K8S中若要挂载其他命名空间中的 Secret

最新推荐文章于 2025-04-02 00:03:16 发布
最新推荐文章于 2025-04-02 00:03:16 发布
阅读量487 收藏 2
点赞数 10
CC 4.0 BY-SA版权
分类专栏: Kubernetes 文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/erhaiou2008/article/details/146391296

在Kubernetes(k8s)里,若要挂载其他命名空间中的Secret,你可以通过创建一个 SecretServiceAccountRoleBinding 来实现对其他命名空间 Secret 的访问,接着在 Pod 中挂载这个 Secret。下面是详细的步骤和示例代码:

步骤

  1. 创建 ServiceAccount:在要挂载 Secret 的命名空间里创建一个 ServiceAccount
  2. 创建 RoleRoleBinding:在包含 Secret 的命名空间创建一个 Role 以及 RoleBinding,以此赋予 ServiceAccount 访问 Secret 的权限。
  3. Pod 中使用 ServiceAccount 并挂载 Secret:在 Pod 定义里运用 ServiceAccount,并且挂载 Secret

示例代码

下面是一系列的 YAML 文件,用来实现上述步骤。

1. 创建 ServiceAccount

在要挂载 Secret 的命名空间(假设为 target-namespace)创建 ServiceAccount

apiVersion: v1
kind: ServiceAccount
metadata:
  name: secret-reader
  namespace: target-namespace
2. 创建 RoleRoleBinding

在包含 Secret 的命名空间(假设为 source-namespace)创建 RoleRoleBinding

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: secret-reader-role
  namespace: source-namespace
rules:
- apiGroups: [""]
  resources: ["secrets"]
  verbs: ["get", "watch", "list"]

---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: secret-reader-rolebinding
  namespace: source-namespace
subjects:
- kind: ServiceAccount
  name: secret-reader
  namespace: target-namespace
roleRef:
  kind: Role
  name: secret-reader-role
  apiGroup: rbac.authorization.k8s.io
3. 在 Pod 中使用 ServiceAccount 并挂载 Secret

target-namespace 里创建一个 Pod,使用 ServiceAccount 并挂载 Secret

apiVersion: v1
kind: Pod
metadata:
  name: my-pod
  namespace: target-namespace
spec:
  serviceAccountName: secret-reader
  containers:
  - name: my-container
    image: nginx
    volumeMounts:
    - name: secret-volume
      mountPath: "/etc/secret"
      readOnly: true
  volumes:
  - name: secret-volume
    secret:
      secretName: my-secret
      namespace: source-namespace

解释

  • ServiceAccount:在 target-namespace 创建的 secret-reader ServiceAccount 用于给 Pod 授予访问权限。
  • RoleRoleBinding:在 source-namespace 创建的 RoleRoleBinding 赋予 secret-reader ServiceAccount 访问 Secret 的权限。
  • Pod:在 target-namespace 创建的 Pod 使用 secret-reader ServiceAccount,并且挂载 source-namespace 中的 my-secret Secret

操作步骤

  1. 把上述 YAML 文件保存为不同的文件,例如 serviceaccount.yamlrole.yamlpod.yaml
  2. 依次执行以下命令:
kubectl apply -f serviceaccount.yaml
kubectl apply -f role.yaml
kubectl apply -f pod.yaml

这样,Pod 就能成功挂载其他命名空间中的 Secret 了。

K8s(二十一):在 Kubernetes 集群中部署 MySQL8.0 高可用集群(1主2从)
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!✨
04-16 2万+
🔴 K8s(二十一):在 Kubernetes 集群中部署 MySQL8.0 高可用集群(1主2从)
十二、K8S-配置管理ConfigMap、Secret
爱吃西红柿的博客
01-24 1392
如果引用Secret数据的应用,会随着secret资源对象内保存的数据的更新,而实时更新,那么应该使用volumes挂载的方式引用资源,因为环境变量的方式引用不会实时更新数据。ConfigMap和Secret的区别:
k8s pod挂载secret
自强不息,厚德载物,未来可期
08-11 1353
Secret secrets和configmap都是用来传输信息,或者是配置文件的,secrets存储的的信息存放在内存中,且默认是base64的编码方式,所以要注意 Secret两种挂载方式 参考链接 该篇文章中介绍了,直接用环境变量的方式获取secrets中存储的字符串 或者是将secrets挂载pod的方式 Pod方式挂载 首先是secret.yaml文件 在这里插入代码片 然后是挂载Pod的yaml文件 在这里插入代码片 ...
k8s 持久化存储及configmap、secret挂载
ligaoman521的博客
05-12 1487
1、挂载主机目录,常用于日志文件挂载和hosts文件挂载 volumeMounts: - mountPath: /etc/hosts name: hosts subPath: hosts - mountPath: /www/logs/ name: clife-sleep-commons-web-push-business-logs volumes: - hostPath: ......
k8s中使用secret挂载rsa密钥对
梦想起飞的地方.........
05-19 1116
网上有好几种方法,我使用的不是直接写在yaml中,而是使用命令,全程不会接触和修改rsa的公私钥文件内容。 一,拿到或生成pem格式的密钥对。 过程略,假设拿到的文件名为private.pem和public.pem 二,在K8s集群中导入rsa文件。 命名为rsa-secret ,namespace为cgtest. kubectl create secret generic rsa-secret --from-file=ssh-privatekey=private.pem --from-file
k8s-secret 配置使用secret
weixin_44204737的博客
04-27 1987
kubernetes.io/basic-auth:用于使用基本认证(账号密码)的Secret,可以使用Opaque取代;secret的使用方式和configmap很像,secret使用加密的方式更加安全,configmap更适合传递配置文件。◆ kubernetes.io/tls:用于存储HTTPS域名证书文件的Secret,可以被Ingress使用;◆ kubernetes.io/dockerconfigjson:下载私有仓库镜像使用的Secret,◆Opaque:通用型Secret,默认类型;
K8S 数据卷volumes之Secret
weixin_45880055的博客
06-09 2381
文章目录一、Secret介绍二、Secret的创建(一)通过命令行创建secret1. 通过文件创建secret2. 通过文件夹创建secret3. 命令行声明键值对创建secret(二)通过资源清单文件创建secret三、Secret的使用1. 将Secret中的数据设置为容器的环境变量2. 使用Volume将Secret作为文件或目录挂载 一、Secret介绍 应用启动过程中可能需要一些敏感信息,比如访问数据库的用户名密码或者秘钥。将这些信息直接保存在容器镜像中显然不妥,Kubernetes 提供的解
[Kubernetes]6. k8s Pod配置管理ConfigMap & Secret以及传递环境变量的使用,k8s命名空间以及使用kubens管理命名空间
zhoupenghui168的博客
01-09 1326
k8s Pod配置管理ConfigMap & Secret以及传递环境变量的使用,k8s借助命令行配置管理ConfigMap & Secret,以及借助腾讯云面板配置管理ConfigMap & Secret,k8s命名空间以及使用kubens管理命名空间
k8s创建secret并在container中获取secret
HELLOWORLD2424的博客
08-06 775
可以看得到secret已经可以成功范围了,并且值得注意的是,当作为volume挂载进来Pod的时候,secret会自动的进行base64解码,这里直接就可以访问明文了。本文使用的deployment和service与我的上一篇文章一样。下面我们通过一个命令把secret绑定到我们需要部署的命名空间,即dev-api中,secret的名字叫db-user-pass,存放有两对keypairs。secret是我们自己收到创建的,我们需要先通过下面的命令来创建分别存放username和password的文件。
k8s挂载目录_kubernetes多节点的pod挂载同一个cephfs目录
weixin_39902107的博客
12-21 2090
一、安装cephfs方法一:直接进入deploy目录,执行:ceph-deploy --overwrite-conf mds create ceph01:mds-daemon-1上面的ceph01是机器的hostname方法二:1、在需要安装的目标机器上创建mds目录mkdir -p /var/lib/ceph/mds/ceph-02、生成mds的keyring,并将其写入/var/lib/cep...
k8s--Kubernetes存储--Secret配置管理
Gong_yz的博客
03-13 1140
- Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 ssh key。 - 敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。 - Pod 可以用两种方式使用 secret: 作为 volume 中的文件被挂载pod 中的一个或者多个容器里。 当 kubelet 为 pod 拉取镜像时使用。
k8s---Secret详解
qinxue722的博客
07-23 3230
k8s-Secret
k8s的加密配置secret和应用配置configmap
Hai990218的博客
09-09 1330
加密配置:就是用来保存密码、token密钥对,以及其他敏感信息的k8s资源。
轻松掌握K8S使用kubectl操作配置文件挂载ConfigMap和密钥Secret知识点05
04-22 2817
轻松掌握K8S使用kubectl操作配置文件挂载ConfigMap和密钥Secret知识点05
k8s配置管理--configmap与secret
热门推荐
大风车儿的博客
04-06 20万+
k8s中configmap和secret使用
k8s配置资源管理|secret|configmap
m0_75015568的博客
05-26 1914
k8s配置资源管理|secret|configmap
k8s——secret配置资源管理
sea_bunch的博客
06-07 1881
Secret类似,区别在于ConfigMap保存的是不需要加密配置的信息。
如何实现在k8s集群的不同命名空间中使用同一个secret或者configmap?
最新发布
weixin_43730884的博客
04-02 843
○ 添加 reflector.v1.k8s.emberstack.com/reflection-auto-namespaces: "" 指定自动创建资源的命名空间(省略或为空允许所有命名空间,且受 reflection-allowed-namespaces 限制)• 添加 reflector.v1.k8s.emberstack.com/reflection-allowed-namespaces: ""(逗号分隔命名空间列表或正则表达式)限制允许反射的命名空间,若省略或为空则允许所有命名空间
6.k8s中的secrets资源
qq_22321199的专栏
05-01 1592
secret资源就是将value的值使用base64编译后传输,当pod引用secret后,k8s会自动将其base64的编码,反编译回正常的字符串;因为,k8s拉取镜像与Docker拉取镜像是不同的方式,所以k8s需要创建一个属于自己的拉取镜像的方式;secrets资源,类似于configmap资源,只是secrets资源是用来传递重要的信息的;#指定镜像拉取的secret资源(secret的拉取镜像类型);# 登录pod资源查看env变量。# 编辑secrets资源清单。# 创建secret资源。
Elasticsearch 通过k8s命名空间进行数据隔离的方法
05-10
Elasticsearch 可以通过 Kubernetes命名空间(Namespace)进行数据隔离,以下是具体的步骤: 1. 创建 Kubernetes 命名空间(例如,名为 elasticsearch)。 2. 创建 Kubernetes ConfigMap,用于包含 Elasticsearch 的配置文件。可以通过以下命令创建 ConfigMap: ``` kubectl create configmap elasticsearch-config --from-file=<path_to_elasticsearch_config_directory> ``` 其中,`<path_to_elasticsearch_config_directory>` 为 Elasticsearch 配置文件目录的路径。 3. 创建 Kubernetes Secret,用于包含 Elasticsearch 的密码等敏感信息。可以通过以下命令创建 Secret: ``` kubectl create secret generic elasticsearch-secret --from-literal=<key>=<value> ``` 其中,`<key>` 是密码等敏感信息的键,`<value>` 是密码等敏感信息的值。 4. 创建 Elasticsearch StatefulSet,指定 Kubernetes 命名空间、ConfigMap 和 Secret。可以通过以下 YAML 文件模板创建 StatefulSet: ``` apiVersion: apps/v1 kind: StatefulSet metadata: name: elasticsearch namespace: elasticsearch spec: serviceName: elasticsearch replicas: 3 selector: matchLabels: app: elasticsearch template: metadata: labels: app: elasticsearch spec: containers: - name: elasticsearch image: docker.elastic.co/elasticsearch/elasticsearch:7.9.2 imagePullPolicy: IfNotPresent env: - name: ES_JAVA_OPTS value: -Xms512m -Xmx512m ports: - containerPort: 9200 name: http - containerPort: 9300 name: transport volumeMounts: - name: elasticsearch-config mountPath: /usr/share/elasticsearch/config - name: elasticsearch-data mountPath: /usr/share/elasticsearch/data - name: elasticsearch-secret mountPath: /usr/share/elasticsearch/config/elasticsearch.keystore subPath: elasticsearch.keystore readOnly: true readinessProbe: httpGet: path: /_cluster/health?wait_for_status=yellow&timeout=1s port: http initialDelaySeconds: 10 periodSeconds: 10 livenessProbe: httpGet: path: /_cluster/health?wait_for_status=yellow&timeout=1s port: http initialDelaySeconds: 120 periodSeconds: 10 volumes: - name: elasticsearch-config configMap: name: elasticsearch-config - name: elasticsearch-data persistentVolumeClaim: claimName: elasticsearch-data - name: elasticsearch-secret secret: secretName: elasticsearch-secret volumeClaimTemplates: - metadata: name: elasticsearch-data spec: accessModes: - ReadWriteOnce resources: requests: storage: 10Gi ``` 其中,`metadata.name` 和 `metadata.namespace` 分别为 StatefulSet 的名称和所在的命名空间,`spec.serviceName` 为 StatefulSet 创建的服务名称,`spec.replicas` 为 StatefulSet 副本数,`spec.selector.matchLabels` 为 StatefulSet 所选择的 Pod 的标签,`spec.template.metadata.labels` 为 StatefulSet 创建的 Pod 的标签,`spec.template.spec.containers.name` 为 StatefulSet 创建的容器名称,`spec.template.spec.containers.image` 为 StatefulSet 创建的容器所使用的镜像,`spec.template.spec.containers.env` 为 StatefulSet 创建的容器所需的环境变量,`spec.template.spec.containers.ports` 为 StatefulSet 创建的容器所需的端口,`spec.template.spec.containers.volumeMounts` 为 StatefulSet 创建的容器所需的挂载卷,`spec.template.spec.containers.readinessProbe` 和 `spec.template.spec.containers.livenessProbe` 分别为 StatefulSet 创建的容器的就绪探针和存活探针,`spec.template.spec.volumes` 为 StatefulSet 创建的 Pod 所需的卷,`spec.volumeClaimTemplates` 为 StatefulSet 创建的持久卷声明。 5. 创建 Kubernetes Service,指定 Kubernetes 命名空间和 StatefulSet 创建的服务名称。可以通过以下 YAML 文件模板创建 Service: ``` apiVersion: v1 kind: Service metadata: name: elasticsearch namespace: elasticsearch spec: selector: app: elasticsearch ports: - name: http port: 9200 targetPort: http - name: transport port: 9300 targetPort: transport clusterIP: None ``` 其中,`metadata.name` 和 `metadata.namespace` 分别为 Service 的名称和所在的命名空间,`spec.selector` 为 Service 所选择的 Pod 的标签,`spec.ports` 为 Service 所开放的端口,`spec.clusterIP` 为 Service 所使用的 IP 地址。 通过以上步骤,就可以在 Kubernetes 中实现 Elasticsearch 的数据隔离。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

网络飞鸥

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值