使用密钥安全地分发凭据
此页面展示了如何将敏感数据(如密码和加密密钥)安全地注入 Pod 中。
开始之前
您需要拥有一个 Kubernetes 集群,并且 kubectl 命令行工具必须配置为与您的集群通信。建议在至少有两个节点(不充当控制平面主机)的集群上运行本教程。如果您还没有集群,可以使用 minikube 创建一个,或者可以使用以下 Kubernetes 游乐场之一
将您的秘密数据转换为 base-64 表示形式
假设您想要拥有两部分秘密数据:用户名 my-app 和密码 39528$vdg7Jb。首先,使用 base-64 编码工具将您的用户名和密码转换为 base-64 表示形式。以下是如何使用常用的 base-64 程序的示例
echo -n 'my-app' | base64
echo -n '39528$vdg7Jb' | base64
输出显示您的用户名的 base-64 表示形式为 bXktYXBw,密码的 base-64 表示形式为 Mzk1MjgkdmRnN0pi。
注意
使用您的操作系统信任的本地工具,以降低外部工具的安全风险。创建秘密
以下是一个配置文件,您可以使用它来创建一个包含您的用户名和密码的秘密
apiVersion: v1
kind: Secret
metadata:
name: test-secret
data:
username: bXktYXBw
password: Mzk1MjgkdmRnN0pi
创建秘密
kubectl apply -f https://k8s.io/examples/pods/inject/secret.yaml查看有关秘密的信息
kubectl get secret test-secret输出
NAME TYPE DATA AGE test-secret Opaque 2 1m查看有关秘密的更多详细信息
kubectl describe secret test-secret输出
Name: test-secret Namespace: default Labels: <none> Annotations: <none> Type: Opaque Data ==== password: 13 bytes username: 7 bytes
直接使用 kubectl 创建秘密
如果您想跳过 Base64 编码步骤,可以使用 kubectl create secret 命令创建相同的秘密。例如
kubectl create secret generic test-secret --from-literal='username=my-app' --from-literal='password=39528$vdg7Jb'
这更方便。前面显示的详细方法明确地执行每个步骤,以演示正在发生的事情。
创建一个可以通过卷访问秘密数据的 Pod
以下是一个配置文件,您可以使用它来创建一个 Pod
apiVersion: v1
kind: Pod
metadata:
name: secret-test-pod
spec:
containers:
- name: test-container
image: nginx
volumeMounts:
# name must match the volume name below
- name: secret-volume
mountPath: /etc/secret-volume
readOnly: true
# The secret data is exposed to Containers in the Pod through a Volume.
volumes:
- name: secret-volume
secret:
secretName: test-secret
创建 Pod
kubectl apply -f https://k8s.io/examples/pods/inject/secret-pod.yaml验证您的 Pod 是否正在运行
kubectl get pod secret-test-pod输出
NAME READY STATUS RESTARTS AGE secret-test-pod 1/1 Running 0 42m获取到 Pod 中运行的容器的 shell
kubectl exec -i -t secret-test-pod -- /bin/bash秘密数据通过挂载在
/etc/secret-volume下的卷暴露给容器。在您的 shell 中,列出
/etc/secret-volume目录中的文件# Run this in the shell inside the container ls /etc/secret-volume输出显示两个文件,每个文件对应一部分秘密数据
password username在您的 shell 中,显示
username和password文件的内容# Run this in the shell inside the container echo "$( cat /etc/secret-volume/username )" echo "$( cat /etc/secret-volume/password )"输出是您的用户名和密码
my-app 39528$vdg7Jb
修改您的镜像或命令行,以便程序在 mountPath 目录中查找文件。秘密 data 映射中的每个键都成为此目录中的文件名。
将秘密键投影到特定文件路径
您还可以控制卷中投影秘密键的路径。使用 .spec.volumes[].secret.items 字段更改每个键的目标路径
apiVersion: v1
kind: Pod
metadata:
name: mypod
spec:
containers:
- name: mypod
image: redis
volumeMounts:
- name: foo
mountPath: "/etc/foo"
readOnly: true
volumes:
- name: foo
secret:
secretName: mysecret
items:
- key: username
path: my-group/my-username
当您部署此 Pod 时,会发生以下情况
- 来自
mysecret的username键在路径/etc/foo/my-group/my-username而不是/etc/foo/username处可供容器使用。 - 来自该秘密对象的
password键不会被投影。
如果您使用 .spec.volumes[].secret.items 显式列出键,请考虑以下事项
- 仅投影
items中指定的键。 - 要使用秘密中的所有键,必须在
items字段中列出所有键。 - 所有列出的键必须存在于相应的秘密中。否则,卷将不会创建。
为秘密键设置 POSIX 权限
您可以为单个秘密键设置 POSIX 文件访问权限位。如果您没有指定任何权限,默认情况下将使用 0644。您还可以为整个秘密卷设置默认 POSIX 文件模式,并在需要时覆盖每个键。
例如,您可以这样指定默认模式
apiVersion: v1
kind: Pod
metadata:
name: mypod
spec:
containers:
- name: mypod
image: redis
volumeMounts:
- name: foo
mountPath: "/etc/foo"
volumes:
- name: foo
secret:
secretName: mysecret
defaultMode: 0400
秘密挂载在 /etc/foo 上;由秘密卷挂载创建的所有文件都具有权限 0400。
注意
如果您使用 JSON 定义 Pod 或 Pod 模板,请注意 JSON 规范不支持数字的八进制文字,因为 JSON 将0400 视为十进制值 400。在 JSON 中,请使用十进制值代替 defaultMode。如果您正在编写 YAML,则可以使用八进制编写 defaultMode。使用秘密数据定义容器环境变量
您可以在容器中将秘密中的数据用作环境变量。
如果容器已经在环境变量中使用秘密,则除非容器重新启动,否则不会看到秘密更新。有一些第三方解决方案可以在秘密更改时触发重新启动。
使用单个秘密中的数据定义容器环境变量
在秘密中定义环境变量作为键值对
kubectl create secret generic backend-user --from-literal=backend-username='backend-admin'将秘密中定义的
backend-username值分配给 Pod 规范中的SECRET_USERNAME环境变量。apiVersion: v1 kind: Pod metadata: name: env-single-secret spec: containers: - name: envars-test-container image: nginx env: - name: SECRET_USERNAME valueFrom: secretKeyRef: name: backend-user key: backend-username创建 Pod
kubectl create -f https://k8s.io/examples/pods/inject/pod-single-secret-env-variable.yaml在您的 shell 中,显示
SECRET_USERNAME容器环境变量的内容。kubectl exec -i -t env-single-secret -- /bin/sh -c 'echo $SECRET_USERNAME'输出类似于
backend-admin
使用多个秘密中的数据定义容器环境变量
与前面的示例一样,首先创建秘密。
kubectl create secret generic backend-user --from-literal=backend-username='backend-admin' kubectl create secret generic db-user --from-literal=db-username='db-admin'在 Pod 规范中定义环境变量。
apiVersion: v1 kind: Pod metadata: name: envvars-multiple-secrets spec: containers: - name: envars-test-container image: nginx env: - name: BACKEND_USERNAME valueFrom: secretKeyRef: name: backend-user key: backend-username - name: DB_USERNAME valueFrom: secretKeyRef: name: db-user key: db-username创建 Pod
kubectl create -f https://k8s.io/examples/pods/inject/pod-multiple-secret-env-variable.yaml在您的 shell 中,显示容器环境变量。
kubectl exec -i -t envvars-multiple-secrets -- /bin/sh -c 'env | grep _USERNAME'输出类似于
DB_USERNAME=db-admin BACKEND_USERNAME=backend-admin
将秘密中的所有键值对配置为容器环境变量
注意
此功能在 Kubernetes v1.6 及更高版本中可用。创建一个包含多个键值对的秘密
kubectl create secret generic test-secret --from-literal=username='my-app' --from-literal=password='39528$vdg7Jb'使用 envFrom 将秘密中的所有数据定义为容器环境变量。秘密中的键成为 Pod 中的环境变量名称。
apiVersion: v1 kind: Pod metadata: name: envfrom-secret spec: containers: - name: envars-test-container image: nginx envFrom: - secretRef: name: test-secret创建 Pod
kubectl create -f https://k8s.io/examples/pods/inject/pod-secret-envFrom.yaml在您的 shell 中,显示
username和password容器环境变量。kubectl exec -i -t envfrom-secret -- /bin/sh -c 'echo "username: $username\npassword: $password\n"'输出类似于
username: my-app password: 39528$vdg7Jb
示例:使用秘密为 Pod 提供生产/测试凭据
此示例说明了一个使用包含生产凭据的秘密的 Pod 和另一个使用包含测试环境凭据的秘密的 Pod。
为生产环境凭据创建一个秘密
kubectl create secret generic prod-db-secret --from-literal=username=produser --from-literal=password=Y4nys7f11输出类似于
secret "prod-db-secret" created为测试环境凭据创建一个秘密。
kubectl create secret generic test-db-secret --from-literal=username=testuser --from-literal=password=iluvtests输出类似于
secret "test-db-secret" created注意
$、\、*、=和!等特殊字符将由您的 shell 解释,需要转义。在大多数 shell 中,最简单的密码转义方法是用单引号 (
') 将密码括起来。例如,如果您的实际密码是S!B\*d$zDsb=,您应该按如下方式执行命令kubectl create secret generic dev-db-secret --from-literal=username=devuser --from-literal=password='S!B\*d$zDsb='您不需要转义来自文件 (
--from-file) 的密码中的特殊字符。创建 Pod 清单
cat <<EOF > pod.yaml apiVersion: v1 kind: List items: - kind: Pod apiVersion: v1 metadata: name: prod-db-client-pod labels: name: prod-db-client spec: volumes: - name: secret-volume secret: secretName: prod-db-secret containers: - name: db-client-container image: myClientImage volumeMounts: - name: secret-volume readOnly: true mountPath: "/etc/secret-volume" - kind: Pod apiVersion: v1 metadata: name: test-db-client-pod labels: name: test-db-client spec: volumes: - name: secret-volume secret: secretName: test-db-secret containers: - name: db-client-container image: myClientImage volumeMounts: - name: secret-volume readOnly: true mountPath: "/etc/secret-volume" EOF注意
两个 Pod 的规范仅在一个字段上有所不同;这便于从公共 Pod 模板创建具有不同功能的 Pod。通过运行以下命令将所有这些对象应用于 API 服务器
kubectl create -f pod.yaml
两个容器的文件系统上都将存在以下文件,其中包含每个容器环境的值
/etc/secret-volume/username
/etc/secret-volume/password
您可以通过使用两个服务帐户进一步简化基本 Pod 规范
prod-user与prod-db-secrettest-user与test-db-secret
Pod 规范缩短为
apiVersion: v1
kind: Pod
metadata:
name: prod-db-client-pod
labels:
name: prod-db-client
spec:
serviceAccount: prod-db-client
containers:
- name: db-client-container
image: myClientImage