Kubernetes 使用Secret安全地分發(fā)憑證

使用 Secret 安全地分發(fā)憑證

本文展示如何安全地將敏感數(shù)據(jù)（如密碼和加密密鑰）注入到 Pods 中。

在開始之前

你必須擁有一個 Kubernetes 的集群，同時你的 Kubernetes 集群必須帶有 kubectl 命令行工具。 建議在至少有兩個節(jié)點的集群上運行本教程，且這些節(jié)點不作為控制平面主機。 如果你還沒有集群，你可以通過 Minikube 構(gòu)建一個你自己的集群，或者你可以使用下面任意一個 Kubernetes 工具構(gòu)建：

• Katacoda
• 玩轉(zhuǎn) Kubernetes

將 secret 數(shù)據(jù)轉(zhuǎn)換為 base-64 形式 

假設(shè)用戶想要有兩條 Secret 數(shù)據(jù)：用戶名 ?my-app? 和密碼 ?39528$vdg7Jb?。 首先使用 Base64 編碼 將用戶名和密碼轉(zhuǎn)化為 base-64 形式。 下面是一個使用常用的 base64 程序的示例：

echo -n 'my-app' | base64
echo -n '39528$vdg7Jb' | base64

結(jié)果顯示 base-64 形式的用戶名為 ?bXktYXBw?， base-64 形式的密碼為 ?Mzk1MjgkdmRnN0pi?。

注意： 使用你的操作系統(tǒng)所能信任的本地工具以降低使用外部工具的風(fēng)險。

創(chuàng)建 Secret

這里是一個配置文件，可以用來創(chuàng)建存有用戶名和密碼的 Secret:

apiVersion: v1
kind: Secret
metadata:
  name: test-secret
data:
  username: bXktYXBw
  password: Mzk1MjgkdmRnN0pi

1. 創(chuàng)建 Secret：

kubectl apply -f https://k8s.io/examples/pods/inject/secret.yaml

2. 查看 Secret 相關(guān)信息：

   kubectl get secret test-secret
   

   輸出：

   NAME          TYPE      DATA      AGE
   test-secret   Opaque    2         1m

3. 查看 Secret 相關(guān)的更多詳細(xì)信息：

   kubectl describe secret test-secret
   

   輸出：

   Name:       test-secret
   Namespace:  default
   Labels:     <none>
   Annotations:    <none>
   
   Type:   Opaque
   
   Data
   ====
   password:   13 bytes
   username:   7  bytes

直接用 kubectl 創(chuàng)建 Secret

如果你希望略過 Base64 編碼的步驟，你也可以使用 ?kubectl create secret? 命令直接創(chuàng)建 Secret。例如：

kubectl create secret generic test-secret --from-literal='username=my-app' --from-literal='password=39528$vdg7Jb'

這是一種更為方便的方法。 前面展示的詳細(xì)分解步驟有助于了解究竟發(fā)生了什么事情。

創(chuàng)建一個可以通過卷訪問 secret 數(shù)據(jù)的 Pod

這里是一個可以用來創(chuàng)建 pod 的配置文件：

apiVersion: v1
kind: Pod
metadata:
  name: secret-test-pod
spec:
  containers:
    - name: test-container
      image: nginx
      volumeMounts:
        # name must match the volume name below
        - name: secret-volume
          mountPath: /etc/secret-volume
  # The secret data is exposed to Containers in the Pod through a Volume.
  volumes:
    - name: secret-volume
      secret:
        secretName: test-secret

1. 創(chuàng)建 Pod：

kubectl create -f secret-pod.yaml

2. 確認(rèn) Pod 正在運行：

   kubectl get pod secret-test-pod
   

   輸出：

   NAME              READY     STATUS    RESTARTS   AGE
   secret-test-pod   1/1       Running   0          42m

3. 獲取一個 shell 進入 Pod 中運行的容器：

   kubectl exec -it secret-test-pod -- /bin/bash
   

4. Secret 數(shù)據(jù)通過掛載在 ?/etc/secret-volume? 目錄下的卷暴露在容器中。

   在 shell 中，列舉 ?/etc/secret-volume? 目錄下的文件：

   ls /etc/secret-volume
   

   輸出包含兩個文件，每個對應(yīng)一個 Secret 數(shù)據(jù)條目：

   password username
   

5. 在 Shell 中，顯示 ?username ?和 ?password ?文件的內(nèi)容：

   # 在容器中 Shell 運行下面命令
   echo "$(cat /etc/secret-volume/username)"
   echo "$(cat /etc/secret-volume/password)"

   輸出為用戶名和密碼：

   my-app
   39528$vdg7Jb

使用 Secret 數(shù)據(jù)定義容器變量

使用來自 Secret 中的數(shù)據(jù)定義容器變量 

• 定義環(huán)境變量為 Secret 中的鍵值偶對：

kubectl create secret generic backend-user --from-literal=backend-username='backend-admin'

• 在 Pod 規(guī)約中，將 Secret 中定義的值 ?backend-username? 賦給 ?SECRET_USERNAME ?環(huán)境變量

  apiVersion: v1
  kind: Pod
  metadata:
    name: env-single-secret
  spec:
    containers:
    - name: envars-test-container
      image: nginx
      env:
      - name: SECRET_USERNAME
        valueFrom:
          secretKeyRef:
            name: backend-user
            key: backend-username
  

• 創(chuàng)建 Pod：

  kubectl create -f https://k8s.io/examples/pods/inject/pod-single-secret-env-variable.yaml
  

• 在 Shell 中，顯示容器環(huán)境變量 ?SECRET_USERNAME ?的內(nèi)容：

  kubectl exec -i -t env-single-secret -- /bin/sh -c 'echo $SECRET_USERNAME'
  

  輸出為：

  backend-admin
  

使用來自多個 Secret 的數(shù)據(jù)定義環(huán)境變量

• 和前面的例子一樣，先創(chuàng)建 Secret：

kubectl create secret generic backend-user --from-literal=backend-username='backend-admin'
kubectl create secret generic db-user --from-literal=db-username='db-admin'

• 在 Pod 規(guī)約中定義環(huán)境變量：

  apiVersion: v1
  kind: Pod
  metadata:
    name: envvars-multiple-secrets
  spec:
    containers:
    - name: envars-test-container
      image: nginx
      env:
      - name: BACKEND_USERNAME
        valueFrom:
          secretKeyRef:
            name: backend-user
            key: backend-username
      - name: DB_USERNAME
        valueFrom:
          secretKeyRef:
            name: db-user
            key: db-username
  

• 創(chuàng)建 Pod：

  kubectl create -f https://k8s.io/examples/pods/inject/pod-multiple-secret-env-variable.yaml
  

• 在你的 Shell 中，顯示容器環(huán)境變量的內(nèi)容：

  kubectl exec -i -t envvars-multiple-secrets -- /bin/sh -c 'env | grep _USERNAME'
  

  輸出：

  DB_USERNAME=db-admin
  BACKEND_USERNAME=backend-admin

將 Secret 中的所有鍵值偶對定義為環(huán)境變量 

說明： 此功能在 Kubernetes 1.6 版本之后可用。

• 創(chuàng)建包含多個鍵值偶對的 Secret：

kubectl create secret generic test-secret --from-literal=username='my-app' --from-literal=password='39528$vdg7Jb'

• 使用 ?envFrom ?來將 Secret 中的所有數(shù)據(jù)定義為環(huán)境變量。 Secret 中的鍵名成為容器中的環(huán)境變量名：

  apiVersion: v1
  kind: Pod
  metadata:
    name: envfrom-secret
  spec:
    containers:
    - name: envars-test-container
      image: nginx
      envFrom:
      - secretRef:
          name: test-secret
  

• 創(chuàng)建 Pod：

  kubectl create -f https://k8s.io/examples/pods/inject/pod-secret-envFrom.yaml
  

• 在 Shell 中，顯示環(huán)境變量 ?username ?和 ?password ?的內(nèi)容：

  kubectl exec -i -t envfrom-secret -- /bin/sh -c 'echo "username: $username\npassword: $password\n"'
  

  輸出為：

  username: my-app
  password: 39528$vdg7Jb