在工作負載串連後端資料庫服務、對用戶端請求進行安全驗證等業務情境中,您可能需要儲存一些敏感的配置資訊,如使用者名稱、密碼和認證等。建議您通過阿里雲容器計算服務ACS叢集的保密字典(Secret)來管理這些敏感資訊,避免資訊暴露。本文介紹如何在ACS叢集中建立、編輯和刪除保密字典。
前提條件
已建立ACS叢集。具體操作,請參見建立ACS叢集。
背景資訊
保密字典有多種類型,例如:
Service Account:用來訪問Kubernetes API,由Kubernetes自動建立,並且會自動掛載到Pod的/run/secrets/kubernetes.io/serviceaccount目錄中。
Opaque:Base64編碼格式的Secret,用來儲存密碼、認證等敏感資訊。
預設情況下,通過ACS控制台介面只能建立Opaque類型的保密字典。Opaque類型的資料是一個Map類型,要求Value是Base64編碼格式。
ACS提供一鍵建立保密字典的功能,自動將明文資料編碼為Base64格式。您也可通過命令列手動建立密鑰,請參見Kubernetes Secret瞭解更多資訊。
建立保密字典
登入容器計算服務控制台,在左側導覽列選擇叢集。
在叢集頁面,單擊目的地組群ID,然後在左側導覽列,選擇組態管理 > 保密字典。
在保密字典頁面,選擇所屬命名空間後,單擊右上方的建立,在彈出面板中配置新的保密字典。
參數
說明
名稱
輸入保密字典的名稱。
類型
包含Opaque、私人鏡像倉庫登入密鑰以及TLS認證。
Opaque
若類型選擇為Opaque,則需要配置以下參數:
可選:若您需要將明文資料編碼為Base64格式,請選中對資料值進行Base64編碼。
配置保密字典的資料。單擊+ 添加,在名稱和值文字框中,輸入保密字典名稱和值。
私人鏡像倉庫登入密鑰
若類型選擇為私人鏡像倉庫登入密鑰,則需要配置以下參數:
鏡像倉庫地址:輸入保密字典所在鏡像倉庫地址。
使用者名稱:輸入鏡像倉庫的使用者名稱。
密碼:輸入鏡像倉庫的密碼。
TLS認證
若類型選擇為TLS認證,則需要配置以下參數:
Cert:輸入TLS認證。
Key:輸入TLS認證Key。
相關操作
保密字典建立完成後,您可以在保密字典頁面進行以下操作:
單擊目標保密字典名稱,可查看該保密字典的基本資料和詳細資料。
說明單擊
表徵圖,可查看資料明文。單擊目標保密字典名稱右側操作列下的編輯,可修改該保密字典的資訊。
單擊目標保密字典名稱右側操作列下的刪除,可刪除不需要的保密字典。
重要請勿刪除或修改
kube-system等系統命名空間下自動建立的保密字典,以確保叢集的穩定和安全性。
相關文檔
關於如何在ACS叢集中通過資料卷和環境變數的方式使用保密字典,請參見在容器組中使用保密字典。