管理 Secrets

• 1: 使用 kubectl 管理 Secret
• 2: 使用配置文件管理 Secret
• 3: 使用 Kustomize 管理 Secret

1 - 使用 kubectl 管理 Secret

准备开始

你必须拥有一个 Kubernetes 的集群，同时你的 Kubernetes 集群必须带有 kubectl 命令行工具。 建议在至少有两个节点的集群上运行本教程，且这些节点不作为控制平面主机。 如果你还没有集群，你可以通过 Minikube 构建一个你自己的集群，或者你可以使用下面任意一个 Kubernetes 工具构建：

• Killercoda
• 玩转 Kubernetes

创建 Secret

一个 Secret 可以包含 Pod 访问数据库所需的用户凭证。 例如，由用户名和密码组成的数据库连接字符串。 你可以在本地计算机上，将用户名存储在文件 ./username.txt 中，将密码存储在文件 ./password.txt 中。

echo -n 'admin' > ./username.txt
echo -n '1f2d1e2e67df' > ./password.txt

在这些命令中，-n 标志确保生成的文件在文本末尾不包含额外的换行符。 这一点很重要，因为当 kubectl 读取文件并将内容编码为 base64 字符串时，多余的换行符也会被编码。

kubectl create secret 命令将这些文件打包成一个 Secret 并在 API 服务器上创建对象。

kubectl create secret generic db-user-pass \
  --from-file=./username.txt \
  --from-file=./password.txt

输出类似于：

secret/db-user-pass created

默认密钥名称是文件名。 你可以选择使用 --from-file=[key=]source 来设置密钥名称。例如：

kubectl create secret generic db-user-pass \
  --from-file=username=./username.txt \
  --from-file=password=./password.txt

你不需要对文件中包含的密码字符串中的特殊字符进行转义。

你还可以使用 --from-literal=<key>=<value> 标签提供 Secret 数据。 可以多次使用此标签，提供多个键值对。 请注意，特殊字符（例如：$，\，*，= 和 !）由你的 shell 解释执行，而且需要转义。

在大多数 shell 中，转义密码最简便的方法是用单引号括起来。 比如，如果你的密码是 S!B\*d$zDsb=， 可以像下面一样执行命令：

kubectl create secret generic db-user-pass \
  --from-literal=username=devuser \
  --from-literal=password='S!B\*d$zDsb='

验证 Secret

检查 secret 是否已创建：

kubectl get secrets

输出类似于：

NAME                  TYPE                                  DATA      AGE
db-user-pass          Opaque                                2         51s

你可以查看 Secret 的描述：

kubectl describe secrets/db-user-pass

输出类似于：

Name:            db-user-pass
Namespace:       default
Labels:          <none>
Annotations:     <none>

Type:            Opaque

Data
====
password:    12 bytes
username:    5 bytes

kubectl get 和 kubectl describe 命令默认不显示 Secret 的内容。 这是为了防止 Secret 被意外暴露或存储在终端日志中。

查看编码数据的实际内容，请参考解码 Secret。

解码 Secret

要查看创建的 Secret 的内容，运行以下命令：

kubectl get secret db-user-pass -o jsonpath='{.data}'

输出类似于：

{"password":"MWYyZDFlMmU2N2Rm","username":"YWRtaW4="}

现在你可以解码 password 的数据：

# 这是一个用于文档说明的示例。
# 如果你这样做，数据 'MWYyZDFlMmU2N2Rm' 可以存储在你的 shell 历史中。
# 可以进入你电脑的人可以找到那个记住的命令并可以在你不知情的情况下 base-64 解码这个 Secret。
# 通常最好将这些步骤结合起来，如页面后面所示。
echo 'MWYyZDFlMmU2N2Rm' | base64 --decode

输出类似于：

1f2d1e2e67df

为了避免在 shell 历史记录中存储 Secret 的编码值，可以执行如下命令:

kubectl get secret db-user-pass -o jsonpath='{.data.password}' | base64 --decode

输出应与上述类似。

清理

删除创建的 Secret：

kubectl delete secret db-user-pass

接下来

• 进一步阅读 Secret 概念
• 了解如何使用配置文件管理 Secret
• 了解如何使用 kustomize 管理 Secret

2 - 使用配置文件管理 Secret

准备开始

你必须拥有一个 Kubernetes 的集群，同时你的 Kubernetes 集群必须带有 kubectl 命令行工具。 建议在至少有两个节点的集群上运行本教程，且这些节点不作为控制平面主机。 如果你还没有集群，你可以通过 Minikube 构建一个你自己的集群，或者你可以使用下面任意一个 Kubernetes 工具构建：

• Killercoda
• 玩转 Kubernetes

创建 Secret

你可以先用 JSON 或 YAML 格式在一个清单文件中定义 Secret 对象，然后创建该对象。 Secret 资源包含 2 个键值对：data 和 stringData。 data 字段用来存储 base64 编码的任意数据。 提供 stringData 字段是为了方便，它允许 Secret 使用未编码的字符串。 data 和 stringData 的键必须由字母、数字、-、_ 或 . 组成。

以下示例使用 data 字段在 Secret 中存储两个字符串：

1. 将这些字符串转换为 base64：

   echo -n 'admin' | base64
   echo -n '1f2d1e2e67df' | base64
   

   说明：

   Secret 数据的 JSON 和 YAML 序列化结果是以 base64 编码的。 换行符在这些字符串中无效，必须省略。 在 Darwin/macOS 上使用 base64 工具时，用户不应该使用 -b 选项分割长行。 相反地，Linux 用户应该在 base64 地命令中添加 -w 0 选项， 或者在 -w 选项不可用的情况下，输入 base64 | tr -d '\n'。

   输出类似于：

   YWRtaW4=
   MWYyZDFlMmU2N2Rm
   

2. 创建清单：

   apiVersion: v1
   kind: Secret
   metadata:
     name: mysecret
   type: Opaque
   data:
     username: YWRtaW4=
     password: MWYyZDFlMmU2N2Rm
   

   注意，Secret 对象的名称必须是有效的 DNS 子域名。

3. 使用 kubectl apply 创建 Secret：

   kubectl apply -f ./secret.yaml
   

   输出类似于：

   secret/mysecret created
   

若要验证 Secret 被创建以及想要解码 Secret 数据， 请参阅使用 kubectl 管理 Secret

创建 Secret 时提供未编码的数据

对于某些场景，你可能希望使用 stringData 字段。 这个字段可以将一个非 base64 编码的字符串直接放入 Secret 中， 当创建或更新该 Secret 时，此字段将被编码。

上述用例的实际场景可能是这样：当你部署应用时，使用 Secret 存储配置文件， 你希望在部署过程中，填入部分内容到该配置文件。

例如，如果你的应用程序使用以下配置文件:

apiUrl: "https://my.api.com/api/v1"
username: "<user>"
password: "<password>"

你可以使用以下定义将其存储在 Secret 中:

apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
stringData:
  config.yaml: |
    apiUrl: "https://my.api.com/api/v1"
    username: <user>
    password: <password>    

当你检索 Secret 数据时，此命令将返回编码的值，并不是你在 stringData 中提供的纯文本值。

例如，如果你运行以下命令：

kubectl get secret mysecret -o yaml

输出类似于：

apiVersion: v1
data:
  config.yaml: YXBpVXJsOiAiaHR0cHM6Ly9teS5hcGkuY29tL2FwaS92MSIKdXNlcm5hbWU6IHt7dXNlcm5hbWV9fQpwYXNzd29yZDoge3twYXNzd29yZH19
kind: Secret
metadata:
  creationTimestamp: 2018-11-15T20:40:59Z
  name: mysecret
  namespace: default
  resourceVersion: "7225"
  uid: c280ad2e-e916-11e8-98f2-025000000001
type:

同时指定 data 和 stringData

如果你在 data 和 stringData 中设置了同一个字段，则使用来自 stringData 中的值。

例如，如果你定义以下 Secret：

apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  username: YWRtaW4=
stringData:
  username: administrator

所创建的 Secret 对象如下：

apiVersion: v1
data:
  username: YWRtaW5pc3RyYXRvcg==
kind: Secret
metadata:
  creationTimestamp: 2018-11-15T20:46:46Z
  name: mysecret
  namespace: default
  resourceVersion: "7579"
  uid: 91460ecb-e917-11e8-98f2-025000000001
type: Opaque

YWRtaW5pc3RyYXRvcg== 解码成 administrator。

编辑 Secret

要编辑使用清单创建的 Secret 中的数据，请修改清单中的 data 或 stringData 字段并将此清单文件应用到集群。 你可以编辑现有的 Secret 对象，除非它是不可变的。

例如，如果你想将上一个示例中的密码更改为 birdsarentreal，请执行以下操作：

1. 编码新密码字符串：

   echo -n 'birdsarentreal' | base64
   

   输出类似于：

   YmlyZHNhcmVudHJlYWw=
   

2. 使用你的新密码字符串更新 data 字段：

   apiVersion: v1
   kind: Secret
   metadata:
     name: mysecret
   type: Opaque
   data:
     username: YWRtaW4=
     password: YmlyZHNhcmVudHJlYWw=
   

3. 将清单应用到你的集群：

   kubectl apply -f ./secret.yaml
   

   输出类似于：

   secret/mysecret configured
   

Kubernetes 更新现有的 Secret 对象。具体而言，kubectl 工具发现存在一个同名的现有 Secret 对象。 kubectl 获取现有对象，计划对其进行更改，并将更改后的 Secret 对象提交到你的集群控制平面。

如果你指定了 kubectl apply --server-side，则 kubectl 使用服务器端应用（Server-Side Apply）。

清理

删除你创建的 Secret：

kubectl delete secret mysecret

接下来

• 进一步阅读 Secret 概念
• 了解如何使用 kubectl 管理 Secret
• 了解如何使用 kustomize 管理 Secret

3 - 使用 Kustomize 管理 Secret

kubectl 支持使用 Kustomize 对象管理工具来管理 Secret 和 ConfigMap。你可以使用 Kustomize 创建资源生成器（Resource Generator）， 该生成器会生成一个 Secret，让你能够通过 kubectl 应用到 API 服务器。

准备开始

你必须拥有一个 Kubernetes 的集群，同时你的 Kubernetes 集群必须带有 kubectl 命令行工具。 建议在至少有两个节点的集群上运行本教程，且这些节点不作为控制平面主机。 如果你还没有集群，你可以通过 Minikube 构建一个你自己的集群，或者你可以使用下面任意一个 Kubernetes 工具构建：

• Killercoda
• 玩转 Kubernetes

创建 Secret

你可以在 kustomization.yaml 文件中定义 secreteGenerator 字段， 并在定义中引用其它本地文件、.env 文件或文字值生成 Secret。 例如：下面的指令为用户名 admin 和密码 1f2d1e2e67df 创建 Kustomization 文件。

创建 Kustomization 文件

• 文字
• 文件
• .env 文件

secretGenerator:
- name: database-creds
  literals:
  - username=admin
  - password=1f2d1e2e67df

secretGenerator:
- name: db-user-pass
  envs:
  - .env.secret

在所有情况下，你都不需要对取值作 base64 编码。 YAML 文件的名称必须是 kustomization.yaml 或 kustomization.yml。

应用 kustomization 文件

若要创建 Secret，应用包含 kustomization 文件的目录。

kubectl apply -k <目录路径>

输出类似于：

secret/database-creds-5hdh7hhgfk created

生成 Secret 时，Secret 的名称最终是由 name 字段和数据的哈希值拼接而成。 这将保证每次修改数据时生成一个新的 Secret。

要验证 Secret 是否已创建并解码 Secret 数据， 请参阅使用 kubectl 管理 Secret。

编辑 Secret

1. 在 kustomization.yaml 文件中，修改诸如 password 等数据。
2. 应用包含 kustomization 文件的目录：

kubectl apply -k <directory-path>

输出类似于：

secret/db-user-pass-6f24b56cc8 created

编辑过的 Secret 被创建为一个新的 Secret 对象，而不是更新现有的 Secret 对象。 你可能需要在 Pod 中更新对该 Secret 的引用。

清理

要删除 Secret，请使用 kubectl：

kubectl delete secret db-user-pass-96mffmfh4k

接下来

• 进一步阅读 Secret 概念
• 了解如何使用 kubectl 命令管理 Secret
• 了解如何使用配置文件管理 Secret