Sercet

Secret 可用于存储密码、令牌、密钥等敏感信息，降低直接对外暴露的风险。Secret 是 key-value 类型的键值对，您可以通过控制台的 Kubectl 工具创建对应的 Secret 对象，也可以通过挂载数据卷、环境变量或在容器的运行命令中使用 Secret。

Secret 控制台操作指引

创建 Secret

登录 TKEStack，切换到【业务管理】控制台，选择左侧导航栏中的【应用管理】。
选择需要创建 Secret 的【业务】下相应的【命名空间】，展开【配置管理】列表，进入 Secret 管理页面。
单击【新建】，进入“新建 Secret ”页面。
在“新建 Secret ”页面，根据实际需求，进行如下参数设置。如下图所示：
- 名称：请输入自定义名称。
- Secret类型：提供【Opaque】和【Dockercfg】两种类型，请根据实际需求进行选择。
  - Opaque：适用于保存秘钥证书和配置文件，Value 将以 base64 格式编码。
  - Dockercfg：适用于保存私有 Docker Registry 的认证信息。
- 生效范围：提供以下两种范围，请根据实际需求进行选择。
  - 存量所有命名空间：不包括 kube-system、kube-public 和后续增量命名空间。
  - 指定命名空间：支持选择当前集群下一个或多个可用命名空间。
- 内容：根据不同的 Secret 类型，进行配置。
  - 当 Secret 类型为【Opaque】时：根据实际需求，设置变量名和变量值。
  - 当 Secret 类型为【Dockercfg】时：
    仓库域名：请根据实际需求输入域名或 IP。
    用户名：请根据实际需求输入第三方仓库的用户名。
    密码：请根据实际需求设置第三方仓库的登录密码。
    如果本次为首次登录系统，则会新建用户，相关信息写入 ~/.dockercrg 文件中。
单击【创建 Secret】，即可完成创建。

使用 Secret

Secret 在 Workload中有三种使用场景： 1. 数据卷使用 Secret 类型 2. 环境变量中使用 Secret 类型 3. 使用第三方镜像仓库时引用

更新 Secret

登录 TKEStack，切换到业务管理控制台，选择左侧导航栏中的【应用管理】。
选择需要创建 Secret 的业务下相应的命名空间，展开配置管理列表，进入 Secret 管理页面。
在需要更新 YAML 的 Secret 行中，单击【编辑YAML】，进入更新 Secret 页面。
在“更新Secret”页面，编辑 YAML，并单击【完成】即可更新 YAML。
如需修改 key-values，则编辑 YAML 中 data 的参数值，并单击【完成】即可完成更新。

Kubectl 操作 Secret 指引

创建 Secret

方式一：通过指定文件创建 Secret

依次执行以下命令，获取 Pod 的用户名和密码。

$ echo -n 'username' > ./username.txt
$ echo -n 'password' > ./password.txt

执行 Kubectl 命令，创建 Secret。

$ kubectl create secret generic test-secret --from-file=./username.txt --from-file=./password.txt
secret "testSecret" created

执行以下命令，查看 Secret 详情。
```
kubectl describe secrets/ test-secret
```

方式二：YAML 文件手动创建

? 通过 YAML 手动创建 Secret，需提前将 Secret 的 data 进行 Base64 编码。

apiVersion: v1
kind: Secret
metadata:
  name: test-secret
type: Opaque
data:
  username: dXNlcm5hbWU=  ## 由echo -n 'username' | base64生成
  password: cGFzc3dvcmQ=  ## 由echo -n 'password' | base64生成

使用 Secret

方式一：数据卷使用 Secret 类型

YAML 示例如下：

apiVersion: v1
 kind: Pod
 metadata:
   name: nginx
 spec:
   containers:
     - name: nginx
       image: nginx:latest
       volumeMounts:
        name: secret-volume
        mountPath: /etc/config
   volumes:
        name: secret-volume
        secret:
          name:  test-secret ## 设置 secret 来源
          ## items:  ## 设置指定 secret的 Key 挂载
          ##   key: username  ## 选择指定 Key
          ##   path: group/user ## 挂载到指定的子路径
          ##   mode: 256  ## 设置文件权限
   restartPolicy: Never

方式二：环境变量中使用 Secret 类型

YAML 示例如下：

apiVersion: v1
 kind: Pod
 metadata:
   name: nginx
 spec:
   containers:
     - name: nginx
       image: nginx:latest
       env:
         - name: SECRET_USERNAME
           valueFrom:
             secretKeyRef:
               name: test-secret ## 设置来源 Secret 文件名
               key: username  ## 设置该环境变量的 Value 来源项
   restartPolicy: Never

方法三：使用第三方镜像仓库时引用

YAML 示例如下：

apiVersion: v1
 kind: Pod
 metadata:
   name: nginx
 spec:
   containers:
     - name: nginx
       image: nginx:latest
   imagePullSecrets:
   - name: test-secret ## 设置来源 Secret 文件名
   restartPolicy: Never

最后更新于5年前

hashtagSercet

hashtagSecret 控制台操作指引

hashtag创建 Secret

hashtag使用 Secret

hashtag更新 Secret

hashtagKubectl 操作 Secret 指引

hashtag创建 Secret

hashtag方式一：通过指定文件创建 Secret

hashtag方式二：YAML 文件手动创建

hashtag使用 Secret

hashtag方式一： 数据卷使用 Secret 类型

hashtag方式二： 环境变量中使用 Secret 类型

hashtag方法三：使用第三方镜像仓库时引用

Sercet

Secret 控制台操作指引

创建 Secret

使用 Secret

更新 Secret

Kubectl 操作 Secret 指引

创建 Secret

方式一：通过指定文件创建 Secret

方式二：YAML 文件手动创建

使用 Secret

方式一：数据卷使用 Secret 类型

方式二：环境变量中使用 Secret 类型

方法三：使用第三方镜像仓库时引用