# 创建Secret(使用kubectl)

假设某个 Pod 需要访问数据库。在您执行 kubectl 命令所在机器的当前目录,创建文件 ./username.txt 文件和 ./password.txt 暂存数据库的用户名和密码,后续我们根据这两个文件配置 kubernetes secrets。

echo -n 'admin' > ./username.txt
echo -n '1f2d1e2e67df' > ./password.txt
1
2

执行命令 kubectl create secret generic db-user-pass --from-file=./username.txt --from-file=./password.txt 在 Kubernetes APIServer 中创建 Secret 对象,并将这两个文件中的内容存储到该 Secret 对象中,输出结果如下所示:

secret "db-user-pass" created
1

TIP

  • 上述命令的执行效果与此命令执行效果相同: kubectl create secret generic db-user-pass –from-literal=username=admin –from-literal=password=1f2d1e2e67df
  • 如果您的密码中包含特殊字符需要转码(例如 $*\!),请使用 \ 进行转码。例如:实际密码为 S!B\*d$zDsb,kubectl 命令应该写成 kubectl create secret generic dev-db-secret –from-literal=username=devuser –from-literal=password=S\!B\\*d\$zDsb。如果通过文件创建(--from-file),则无需对文件中的密码进行转码。

执行命令 kubectl get secrets,检查 Secret 的创建结果,输出信息如下所示:

NAME                  TYPE                                  DATA      AGE
db-user-pass          Opaque                                2         51s
1
2

执行命令 kubectl describe secrets/db-user-pass,查看 Secret 详情,输出信息如下所示:

Name:            db-user-pass
Namespace:       default
Labels:          <none>
Annotations:     <none>

Type:            Opaque

Data
====
password.txt:    12 bytes
username.txt:    5 bytes
1
2
3
4
5
6
7
8
9
10
11

TIP

默认情况下,kubectl getkubectl describe 命令都避免展示 Secret 的内容。这种做法可以避免密码被偷窥,或者被存储到终端的日志中

参考 解码 了解如何查看 Secret 中存储的内容

更新时间: yyyy-11-Tu 17:38:50