创建Secret的方式有很多,可以使用命令行工具Kubectl或者通过YAML/JSON文件创建等。下面内容创建的是通用型Opaque的secret
一、使用Kubectl命令行创建Secret¶
假设有些Pod需要访问数据库,可以将账户、密码存储在username.txt和password.txt文件中,然后以文件的形式创建Secret供Pod使用。
1.将凭据保存到文件,其中-n 标志用来确保生成文件的文末没有多余的换行符。这很重要,因为当 kubectl 读取文件并将内容编码为 base64 字符串时,额外的换行符也会被编码。 你不需要对文件中包含的字符串中的特殊字符进行转义。
$ echo -n 'admin' > ./username.txt
$ echo -n 'S!B\*d$zDsb=' > ./password.txt
注意:在创建时最好使用单引号,而不是使用双引号
2.在 kubectl 命令中传递文件路径,默认键名为文件名。你也可以通过 --from-file=[key=]source 设置键名
$ kubectl create secret generic db-user-pass --from-file=username=./username.txt --from-file=password=./password.txt
3.检查 Secret 是否已创建
[root@k8s-master01 conf]# kubectl get secrets
NAME TYPE DATA AGE
db-user-pass Opaque 2 10s
default-token-8s8wl kubernetes.io/service-account-token 3 52d
4.查看 Secret 的细节
[root@k8s-master01 conf]# kubectl describe secret db-user-pass
Name: db-user-pass
Namespace: default
Labels: <none>
Annotations: <none>
Type: Opaque
Data
====
username: 5 bytes
password: 12 bytes
注意:kubectl get 和 kubectl describe 命令默认不显示 Secret 的内容。 这是为了防止 Secret 被意外暴露或存储在终端日志中.
5.查看你所创建的 Secret 内容
# 获取创建的secret内容
[root@k8s-master01 conf]# kubectl get secret db-user-pass -o jsonpath='{.data}'
{"password":"UyFCXCpkJHpEc2I9","username":"YWRtaW4="}
当然了,你也可以使用-oyaml查看你所创建的 Secret 内容
[root@k8s-master01 conf]# kubectl get secret db-user-pass -oyaml
apiVersion: v1
data:
password: UyFCXCpkJHpEc2I9
username: YWRtaW4=
kind: Secret
metadata:
creationTimestamp: "2023-05-03T01:38:58Z"
name: db-user-pass
namespace: default
resourceVersion: "877358"
uid: f609641c-7002-4079-9756-705fa18b5f44
type: Opaque
6.解码 password 数据
[root@k8s-master01 conf]# echo 'UyFCXCpkJHpEc2I9' | base64 -d
S!B\*d$zDsb=
另外,你也可以把上面的结合起来,将查看和解码命令一同使用
[root@k8s-master01 conf]# kubectl get secret db-user-pass -o jsonpath='{.data.password}' | base64 -d
S!B\*d$zDsb=
二、通过YAML文件创建Secret¶
先用 JSON 或 YAML 格式在一个清单文件中定义 Secret 对象,然后创建该对象。Secret资源包含 2 个键值对:data 和 stringData。 data 字段用来存储 base64 编码的任意数据。 提供 stringData 字段是为了方便,它允许 Secret 使用未编码的字符串。 data 和 stringData 的键必须由字母、数字、-、_ 或 . 组成。
而在这里又分为两种场景:
- 前期将用户和密码base64加密后的密文写入相关文件中
- 前期将用户和密码明文写入到相关文件中
2.1 密文文件实现Secret¶
1.将这些字符串转换为 base64
[root@k8s-master01 conf]# echo -n 'admin' | base64
YWRtaW4=
[root@k8s-master01 conf]# echo -n '1f2d1e2e67df' | base64
MWYyZDFlMmU2N2Rm
注意:Secret 数据的 JSON 和 YAML 序列化结果是以 base64 编码的。 换行符在这些字符串中无效,必须省略。 在 Darwin/macOS 上使用 base64 工具时,用户不应该使用 -b 选项分割长行。 相反地,Linux 用户应该在 base64 地命令中添加 -w 0 选项, 或者在 -w 选项不可用的情况下,输入 base64 | tr -d '\n'。
2.创建清单
$ vim secret.yaml
apiVersion: v1
kind: Secret
metadata:
name: mysecret
type: Opaque
data:
username: YWRtaW4=
password: MWYyZDFlMmU2N2Rm
3.创建 Secret
$ kubectl apply -f secret.yaml
4.检查 Secret 是否已创建
[root@k8s-master01 conf]# kubectl get secrets
NAME TYPE DATA AGE
db-user-pass Opaque 2 15m
default-token-8s8wl kubernetes.io/service-account-token 3 52d
mysecret Opaque 2 47s
5.查看 Secret 的细节
[root@k8s-master01 conf]# kubectl describe secret mysecret
Name: mysecret
Namespace: default
Labels: <none>
Annotations: <none>
Type: Opaque
Data
====
username: 5 bytes
password: 12 bytes
注意:kubectl get 和 kubectl describe 命令默认不显示 Secret 的内容。 这是为了防止 Secret 被意外暴露或存储在终端日志中.
6.查看你所创建的 Secret 内容
[root@k8s-master01 conf]# kubectl get secret mysecret -o jsonpath='{.data}'
{"password":"MWYyZDFlMmU2N2Rm","username":"YWRtaW4="}
当然了,你也可以使用-oyaml查看你所创建的 Secret 内容
[root@k8s-master01 conf]# kubectl get secret mysecret -oyaml
apiVersion: v1
data:
password: MWYyZDFlMmU2N2Rm
username: YWRtaW4=
kind: Secret
metadata:
annotations:
kubectl.kubernetes.io/last-applied-configuration: |
{"apiVersion":"v1","data":{"password":"MWYyZDFlMmU2N2Rm","username":"YWRtaW4="},"kind":"Secret","metadata":{"annotations":{},"name":"mysecret","namespace":"default"},"type":"Opaque"}
creationTimestamp: "2023-05-03T01:53:14Z"
name: mysecret
namespace: default
resourceVersion: "879610"
uid: 90337d19-6054-4b15-924b-65ba3a33dc8f
type: Opaque
7.解码 password 数据
[root@k8s-master01 conf]# echo 'MWYyZDFlMmU2N2Rm' | base64 -d
1f2d1e2e67df
另外,你也可以把上面的结合起来,将查看和解码命令一同使用
[root@k8s-master01 conf]# kubectl get secret mysecret -o jsonpath='{.data.password}' | base64 -d
1f2d1e2e67df
2.2 明文文件实现Secret¶
1.创建清单
$ vim secret.yaml
apiVersion: v1
kind: Secret
metadata:
name: mysecret
type: Opaque
stringData:
username: admin
password: passwd123456
注意:这里StringData只支持变量,如果username和password对应的value是数字或者布尔值,需要添加双引号使其转换为变量
2.创建 Secret
$ kubectl apply -f secret.yaml
3.检查 Secret 是否已创建
[root@k8s-master01 conf]# kubectl get secrets | grep mysecret
NAME TYPE DATA
mysecret Opaque 2 47s
4.查看 Secret 的细节
[root@k8s-master01 conf]# kubectl describe secret mysecret
Name: mysecret
Namespace: default
Labels: <none>
Annotations: <none>
Type: Opaque
Data
====
password: 12 bytes
username: 5 bytes
注意:kubectl get 和 kubectl describe 命令默认不显示 Secret 的内容。 这是为了防止 Secret 被意外暴露或存储在终端日志中.
6.查看你所创建的 Secret 内容
[root@k8s-master01 conf]# kubectl get secret mysecret -o jsonpath='{.data}'
{"password":"cGFzc3dkMTIzNDU2","username":"YWRtaW4="}
当然了,你也可以使用-oyaml查看你所创建的 Secret 内容
[root@k8s-master01 conf]# kubectl get secret mysecret -oyaml
apiVersion: v1
data:
password: cGFzc3dkMTIzNDU2
username: YWRtaW4=
kind: Secret
metadata:
annotations:
kubectl.kubernetes.io/last-applied-configuration: |
{"apiVersion":"v1","kind":"Secret","metadata":{"annotations":{},"name":"mysecret","namespace":"default"},"stringData":{"password":"passwd123456","username":"admin"},"type":"Opaque"}
creationTimestamp: "2025-03-02T03:07:34Z"
name: mysecret
namespace: default
resourceVersion: "32731"
uid: 7d002af4-af61-496e-aa48-13f1801cc2e1
type: Opaque
7.解码数据
# 解密用户名数据
[root@k8s-master01 conf]# echo 'YWRtaW4=' | base64 -d
admin
# 解密密码数据
[root@k8s-master01 conf]# echo 'cGFzc3dkMTIzNDU2' | base64 -d
passwd123456
另外,你也可以把上面的结合起来,将查看和解码命令一同使用
[root@k8s-master01 conf]# kubectl get secret mysecret -o jsonpath='{.data.password}' | base64 -d
passwd123456
[root@k8s-master01 conf]# kubectl get secret mysecret -o jsonpath='{.data.username}' | base64 -d
admin