使用 Secret 安全地分发凭证

本文展示如何安全地将敏感数据(如密码和加密密钥)注入到 Pods 中。

准备开始

你必须拥有一个 Kubernetes 的集群,同时你的 Kubernetes 集群必须带有 kubectl 命令行工具。 建议在至少有两个节点的集群上运行本教程,且这些节点不作为控制平面主机。 如果你还没有集群,你可以通过 Minikube 构建一个你自己的集群,或者你可以使用下面任意一个 Kubernetes 工具构建:

将 secret 数据转换为 base-64 形式

假设用户想要有两条 Secret 数据:用户名 my-app 和密码 39528$vdg7Jb。 首先使用 Base64 编码 将用户名和密码转化为 base-64 形式。 下面是一个使用常用的 base64 程序的示例:

  1. echo -n 'my-app' | base64
  2. echo -n '39528$vdg7Jb' | base64

结果显示 base-64 形式的用户名为 bXktYXBw, base-64 形式的密码为 Mzk1MjgkdmRnN0pi

注意: 使用你的操作系统所能信任的本地工具以降低使用外部工具的风险。

创建 Secret

这里是一个配置文件,可以用来创建存有用户名和密码的 Secret:

pods/inject/secret.yaml 使用 Secret 安全地分发凭证 - 图1

  1. apiVersion: v1
  2. kind: Secret
  3. metadata:
  4.   name: test-secret
  5. data:
  6.   username: bXktYXBw
  7.   password: Mzk1MjgkdmRnN0pi

  1. 创建 Secret:

    1. kubectl apply -f https://k8s.io/examples/pods/inject/secret.yaml

  2. 查看 Secret 相关信息:

    1. kubectl get secret test-secret

    输出:

    1. NAME          TYPE      DATA      AGE
    2. test-secret   Opaque    2         1m

  3. 查看 Secret 相关的更多详细信息:

    1. kubectl describe secret test-secret

    输出:

    1. Name:       test-secret
    2. Namespace:  default
    3. Labels:     <none>
    4. Annotations:    <none>
    6. Type:   Opaque
    8. Data
    9. ====
    10. password:   13 bytes
    11. username:   7 bytes

直接用 kubectl 创建 Secret

如果你希望略过 Base64 编码的步骤,你也可以使用 kubectl create secret 命令直接创建 Secret。例如:

  1. kubectl create secret generic test-secret --from-literal='username=my-app' --from-literal='password=39528$vdg7Jb'

这是一种更为方便的方法。 前面展示的详细分解步骤有助于了解究竟发生了什么事情。

创建一个可以通过卷访问 secret 数据的 Pod

这里是一个可以用来创建 pod 的配置文件:

pods/inject/secret-pod.yaml 使用 Secret 安全地分发凭证 - 图2

  1. apiVersion: v1
  2. kind: Pod
  3. metadata:
  4.   name: secret-test-pod
  5. spec:
  6.   containers:
  7.     - name: test-container
  8.       image: nginx
  9.       volumeMounts:
  10.         # name 必须与下面的卷名匹配
  11.         - name: secret-volume
  12.           mountPath: /etc/secret-volume
  13.   # Secret 数据通过一个卷暴露给该 Pod 中的容器
  14.   volumes:
  15.     - name: secret-volume
  16.       secret:
  17.         secretName: test-secret

  1. 创建 Pod:

    1. kubectl apply -f https://k8s.io/examples/pods/inject/secret-pod.yaml

  2. 确认 Pod 正在运行:

    1. kubectl get pod secret-test-pod

    输出:

    1. NAME              READY     STATUS    RESTARTS   AGE
    2. secret-test-pod   1/1       Running   0          42m

  3. 获取一个 shell 进入 Pod 中运行的容器:

    1. kubectl exec -i -t secret-test-pod -- /bin/bash

  4. Secret 数据通过挂载在 /etc/secret-volume 目录下的卷暴露在容器中。

    在 shell 中,列举 /etc/secret-volume 目录下的文件:

    1. # 在容器中 Shell 运行下面命令
    2. ls /etc/secret-volume

    输出包含两个文件,每个对应一个 Secret 数据条目:

    1. password username

  5. 在 Shell 中,显示 usernamepassword 文件的内容:

    1. # 在容器中 Shell 运行下面命令
    2. echo "$( cat /etc/secret-volume/username )"
    3. echo "$( cat /etc/secret-volume/password )"

    输出为用户名和密码:

    1. my-app
    2. 39528$vdg7Jb

使用 Secret 数据定义容器变量

使用来自 Secret 中的数据定义容器变量

  • 定义环境变量为 Secret 中的键值偶对:

    1. kubectl create secret generic backend-user --from-literal=backend-username='backend-admin'

  • 在 Pod 规约中,将 Secret 中定义的值 backend-username 赋给 SECRET_USERNAME 环境变量

    pods/inject/pod-single-secret-env-variable.yaml 使用 Secret 安全地分发凭证 - 图3

    1. apiVersion: v1
    2.    kind: Pod
    3.    metadata:
    4.      name: env-single-secret
    5.    spec:
    6.      containers:
    7.      - name: envars-test-container
    8.        image: nginx
    9.        env:
    10.        - name: SECRET_USERNAME
    11.          valueFrom:
    12.            secretKeyRef:
    13.              name: backend-user
    14.              key: backend-username

  • 创建 Pod:

    1. kubectl create -f https://k8s.io/examples/pods/inject/pod-single-secret-env-variable.yaml

  • 在 Shell 中,显示容器环境变量 SECRET_USERNAME 的内容:

    1. kubectl exec -i -t env-single-secret -- /bin/sh -c 'echo $SECRET_USERNAME'

    输出为:

    1. backend-admin

使用来自多个 Secret 的数据定义环境变量

  • 和前面的例子一样,先创建 Secret:

    1. kubectl create secret generic backend-user --from-literal=backend-username='backend-admin'
    2. kubectl create secret generic db-user --from-literal=db-username='db-admin'

  • 在 Pod 规约中定义环境变量:

    pods/inject/pod-multiple-secret-env-variable.yaml 使用 Secret 安全地分发凭证 - 图4

    1. apiVersion: v1
    2.    kind: Pod
    3.    metadata:
    4.      name: envvars-multiple-secrets
    5.    spec:
    6.      containers:
    7.      - name: envars-test-container
    8.        image: nginx
    9.        env:
    10.        - name: BACKEND_USERNAME
    11.          valueFrom:
    12.            secretKeyRef:
    13.              name: backend-user
    14.              key: backend-username
    15.        - name: DB_USERNAME
    16.          valueFrom:
    17.            secretKeyRef:
    18.              name: db-user
    19.              key: db-username

  • 创建 Pod:

    1. kubectl create -f https://k8s.io/examples/pods/inject/pod-multiple-secret-env-variable.yaml

  • 在你的 Shell 中,显示容器环境变量的内容:

    1. kubectl exec -i -t envvars-multiple-secrets -- /bin/sh -c 'env | grep _USERNAME'

    输出:

    1. DB_USERNAME=db-admin
    2. BACKEND_USERNAME=backend-admin

将 Secret 中的所有键值偶对定义为环境变量

说明: 此功能在 Kubernetes 1.6 版本之后可用。

  • 创建包含多个键值偶对的 Secret:

    1. kubectl create secret generic test-secret --from-literal=username='my-app' --from-literal=password='39528$vdg7Jb'

  • 使用 envFrom 来将 Secret 中的所有数据定义为环境变量。 Secret 中的键名成为容器中的环境变量名:

    pods/inject/pod-secret-envFrom.yaml 使用 Secret 安全地分发凭证 - 图5

    1. apiVersion: v1
    2.    kind: Pod
    3.    metadata:
    4.      name: envfrom-secret
    5.    spec:
    6.      containers:
    7.      - name: envars-test-container
    8.        image: nginx
    9.        envFrom:
    10.        - secretRef:
    11.            name: test-secret

  • 创建 Pod:

    1. kubectl create -f https://k8s.io/examples/pods/inject/pod-secret-envFrom.yaml

  • 在 Shell 中,显示环境变量 usernamepassword 的内容:

    1. kubectl exec -i -t envfrom-secret -- /bin/sh -c 'echo "username: $username\npassword: $password\n"'

    输出为:

    1. username: my-app
    2. password: 39528$vdg7Jb

参考

接下来