备战CKA每日一题——第9天 | secret类型、创建、Pod使用以及ServiceAccount关联Secret,网络隔离考题引出

昨日考题

创建Secret名为cka1127-secret,内含有password字段,值为cka1127,然后在名为cka1127-01的Pod1里使用ENV进行调用,名为cka1127-02的Pod2里使用Volume挂载在/data 下;
注意:提交评论:包含命令和yaml,以及注意点。可分多次评论。

昨日答案

创建secret方式一
cka1127-secret.yaml可以是以下这样:

apiVersion: v1
kind: Secret
metadata:
  name: cka1127-secret
type: Opaque
stringData:
  cka1127-password: cka1127

创建

[root@liabio test]# kubectl apply -f  cka-1127-secret.yaml 
secret/cka1127-secret created

创建secret方式二

kubectl create secret generic cka1127-secret --from-literal=password=cka1127

名为cka1127-01的Pod yaml

apiVersion: v1
kind: Pod
metadata:
  name: cka1127-01
spec:
  containers:
  - name: nginx
    image: nginx
    volumeMounts:
    - name: pwd
      mountPath: /data/password
      readOnly: true
  volumes:
  - name: pwd
    secret:
      secretName: cka1127-secret

名为cka1127-02的Pod yaml

apiVersion: v1
kind: Pod
metadata:
  name: cka1127-02
spec:
  containers:
  - image: nginx
    name: nginx
    env:
    - name: PASSWORD
      valueFrom:
        secretKeyRef:
          name: cka1127-secret
          key: password

volume形式验证,保证/data/password/下有password文件,文件内容为明文cka1127

[root@liabio ~]# kubectl exec -ti cka1127-01 sh
# 
# ls -l /data/password
total 0
lrwxrwxrwx 1 root root 15 Nov 28 00:40 password -> ..data/password
# cat /data/password/password
cka1127# 
# 

环境变量形式验证,保证env能查到name为PASSWORD的环境变量;

[root@liabio test]# kubectl exec -ti cka1127-02  bash
root@cka1127-02:/# 
root@cka1127-02:/# echo $PASSWORD
cka1127
root@cka1127-02:/#

昨日解析

secret官方文档:
https://kubernetes.io/docs/concepts/configuration/secret/

secret简介

Kubernetes中的Secret资源可以用来存储密码、Token、秘钥等敏感数据, 将这些敏感信息保存在Secret中,相对于暴露到Pod、镜像中更加的安全和灵活。

你可能会觉得,secret一般不会用到,实际上在创建Pod时,Kubernetes会自动创建包含用于访问API的凭据的secret(由kube-controller-managerservice account token controller控制),并且它会自动修改Pod以使用这种类型的secret(这个由Admission Controller来控制)。

k8s每个namespace都会有一个Service Account,当我们创建namespace时,service account controller会监听namespace的创建,会在该namespace中创建一个名为default的Service Account,同时service account token controller会监听Service Account的创建,创建对应的secret,并将这个secret绑定到Service Account。

[root@liabio test]# kubectl create ns cka
namespace/cka created
[root@liabio test]# 
[root@liabio test]# kubectl get sa -n cka
NAME      SECRETS   AGE
default   1         11s
[root@liabio test]# kubectl get secrets -n cka
NAME                  TYPE                                  DATA   AGE
default-token-r77xn   kubernetes.io/service-account-token   3      18s
[root@liabio test]# 
在这里插入图片描述

当我们创建Pod时,如果未指定Service Account,则默认会在同一命令空间namespace中自动为其分配Service Account。则可以看到该spec.serviceAccountName字段已被自动设置。


在这里插入图片描述

您可以使用自动添加的Service Account凭据从Pod内部访问API,Service Account的API权限取决于所使用的授权插件和策略。

有关Service Account如何工作的更多信息,请参见文档:
https://kubernetes.io/docs/tasks/configure-pod-container/configure-service-account/

Secret的类型

--type指定创建的秘密类型,Kubernetes内置了三种类型的Secret

kubernetes.io/service-account-token Secret

上面我们已经讲到,为了能从Pod内部访问Kubernetes API,Kubernetes提供了Service Account资源。 Service Account会自动创建和挂载访问Kubernetes API的Secret,会挂载到Pod的 /var/run/secrets/kubernetes.io/serviceaccount目录中。 namespace创建时自动创建的Service Account用到的Secret就是这种类型的。


在这里插入图片描述
Opaque Secret

Opaque类型的Secret是一个map结构(key-value),其中vlaue要求以base64格式编码,以下示例中基本都为Opaque类型的Secret。

kubernetes.io/dockerconfigjson Secret

kubernetes.io/dockercfg类型的Secret用于存放私有Docker Registry的认证信息。 当Kubernetes在创建Pod并且需要从私有Docker Registry pull镜像时,需要使用认证信息,就会用到kubernetes.io/dockercfg类型的Secret。

kubectl create secret docker-registry cka-regsecret \
--docker-server=coderaction \
--docker-username=admin \
--docker-password=123456 \
--docker-email=837448191@qq.com
在这里插入图片描述

在创建Pod时需要在Pod的spec中按如下形式使用:

apiVersion: v1
kind: Pod
metadata:
  name: cka-private-reg
spec:
  containers:
    - name: cka-private-reg-container
      image: nginx
  imagePullSecrets:
    - name: cka-regsecret

可以参考官方文档:
https://kubernetes.io/docs/concepts/containers/images/#specifying-imagepullsecrets-on-a-pod

给分区默认的ServiceAccount添加imagePullSecrets,以至于创建的所有Pod可以自动添加spec.imagePullSecrets,详情参考官方文档:
https://kubernetes.io/docs/tasks/configure-pod-container/configure-service-account/#add-imagepullsecrets-to-a-service-account

secret创建

kubectl创建secret

kubectl创建seccret官方文档:
https://kubernetes.io/docs/reference/generated/kubectl/kubectl-commands#-em-secret-em-

格式:

kubectl create secret generic NAME [--type=string] [--from-file=[key=]source] [--from-literal=key1=value1] [--dry-run]

--from-literal:指定要插入的键和文字值(即mykey = somevalue),value为明文值,创建后会被base64编码;
--from-file:可以使用密钥文件的文件路径指定密钥文件,在这种情况下,将为它们指定默认名称;或者可以选择使用指定目录,这样将迭代该目录中的每个有效文件密钥。
--type:创建的秘密类型,上面已经介绍过三种类型;
--dry-run:如果为true,则仅打印将要向APIServer发送创建的对象,而不发送它。默认false;

使用--from-file创建

[root@liabio cka]# echo -n 'admin' > ./username
[root@liabio cka]# echo -n 'test123' > ./password
[root@liabio cka]# echo -n 'shanghai' > ./city
[root@liabio cka]# ll
total 12
-rw-r--r-- 1 root root 9 Nov 28 20:44 city
-rw-r--r-- 1 root root 8 Nov 28 20:43 password
-rw-r--r-- 1 root root 6 Nov 28 20:43 username
[root@liabio cka]# kubectl create secret generic test-cka1127-01 --from-file=./username --from-file=./password
secret/test-cka1127-01 created
[root@liabio cka]# kubectl create secret generic test-cka1127-02 --from-file=./
secret/test-cka1127-02 created
[root@liabio cka]# 

以指定目录创建的secret,查看到目录下所有文件都被加到data下:

kubectl get secrets test-cka1127-02 -oyaml
apiVersion: v1
data:
  city: c2hhbmdoYWkK
  password: dGVzdDEyMwo=
  username: YWRtaW4K
kind: Secret
metadata:
  creationTimestamp: "2019-11-28T12:44:57Z"
  name: test-cka1127-02
  namespace: default
  resourceVersion: "14636360"
  selfLink: /api/v1/namespaces/default/secrets/test-cka1127-02
  uid: 4a3a1a5d-09e6-4bf9-bbe3-3300db1ddf7a
type: Opaque

指定username和password创建的secret:

kubectl get secrets test-cka1127-01 -oyaml
apiVersion: v1
data:
  password: dGVzdDEyMwo=
  username: YWRtaW4K
kind: Secret
metadata:
  creationTimestamp: "2019-11-28T12:44:47Z"
  name: test-cka1127-01
  namespace: default
  resourceVersion: "14636347"
  selfLink: /api/v1/namespaces/default/secrets/test-cka1127-01
  uid: 766516a2-34be-4a18-b4e2-83751a6cd2b7
type: Opaque

默认情况下,kubectl describe 命令能避免显示文件的内容。这可以防止将 secret 中的内容暴露给从终端日志记录中刻意寻找它们的人。

特殊字符,例如$,\,*,和!需要逃逸。在大多数常见的shell中,最简单的转义密码方法是用单引号(')引起来。例如,如果您的实际密码是S!B*d$zDsb,则应以这种方式执行命令:

kubectl create secret generic dev-db-secret
--from-literal=username=devuser --from-literal=password='S!B*d$zDsb' 您无需从文件(--from-file)中转义密码中的特殊字符。

手动创建秘密

还可以先在文件中以json或yaml格式创建一个Secret,然后创建该对象。该secret包含两种:data和是stringData是。data字段用于存储使用base64编码的任意数据。提供stringData字段是为了方便起见,它允许提供未编码的字符串。

例如,要使用data将两个字符串存储在Secret中,请按如下所示将它们转换为base64:

echo -n 'admin' | base64
YWRtaW4=
echo -n '1f2d1e2e67df' | base64
MWYyZDFlMmU2N2Rm

注意:在转base64编码时,一定记得加-n参数,否则可能会遇到坑。

然后创建以下yaml,最终kubectl apply

apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  username: YWRtaW4=
  password: MWYyZDFlMmU2N2Rm

如果用以下yaml创建,注意到用了stringData,user的值为coderaction明文。

apiVersion: v1
kind: Secret
metadata:
  name: cka1127-secret-02
type: Opaque
stringData:
  user: coderaction

执行kubectl apply后查看:

apiVersion: v1
data:
  user: Y29kZXJhY3Rpb24=
kind: Secret
metadata:
  name: cka1127-secret-02
type: Opaque

Y29kZXJhY3Rpb24=解码为coderaction

[root@liabio cka]# echo Y29kZXJhY3Rpb24= | base64 -d
coderaction

data和stringData的键必须由字母数字字符“-”,“ _”或“。”组成。

编码注意:secret数据的序列化JSON和YAML值被编码为base64字符串。换行符在这些字符串中无效,因此必须省略。base64在Darwin/macOS上使用该实用程序时,用户应避免使用该-b选项来分隔长行。相反,如果选项不可用,Linux用户应将选项添加-w 0到base64命令或管道中。base64 | tr -d '\n'-w

从生成器创建秘密

从1.14开始,Kubectl支持使用Kustomize管理对象。使用此新功能,您还可以从生成器创建一个Secret,然后将其应用于在Apiserver上创建对象。

使用Secret

将secret所有内容挂载为Pod里的文件

apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: mypod
    image: redis
    volumeMounts:
    - name: foo
      mountPath: "/etc/foo"
      readOnly: true
  volumes:
  - name: foo
    secret:
      secretName: mysecret

这样Pod中的/etc/foo目录下会生成mysecret中的所有映射文件。

将密钥投影到特定路径

我们还可以控制secret映射到卷中的路径。您可以使用.spec.volumes[].secret.items更改每个键的目标路径:

apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: mypod
    image: redis
    volumeMounts:
    - name: foo
      mountPath: "/etc/foo"
      readOnly: true
  volumes:
  - name: foo
    secret:
      secretName: mysecret
      items:
      - key: username
        path: my-group/my-username

这样Pod中username存储在/etc/foo/my-group/my-username文件而非/etc/foo/username;而且没有password的映射文件。

secret文件权限

apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: mypod
    image: nginx
    volumeMounts:
    - name: foo
      mountPath: "/etc/foo"
  volumes:
  - name: foo
    secret:
      secretName: cka1127-secret
      defaultMode: 256

然后,Secret将被挂载到/etc/foo并且由Secret卷挂载创建的所有文件权限为0400;

请注意,JSON规范不支持八进制表示法,因此对于0400权限,请使用值256。如果您使用yaml而不是json描述Pod,则可以使用八进制表示法以更自然的方式指定权限。

也可以像前面的示例一样使用映射,并为不同的文件指定不同的权限,如下所示:

apiVersion: v1
kind: Pod
metadata:
  name: mypod-1
spec:
  containers:
  - name: mypod
    image: nginx
    volumeMounts:
    - name: foo
      mountPath: "/etc/foo"
  volumes:
  - name: foo
    secret:
      secretName: cka1127-secret-02
      items:
      - key: user
        path: my-group/my-username
        mode: 511

mode值511为十进制,在这种情况下,生成的文件的/etc/foo/my-group/my-username许可权值为八进制0777。由于JSON的限制,您必须以十进制表示法指定mode。

请注意,如果稍后阅读此权限值,则可能会以十进制表示法显示。

环境变量

Pod中通过环境变量引用Secret和题目答案一样,不做累述;

以上事例来自于官方文档。方便大家学习。

今日考题

部署三个deployment应用(A,B,C),允许A访问B应用,但是不允许C访问B应用。

  • Deployment的名称为cka-1128-01,cka-1128-02,cka-1128-03
  • Network Policy的名称为cka-1128-np
    注意:将所用命令、创建的deployment以及network policy完整yaml、以及证明A可以访问B应用;C不允许访问B应用。可分多次评论。

作者简介

作者:小碗汤,一位热爱、认真写作的小伙,目前维护原创公众号:『我的小碗汤』,专注于写linux、golang、docker、kubernetes等知识等提升硬实力的文章,期待你的关注。转载说明:务必注明来源(注明:来源于公众号:我的小碗汤, 作者:小碗汤)

作者简洁

作者:小碗汤,一位热爱、认真写作的小伙,目前维护原创公众号:『我的小碗汤』,专注于写go语言、docker、kubernetes、java等开发、运维知识等提升硬实力的文章,期待你的关注。转载说明:务必注明来源(注明:来源于公众号:我的小碗汤,作者:小碗汤)

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 204,293评论 6 478
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,604评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 150,958评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,729评论 1 277
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,719评论 5 366
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,630评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,000评论 3 397
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,665评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,909评论 1 299
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,646评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,726评论 1 330
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,400评论 4 321
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,986评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,959评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,197评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 44,996评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,481评论 2 342

推荐阅读更多精彩内容