管理 Secrets

• 1: 使用 kubectl 管理 Secret
• 2: 使用配置文件管理 Secret
• 3: 使用 Kustomize 管理 Secret

1 - 使用 kubectl 管理 Secret

准备开始

你必须拥有一个 Kubernetes 的集群，同时你的 Kubernetes 集群必须带有 kubectl 命令行工具。 建议在至少有两个节点的集群上运行本教程，且这些节点不作为控制平面主机。 如果你还没有集群，你可以通过 Minikube 构建一个你自己的集群，或者你可以使用下面任意一个 Kubernetes 工具构建：

• Katacoda
• 玩转 Kubernetes

创建 Secret

一个 Secret 可以包含 Pod 访问数据库所需的用户凭证。 例如，由用户名和密码组成的数据库连接字符串。 你可以在本地计算机上，将用户名存储在文件 ./username.txt 中，将密码存储在文件 ./password.txt 中。

echo -n 'admin' > ./username.txt
echo -n '1f2d1e2e67df' > ./password.txt

在这些命令中，-n 标志确保生成的文件在文本末尾不包含额外的换行符。 这一点很重要，因为当 kubectl 读取文件并将内容编码为 base64 字符串时，多余的换行符也会被编码。

kubectl create secret 命令将这些文件打包成一个 Secret 并在 API 服务器上创建对象。

kubectl create secret generic db-user-pass \
  --from-file=./username.txt \
  --from-file=./password.txt

输出类似于：

secret/db-user-pass created

默认密钥名称是文件名。 你可以选择使用 --from-file=[key=]source 来设置密钥名称。例如：

kubectl create secret generic db-user-pass \
  --from-file=username=./username.txt \
  --from-file=password=./password.txt

你不需要对文件中包含的密码字符串中的特殊字符进行转义。

你还可以使用 --from-literal=<key>=<value> 标签提供 Secret 数据。 可以多次使用此标签，提供多个键值对。 请注意，特殊字符（例如：$，\，*，= 和 !）由你的 shell 解释执行，而且需要转义。

在大多数 shell 中，转义密码最简便的方法是用单引号括起来。 比如，如果你的密码是 S!B\*d$zDsb=， 可以像下面一样执行命令：

kubectl create secret generic db-user-pass \
  --from-literal=username=devuser \
  --from-literal=password='S!B\*d$zDsb='

验证 Secret

检查 secret 是否已创建：

kubectl get secrets

输出类似于：

NAME                  TYPE                                  DATA      AGE
db-user-pass          Opaque                                2         51s

你可以查看 Secret 的描述：

kubectl describe secrets/db-user-pass

输出类似于：

Name:            db-user-pass
Namespace:       default
Labels:          <none>
Annotations:     <none>

Type:            Opaque

Data
====
password:    12 bytes
username:    5 bytes

kubectl get 和 kubectl describe 命令默认不显示 Secret 的内容。 这是为了防止 Secret 被意外暴露或存储在终端日志中。

解码 Secret

要查看创建的 Secret 的内容，运行以下命令：

kubectl get secret db-user-pass -o jsonpath='{.data}'

输出类似于：

{"password":"MWYyZDFlMmU2N2Rm","username":"YWRtaW4="}

现在你可以解码 password 的数据：

echo 'MWYyZDFlMmU2N2Rm' | base64 --decode

输出类似于：

1f2d1e2e67df

清理

删除创建的 Secret：

kubectl delete secret db-user-pass

接下来

• 进一步阅读 Secret 概念
• 了解如何使用配置文件管理 Secret
• 了解如何使用 kustomize 管理 Secret

2 - 使用配置文件管理 Secret

准备开始

你必须拥有一个 Kubernetes 的集群，同时你的 Kubernetes 集群必须带有 kubectl 命令行工具。 建议在至少有两个节点的集群上运行本教程，且这些节点不作为控制平面主机。 如果你还没有集群，你可以通过 Minikube 构建一个你自己的集群，或者你可以使用下面任意一个 Kubernetes 工具构建：

• Katacoda
• 玩转 Kubernetes

创建配置文件

你可以先用 JSON 或 YAML 格式在文件中创建 Secret，然后创建该对象。 Secret 资源包含2个键值对： data 和 stringData。 data 字段用来存储 base64 编码的任意数据。 提供 stringData 字段是为了方便，它允许 Secret 使用未编码的字符串。 data 和 stringData 的键必须由字母、数字、-，_ 或 . 组成。

例如，要使用 Secret 的 data 字段存储两个字符串，请将字符串转换为 base64 ，如下所示：

echo -n 'admin' | base64

输出类似于：

YWRtaW4=

echo -n '1f2d1e2e67df' | base64

输出类似于：

MWYyZDFlMmU2N2Rm

编写一个 Secret 配置文件，如下所示：

apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  username: YWRtaW4=
  password: MWYyZDFlMmU2N2Rm

注意，Secret 对象的名称必须是有效的 DNS 子域名.

对于某些场景，你可能希望使用 stringData 字段。 这字段可以将一个非 base64 编码的字符串直接放入 Secret 中， 当创建或更新该 Secret 时，此字段将被编码。

上述用例的实际场景可能是这样：当你部署应用时，使用 Secret 存储配置文件， 你希望在部署过程中，填入部分内容到该配置文件。

例如，如果你的应用程序使用以下配置文件:

apiUrl: "https://my.api.com/api/v1"
username: "<user>"
password: "<password>"

你可以使用以下定义将其存储在 Secret 中:

apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
stringData:
  config.yaml: |
    apiUrl: "https://my.api.com/api/v1"
    username: <user>
    password: <password>    

创建 Secret 对象

现在使用 kubectl apply 创建 Secret：

kubectl apply -f ./secret.yaml

输出类似于：

secret/mysecret created

检查 Secret

stringData 字段是只写的。获取 Secret 时，此字段永远不会输出。 例如，如果你运行以下命令：

kubectl get secret mysecret -o yaml

输出类似于：

apiVersion: v1
data:
  config.yaml: YXBpVXJsOiAiaHR0cHM6Ly9teS5hcGkuY29tL2FwaS92MSIKdXNlcm5hbWU6IHt7dXNlcm5hbWV9fQpwYXNzd29yZDoge3twYXNzd29yZH19
kind: Secret
metadata:
  creationTimestamp: 2018-11-15T20:40:59Z
  name: mysecret
  namespace: default
  resourceVersion: "7225"
  uid: c280ad2e-e916-11e8-98f2-025000000001
type: Opaque

命令 kubectl get 和 kubectl describe 默认不显示 Secret 的内容。 这是为了防止 Secret 意外地暴露给旁观者或者保存在终端日志中。 检查编码数据的实际内容，请参考解码 secret.

如果在 data 和 stringData 中都指定了一个字段，比如 username，字段值来自 stringData。 例如，下面的 Secret 定义:

apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  username: YWRtaW4=
stringData:
  username: administrator

结果有以下 Secret：

apiVersion: v1
data:
  username: YWRtaW5pc3RyYXRvcg==
kind: Secret
metadata:
  creationTimestamp: 2018-11-15T20:46:46Z
  name: mysecret
  namespace: default
  resourceVersion: "7579"
  uid: 91460ecb-e917-11e8-98f2-025000000001
type: Opaque

其中 YWRtaW5pc3RyYXRvcg== 解码成 administrator。

清理

删除你创建的 Secret：

kubectl delete secret mysecret

接下来

• 进一步阅读 Secret 概念
• 了解如何使用 kubectl 命令管理 Secret
• 了解如何使用 kustomize 管理 Secret

3 - 使用 Kustomize 管理 Secret

从 kubernetes v1.14 开始，kubectl 支持使用 Kustomize 管理对象。 Kustomize 提供了资源生成器（Generators）来创建 Secret 和 ConfigMap。 Kustomize 生成器应该在某个目录的 kustomization.yaml 文件中指定。 生成 Secret 后，你可以使用 kubectl apply 在 API 服务器上创建该 Secret。

准备开始

你必须拥有一个 Kubernetes 的集群，同时你的 Kubernetes 集群必须带有 kubectl 命令行工具。 建议在至少有两个节点的集群上运行本教程，且这些节点不作为控制平面主机。 如果你还没有集群，你可以通过 Minikube 构建一个你自己的集群，或者你可以使用下面任意一个 Kubernetes 工具构建：

• Katacoda
• 玩转 Kubernetes

创建 Kustomization 文件

你可以在 kustomization.yaml 中定义 secreteGenerator，并在定义中引用其他现成的文件，生成 Secret。 例如：下面的 kustomization 文件 引用了 ./username.txt 和 ./password.txt 文件：

secretGenerator:
- name: db-user-pass
  files:
  - username.txt
  - password.txt

你也可以在 kustomization.yaml 文件中指定一些字面量定义 secretGenerator。 例如：下面的 kustomization.yaml 文件中包含了 username 和 password 两个字面量：

secretGenerator:
- name: db-user-pass
  literals:
  - username=admin
  - password=1f2d1e2e67df

你也可以使用 .env 文件在 kustomization.yaml 中定义 secretGenerator。 例如：下面的 kustomization.yaml 文件从 .env.secret 文件获取数据。

secretGenerator:
- name: db-user-pass
  envs:
  - .env.secret

注意，上面两种情况，你都不需要使用 base64 编码。

创建 Secret

使用 kubectl apply 命令应用包含 kustomization.yaml 文件的目录创建 Secret。

kubectl apply -k .

输出类似于：

secret/db-user-pass-96mffmfh4k created

请注意，生成 Secret 时，Secret 的名称最终是由 name 字段和数据的哈希值拼接而成。 这将保证每次修改数据时生成一个新的 Secret。

检查创建的 Secret

你可以检查刚才创建的 Secret：

kubectl get secrets

输出类似于：

NAME                             TYPE                                  DATA      AGE
db-user-pass-96mffmfh4k          Opaque                                2         51s

你可以看到 Secret 的描述：

kubectl describe secrets/db-user-pass-96mffmfh4k

输出类似于：

Name:            db-user-pass-96mffmfh4k
Namespace:       default
Labels:          <none>
Annotations:     <none>

Type:            Opaque

Data
====
password.txt:    12 bytes
username.txt:    5 bytes

kubectl get 和 kubectl describe 命令默认不显示 Secret 的内容。 这是为了防止 Secret 被意外暴露给旁观者或存储在终端日志中。 检查编码后的实际内容，请参考解码 secret。 -->

清理

删除你创建的 Secret：

kubectl delete secret db-user-pass-96mffmfh4k

接下来

• 进一步阅读 Secret 概念
• 了解如何使用 kubectl 命令管理 Secret
• 了解如何使用配置文件管理 Secret