Kubernetes 使用配置文件管理Secret

2022-06-13 10:12 更新

在开始之前

你必须拥有一个 Kubernetes 的集群,同时你的 Kubernetes 集群必须带有 kubectl 命令行工具。 建议在至少有两个节点的集群上运行本教程,且这些节点不作为控制平面主机。 如果你还没有集群,你可以通过 Minikube 构建一个你自己的集群,或者你可以使用下面任意一个 Kubernetes 工具构建:

创建配置文件 

你可以先用 JSON 或 YAML 格式在文件中创建 Secret,然后创建该对象。 Secret 资源包含2个键值对: ​data ​和 ​stringData​。 ​data ​字段用来存储 base64 编码的任意数据。 提供 ​stringData ​字段是为了方便,它允许 Secret 使用未编码的字符串。 ​data ​和 ​stringData ​的键必须由字母、数字、​-​,​_​ 或 ​.​ 组成。

例如,要使用 Secret 的 ​data ​字段存储两个字符串,请将字符串转换为 base64 ,如下所示:

echo -n 'admin' | base64

输出类似于:

YWRtaW4=
echo -n '1f2d1e2e67df' | base64

输出类似于:

MWYyZDFlMmU2N2Rm

编写一个 Secret 配置文件,如下所示:

apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  username: YWRtaW4=
  password: MWYyZDFlMmU2N2Rm

注意,Secret 对象的名称必须是有效的 DNS 子域名.

说明:
Secret 数据的 JSON 和 YAML 序列化结果是以 base64 编码的。 换行符在这些字符串中无效,必须省略。 在 Darwin/macOS 上使用 ​base64 ​工具时,用户不应该使用 ​-b​ 选项分割长行。 相反地,Linux 用户 应该 在 ​base64 ​的命令中添加 ​-w 0​ 选项, 或者在 ​-w​ 选项不可用的情况下,输入 ​base64 | tr -d '\n'​。

对于某些场景,你可能希望使用 ​stringData ​字段。 这字段可以将一个非 base64 编码的字符串直接放入 Secret 中, 当创建或更新该 Secret 时,此字段将被编码。

上述用例的实际场景可能是这样:当你部署应用时,使用 Secret 存储配置文件, 你希望在部署过程中,填入部分内容到该配置文件。

例如,如果你的应用程序使用以下配置文件:

apiUrl: "https://my.api.com/api/v1"
username: "<user>"
password: "<password>"

你可以使用以下定义将其存储在 Secret 中:

apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
stringData:
  config.yaml: |
    apiUrl: "https://my.api.com/api/v1"
    username: <user>
    password: <password>  

创建 Secret 对象 

现在使用 ​kubectl apply​ 创建 Secret:

kubectl apply -f ./secret.yaml

输出类似于:

secret/mysecret created

检查 Secret 

stringData ​字段是只写的。获取 Secret 时,此字段永远不会输出。 例如,如果你运行以下命令:

kubectl get secret mysecret -o yaml

输出类似于:

apiVersion: v1
data:
  config.yaml: YXBpVXJsOiAiaHR0cHM6Ly9teS5hcGkuY29tL2FwaS92MSIKdXNlcm5hbWU6IHt7dXNlcm5hbWV9fQpwYXNzd29yZDoge3twYXNzd29yZH19
kind: Secret
metadata:
  creationTimestamp: 2018-11-15T20:40:59Z
  name: mysecret
  namespace: default
  resourceVersion: "7225"
  uid: c280ad2e-e916-11e8-98f2-025000000001
type: Opaque

命令 ​kubectl get​ 和 ​kubectl describe​ 默认不显示 ​Secret ​的内容。 这是为了防止 ​Secret ​意外地暴露给旁观者或者保存在终端日志中。

如果在 ​data ​和 ​stringData ​中都指定了一个字段,比如 ​username​,字段值来自 ​stringData​。 例如,下面的 Secret 定义:

apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  username: YWRtaW4=
stringData:
  username: administrator

结果有以下 Secret:

apiVersion: v1
data:
  username: YWRtaW5pc3RyYXRvcg==
kind: Secret
metadata:
  creationTimestamp: 2018-11-15T20:46:46Z
  name: mysecret
  namespace: default
  resourceVersion: "7579"
  uid: 91460ecb-e917-11e8-98f2-025000000001
type: Opaque

其中 ​YWRtaW5pc3RyYXRvcg==​ 解码成 ​administrator​。

清理 

删除你创建的 Secret:

kubectl delete secret mysecret


以上内容是否对您有帮助:
在线笔记
App下载
App下载

扫描二维码

下载编程狮App

公众号
微信公众号

编程狮公众号