在 Kubernetes 裡,Secret 就像是一個保險箱,可以放你任何不想公開的東西。比如說密碼、API 金鑰、憑證等,這樣的資料可能會被放在 Pod 裡,但你可以用 Secret 來避免直接在應用程式的程式碼中暴露這些機密資料。 可以說 Secret 就像是 ConfigMap 的一個好朋友,但更專門用來保護機密資料的地方。
最主要的用意是保護你的敏感資訊,不讓它們在 Pod 或容器中以明文流傳。這樣可以讓我們的應用程式變得更安全,減少機密資訊外洩的風險。還能讓你的秘密資料在不同 Pod 之間分享,並且保有安全性。
apiVersion: v1
kind: Secret
metadata:
name: my-secret
data:
username: YWRtaW4= # Base64 編碼的 "admin"
password: c2VjcmV0cGFzc3dvcmQ= # Base64 編碼的 "secretpassword"
2. 宣告式
kubectl create secret generic my-secret --from-literal=username=admin --from-literal=password=secretpassword
kubectl create secret generic my-secret --from-file=path/to/username.txt --from-file=path/to/password.txt
我們可以用剛剛創建的 my-secret
來做以下的範例
apiVersion: v1
kind: Pod
metadata:
name: secret-env-demo-pod
spec:
containers:
- name: demo-container
image: busybox
command: ["/bin/sh", "-c", "echo Username: $USERNAME && echo Password: $PASSWORD"]
env:
- name: USERNAME
valueFrom:
secretKeyRef:
name: my-secret
key: username
- name: PASSWORD
valueFrom:
secretKeyRef:
name: my-secret
key: password
restartPolicy: Never
透過kubectl logs secret-env-demo-pod
查看log
Username: admin
Password: secretpassword
2. 將secret掛載到一個或多個容器
apiVersion: v1
kind: Pod
metadata:
name: secret-volume-demo-pod
spec:
containers:
- name: first-container
image: busybox
command: ["/bin/sh", "-c", "cat /etc/secret/username"]
volumeMounts:
- name: secret-volume
mountPath: /etc/secret
- name: second-container
image: busybox
command: ["/bin/sh", "-c", "cat /etc/secret/password"]
volumeMounts:
- name: secret-volume
mountPath: /etc/secret
volumes:
- name: secret-volume
secret:
secretName: my-secret
使用以下命令檢查輸出
kubectl logs secret-volume-demo-pod -c first-container
kubectl logs secret-volume-demo-pod -c second-container
output
## first-container
admin
## second-container
secretpassword
3. secret作為拉取private registry image時使用
apiVersion: v1
kind: Pod
metadata:
name: secret-imagepull-demo-pod
spec:
containers:
- name: demo-container
image: <private_registry_image>
imagePullSecrets:
- name: my-secret