一、什么是 Secret？

Kubernetes（K8s）中的 Secret 是一种用于存储和管理敏感信息（如密码、令牌、证书、API 密钥等）的资源对象。它避免了将敏感数据明文写入配置文件、镜像或代码中，提供了一种更安全的方式来处理机密信息。

二、主要用途

• 安全需求：敏感信息（如数据库密码、API 令牌）不应以明文形式硬编码在配置文件或镜像中，否则可能导致泄露。
• 解耦配置与代码：将敏感数据与应用逻辑分离，便于统一管理和更新。
• 标准化管理：K8s 提供内置机制管理 Secret，支持通过 API 或命令行动态创建、更新和分发。

三、核心特性

• 数据编码：

• 默认使用 Base64 编码存储数据（非加密，需结合其他加密手段，如 etcd 加密或外部密钥管理系统）。
• 数据以键值对（Key-Value）形式存储，支持通过环境变量或 Volume 挂载到 Pod。
• 作用域：
• Secret 属于特定 Namespace（命名空间），默认仅在所属 Namespace 内可见。
• 类型：
• 常见三种内置 Secret 类型：

• Opaque（通用型）：用于存储任意键值对，默认类型。
• kubernetes.io/service-account-token：自动为 ServiceAccount 生成的令牌，用于访问 API Server。
• kubernetes.io/tls：用于存储 TLS 证书和私钥，供 Ingress、Service 等使用。

四、 创建 Secret 的常用方式

4.1. 通过 kubectl 命令创建

通过 kubectl 命令创建，需要为其设置命令参数。

kubectl create secret --help

​

• generic：用来创建 Opaque 类型的 Secret。用于存储任意键值对。
• tls：用来创建 kubernetes.io/tls 类型的 Secret。用于存储 TLS 证书和私钥。
• docker-registry：若要保存 docker 仓库的认证信息的话，就必须使用此种类型来创建。

 4.1.1、直接指定字面量（适合小数据）

# 创建 Opaque 类型 Secret，键值对直接通过 --from-literal 指定
kubectl create secret generic my-secret \--from-literal=username=admin \--from-literal=password=123456

​

已用 Base64 编码。

 4.1.2、从文件加载（适合文件型机密，如证书、密钥）

vim username.txt
# 输入 admin
vim password.txt
# 输入 123456# 从单个文件创建（文件名作为键），值为文件内容
kubectl create secret generic db-credentials --from-file=username.txt --from-file=password.txt

 4.1.3、从目录创建（目录下所有文件作为键值对）

mkdir dir
cd dir
vim usr.txt
# 输入 admin
vim pwd.txt
# 输入 123456kubectl create secret generic app-secret --from-file=.

4.2、通过 YAML 清单创建

apiVersion: v1
kind: Secret
metadata:name: yml-secretnamespace: default
type: Opaque  # 类型，可选 Opaque、service-account-token、tls 等
data:# 键值对需手动进行 Base64 编码username: YWRtaW4=  # 明文 "admin" 的 Base64 编码password: MTIzNDU2  # 明文 "123456" 的 Base64 编码

• 编码方法：echo -n "明文" | base64 
• -n 不换行的意思。
• echo -n "密文" | base64 -d
• -d decode 的意思。

五、在 Pod 中使用 Secret

5.1、作为环境变量注入

apiVersion: v1
kind: Pod
metadata:name: secret-env-pod
spec:restartPolicy: Nevercontainers:- name: appimage: alpine:latest  imagePullPolicy: IfNotPresentcommand: ["sleep", "3600"]env:- name: DB_USERNAME  # 环境变量名valueFrom:secretKeyRef:name: my-secret  # Secret 名称key: username    # Secret 中的键- name: DB_PASSWORDvalueFrom:secretKeyRef:name: my-secretkey: password

•  进入容器查看环境变量

kubectl exec -it secret-env-pod -- /bin/sh
/ # env

5.2、作为 Volume 挂载

apiVersion: v1
kind: Pod
metadata:name: secret-volume-pod
spec:restartPolicy: Nevervolumes:- name: secret-volumesecret:secretName: yml-secret  # 指定 Secret 名称containers:- name: appimage: alpine:latest  imagePullPolicy: IfNotPresentcommand: ["sleep", "3600"]volumeMounts:- name: secret-volume # 跟卷的名称一致mountPath: "/etc/secrets"  # 挂载路径readOnly: true  # 必须设为只读

•   进入容器查看挂载路径

kubectl exec -it secret-volume-pod -- /bin/sh

 数据已帮我们解密。