如何检索和管理 Kubernetes Secrets

简介

Kubernetes Secrets 是一项强大的功能，它允许你在 Kubernetes 集群中安全地存储和分发敏感数据。本教程将指导你了解 Kubernetes Secrets，检索和管理它们，并探索在基于 Kubernetes 的应用程序中进行有效密钥管理的最佳实践。

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL kubernetes(("Kubernetes")) -.-> kubernetes/TroubleshootingandDebuggingCommandsGroup(["Troubleshooting and Debugging Commands"]) kubernetes(("Kubernetes")) -.-> kubernetes/ConfigurationandVersioningGroup(["Configuration and Versioning"]) kubernetes(("Kubernetes")) -.-> kubernetes/BasicCommandsGroup(["Basic Commands"]) kubernetes/BasicCommandsGroup -.-> kubernetes/get("Get") kubernetes/BasicCommandsGroup -.-> kubernetes/create("Create") kubernetes/BasicCommandsGroup -.-> kubernetes/delete("Delete") kubernetes/BasicCommandsGroup -.-> kubernetes/edit("Edit") kubernetes/TroubleshootingandDebuggingCommandsGroup -.-> kubernetes/describe("Describe") kubernetes/ConfigurationandVersioningGroup -.-> kubernetes/config("Config") subgraph Lab Skills kubernetes/get -.-> lab-419029{{"如何检索和管理 Kubernetes Secrets"}} kubernetes/create -.-> lab-419029{{"如何检索和管理 Kubernetes Secrets"}} kubernetes/delete -.-> lab-419029{{"如何检索和管理 Kubernetes Secrets"}} kubernetes/edit -.-> lab-419029{{"如何检索和管理 Kubernetes Secrets"}} kubernetes/describe -.-> lab-419029{{"如何检索和管理 Kubernetes Secrets"}} kubernetes/config -.-> lab-419029{{"如何检索和管理 Kubernetes Secrets"}} end

理解 Kubernetes Secrets

Kubernetes Secrets 是一项内置功能，它允许你在 Kubernetes 集群中存储和管理敏感数据，例如密码、API 密钥和证书。Secrets 的设计目的是提供一种安全的方式来存储和分发这些敏感信息到应用程序内适当的 Pod 和容器中。

在 Kubernetes 中，Secrets 以 Base64 编码的字符串形式存储，这有助于保护数据不被意外暴露。Secrets 可以作为文件或环境变量挂载到 Pod 中，使你的应用程序能够访问所需的敏感数据，而无需将其直接存储在应用程序代码中。

Kubernetes Secrets 的一个常见用例是存储数据库连接详细信息，例如用户名和密码，应用程序可以使用这些信息连接到数据库。另一个用例是存储应用程序与外部服务交互所需的 API 密钥或访问令牌。

以下是在 Kubernetes 中创建 Secret 的示例：

apiVersion: v1
kind: Secret
metadata:
  name: my-secret
type: Opaque
data:
  username: YWRtaW4=
  password: MWYyZDFlMmU2N2Rm

在此示例中，我们正在创建一个名为 my-secret 的 Secret，它有两个键值对：username 和 password。这些值是 Base64 编码的，这是在 Kubernetes Secrets 中存储敏感数据的标准方式。

创建 Secret 后，你可以将其作为文件或环境变量挂载到 Pod 的配置中。例如：

apiVersion: v1
kind: Pod
metadata:
  name: my-app
spec:
  containers:
    - name: my-container
      image: my-app:v1
      env:
        - name: DB_USERNAME
          valueFrom:
            secretKeyRef:
              name: my-secret
              key: username
        - name: DB_PASSWORD
          valueFrom:
            secretKeyRef:
              name: my-secret
              key: password

在此示例中，我们将 my-secret Secret 中的 username 和 password 值作为环境变量挂载到 Pod 的容器中。

通过使用 Kubernetes Secrets，你可以确保敏感数据被安全存储，并且只有应用程序的适当部分才能访问。

检索和管理 Kubernetes Secrets

创建 Kubernetes Secrets 后，你需要知道如何检索和管理它们。Kubernetes 提供了几种与 Secrets 进行交互的方式，包括使用 Kubernetes API 和 kubectl 命令行工具。

检索 Secrets

要检索特定的 Secret，可以使用 kubectl get secret 命令：

kubectl get secret my-secret

这将显示 my-secret Secret 的元数据和数据（以 Base64 编码格式）。

你还可以使用 kubectl describe secret 命令获取有关 Secret 的更详细信息：

kubectl describe secret my-secret

这将显示 Secret 的类型、数据键和创建时间戳。

如果你需要访问 Secret 的实际值，可以使用带有 -o yaml 或 -o json 标志的 kubectl get secret 命令，分别以 YAML 或 JSON 格式输出 Secret。然后，你可以手动解码 Base64 编码的值，或者使用像 jq 这样的工具以编程方式提取值。

管理 Secrets

除了创建和检索 Secrets 之外，你还可以使用 Kubernetes API 或 kubectl 命令更新和删除它们。

要更新 Secret，可以编辑 YAML 文件或使用 kubectl edit secret 命令：

kubectl edit secret my-secret

这将在默认文本编辑器中打开 Secret，允许你修改数据。

要删除 Secret，可以使用 kubectl delete secret 命令：

kubectl delete secret my-secret

这将从 Kubernetes 集群中永久删除 Secret。

需要注意的是，Secrets 存储在 etcd（Kubernetes 使用的键值存储）中，并与其他 Kubernetes 资源遵循相同的备份和恢复过程。定期备份你的 Secrets 是一种最佳实践，以确保在发生灾难或数据丢失时能够恢复它们。

Kubernetes 密钥管理的最佳实践

在使用 Kubernetes 密钥时，遵循最佳实践对于确保敏感数据的安全性和可靠性非常重要。以下是一些关键建议：

限制密钥暴露

尽量减少集群中的密钥数量，并将密钥的暴露限制在仅必要的 Pod 和容器中。这有助于降低意外或未经授权访问敏感数据的风险。

实施密钥轮换

定期轮换密钥，如密码和 API 密钥，以减轻凭证泄露的影响。你可以使用 Vault 等工具或通过与持续集成/持续交付（CI/CD）管道集成来自动化此过程。

对静态密钥进行加密

启用对静态密钥的加密，以提供额外的安全层。Kubernetes 支持使用各种加密提供程序（如 AWS KMS 或 Azure Key Vault）对密钥进行加密。

适当使用密钥类型

Kubernetes 提供了不同的密钥类型，如 Opaque、kubernetes.io/service-account-token 和 kubernetes.io/tls。根据你的用例使用适当的密钥类型，以确保对数据进行正确的处理和验证。

实施访问控制

通过使用 Kubernetes 基于角色的访问控制（RBAC）仔细管理对密钥的访问，以确保只有授权的用户和服务才能访问敏感数据。

监控密钥使用情况

监控集群中密钥的使用情况，以检测任何可疑活动或未经授权的访问。你可以使用 Prometheus 和 Grafana 等工具来设置警报和仪表板，以监控密钥使用情况。

备份密钥

定期备份密钥，以确保在发生灾难或数据丢失时能够恢复它们。将备份存储在安全的位置，如私有对象存储服务或专用备份解决方案。

通过遵循这些最佳实践，你可以确保 Kubernetes 密钥得到妥善管理和保护，保护你的敏感数据免受潜在威胁。

总结

在本教程中，你学习了 Kubernetes Secrets 如何提供一种安全的方式，在 Kubernetes 集群中存储和分发敏感数据，如密码、API 密钥和证书。你探索了如何创建和检索 Secrets，以及管理 Secrets 的最佳实践，以确保基于 Kubernetes 的应用程序的安全性和可靠性。通过利用 Kubernetes Secrets，你可以提高 Kubernetes 基础设施的整体安全性和可维护性。