使用 Secret 安全地分发凭证

本文展示如何安全地将敏感数据（如密码和加密密钥）注入到 Pods 中。

准备开始

你必须拥有一个 Kubernetes 的集群，同时你的 Kubernetes 集群必须带有 kubectl 命令行工具。 建议在至少有两个节点的集群上运行本教程，且这些节点不作为控制平面主机。 如果你还没有集群，你可以通过 Minikube 构建一个你自己的集群，或者你可以使用下面任意一个 Kubernetes 工具构建：

• Katacoda
• 玩转 Kubernetes

将 secret 数据转换为 base-64 形式

假设用户想要有两条 Secret 数据：用户名 my-app 和密码 39528$vdg7Jb。 首先使用 Base64 编码 将用户名和密码转化为 base-64 形式。 下面是一个使用常用的 base64 程序的示例：

echo -n 'my-app' | base64
echo -n '39528$vdg7Jb' | base64

结果显示 base-64 形式的用户名为 bXktYXBw， base-64 形式的密码为 Mzk1MjgkdmRnN0pi。

创建 Secret

这里是一个配置文件，可以用来创建存有用户名和密码的 Secret:

pods/inject/secret.yaml

apiVersion: v1
kind: Secret
metadata:
  name: test-secret
data:
  username: bXktYXBw
  password: Mzk1MjgkdmRnN0pi

1. 创建 Secret：

   kubectl apply -f https://k8s.io/examples/pods/inject/secret.yaml
   

2. 查看 Secret 相关信息：

   kubectl get secret test-secret
   

   输出：

   NAME          TYPE      DATA      AGE
   test-secret   Opaque    2         1m
   

3. 查看 Secret 相关的更多详细信息：

   kubectl describe secret test-secret
   

   输出：

   Name:       test-secret
   Namespace:  default
   Labels:     <none>
   Annotations:    <none>
   
   Type:   Opaque
   
   Data
   ====
   password:   13 bytes
   username:   7  bytes
   

直接用 kubectl 创建 Secret

如果你希望略过 Base64 编码的步骤，你也可以使用 kubectl create secret 命令直接创建 Secret。例如：

kubectl create secret generic test-secret --from-literal='username=my-app' --from-literal='password=39528$vdg7Jb'

这是一种更为方便的方法。 前面展示的详细分解步骤有助于了解究竟发生了什么事情。

创建一个可以通过卷访问 secret 数据的 Pod

这里是一个可以用来创建 pod 的配置文件：

pods/inject/secret-pod.yaml

apiVersion: v1
kind: Pod
metadata:
  name: secret-test-pod
spec:
  containers:
    - name: test-container
      image: nginx
      volumeMounts:
        # name must match the volume name below
        - name: secret-volume
          mountPath: /etc/secret-volume
  # The secret data is exposed to Containers in the Pod through a Volume.
  volumes:
    - name: secret-volume
      secret:
        secretName: test-secret

1. 创建 Pod：

   kubectl create -f secret-pod.yaml
   

2. 确认 Pod 正在运行：

   kubectl get pod secret-test-pod
   

   输出：

   NAME              READY     STATUS    RESTARTS   AGE
   secret-test-pod   1/1       Running   0          42m
   

3. 获取一个 shell 进入 Pod 中运行的容器：

   kubectl exec -it secret-test-pod -- /bin/bash
   

4. Secret 数据通过挂载在 /etc/secret-volume 目录下的卷暴露在容器中。

   在 shell 中，列举 /etc/secret-volume 目录下的文件：

   ls /etc/secret-volume
   

   输出包含两个文件，每个对应一个 Secret 数据条目：

   password username
   

5. 在 Shell 中，显示 username 和 password 文件的内容：

   # 在容器中 Shell 运行下面命令
   echo "$(cat /etc/secret-volume/username)"
   echo "$(cat /etc/secret-volume/password)"
   

   输出为用户名和密码：

   my-app
   39528$vdg7Jb
   

使用 Secret 数据定义容器变量

使用来自 Secret 中的数据定义容器变量

• 定义环境变量为 Secret 中的键值偶对：

  kubectl create secret generic backend-user --from-literal=backend-username='backend-admin'
  

• 在 Pod 规约中，将 Secret 中定义的值 backend-username 赋给 SECRET_USERNAME 环境变量

  pods/inject/pod-single-secret-env-variable.yaml

  apiVersion: v1
  kind: Pod
  metadata:
    name: env-single-secret
  spec:
    containers:
    - name: envars-test-container
      image: nginx
      env:
      - name: SECRET_USERNAME
        valueFrom:
          secretKeyRef:
            name: backend-user
            key: backend-username
  

• 创建 Pod：

  kubectl create -f https://k8s.io/examples/pods/inject/pod-single-secret-env-variable.yaml
  

• 在 Shell 中，显示容器环境变量 SECRET_USERNAME 的内容：

  kubectl exec -i -t env-single-secret -- /bin/sh -c 'echo $SECRET_USERNAME'
  

  输出为：

  backend-admin
  

使用来自多个 Secret 的数据定义环境变量

• 和前面的例子一样，先创建 Secret：

  kubectl create secret generic backend-user --from-literal=backend-username='backend-admin'
  kubectl create secret generic db-user --from-literal=db-username='db-admin'
  

• 在 Pod 规约中定义环境变量：

  pods/inject/pod-multiple-secret-env-variable.yaml

  apiVersion: v1
  kind: Pod
  metadata:
    name: envvars-multiple-secrets
  spec:
    containers:
    - name: envars-test-container
      image: nginx
      env:
      - name: BACKEND_USERNAME
        valueFrom:
          secretKeyRef:
            name: backend-user
            key: backend-username
      - name: DB_USERNAME
        valueFrom:
          secretKeyRef:
            name: db-user
            key: db-username
  

• 创建 Pod：

  kubectl create -f https://k8s.io/examples/pods/inject/pod-multiple-secret-env-variable.yaml
  

• 在你的 Shell 中，显示容器环境变量的内容：

  kubectl exec -i -t envvars-multiple-secrets -- /bin/sh -c 'env | grep _USERNAME'
  

  输出：

  DB_USERNAME=db-admin
  BACKEND_USERNAME=backend-admin
  

将 Secret 中的所有键值偶对定义为环境变量

• 创建包含多个键值偶对的 Secret：

  kubectl create secret generic test-secret --from-literal=username='my-app' --from-literal=password='39528$vdg7Jb'
  

• 使用 envFrom 来将 Secret 中的所有数据定义为环境变量。 Secret 中的键名成为容器中的环境变量名：

  pods/inject/pod-secret-envFrom.yaml

  apiVersion: v1
  kind: Pod
  metadata:
    name: envfrom-secret
  spec:
    containers:
    - name: envars-test-container
      image: nginx
      envFrom:
      - secretRef:
          name: test-secret
  

• 创建 Pod：

  kubectl create -f https://k8s.io/examples/pods/inject/pod-secret-envFrom.yaml
  

• 在 Shell 中，显示环境变量 username 和 password 的内容：

  kubectl exec -i -t envfrom-secret -- /bin/sh -c 'echo "username: $username\npassword: $password\n"'
  

  输出为：

  username: my-app
  password: 39528$vdg7Jb
  

参考

• Secret
• Volume
• Pod

接下来

• 进一步了解 Secret。
• 了解 Volumes。