 Pulling image "reg.red.org/private/game2048"
 Normal Pulled 34s kubelet, server2 Successfully pulled image "reg.red.org/private/game2048"
 Normal Created 34s kubelet, server2 Created container game2048
 Normal Started 34s kubelet, server2 Started container game2048
```

![](/media/202406/8.2.15278153_image26.png)

![](/media/202406/8.2.15278153_image27.png)

![](/media/202406/8.2.15278153_image28.png)