Cluster Secrets

Эта статья полезна?

Язык статьи: Русский

Страница переведена автоматически и может содержать неточности. Рекомендуем сверяться с английской версией.

По умолчанию, CCE создает следующие секреты в каждом пространстве имён:

default-secret
paas.elb
default-token-xxxxx (xxxxx является случайным числом.)

Функции этих секретов описаны следующим образом.

default-secret

Тип default-secret является kubernetes.io/dockerconfigjson. Данные — это учетные данные для входа в репозиторий образов SWR и используются для получения образов из SWR. Чтобы получить образ из SWR при создании рабочей нагрузки на CCE, задайте imagePullSecrets в default-secret.

apiVersion: v1                      
kind: Pod                          
metadata:
  name: nginx                      
spec:                            
  containers:
  - image: nginx:alpine            
    name: container-0               
    resources:                      
      limits:
        cpu: 100m
        memory: 200Mi
      requests:
        cpu: 100m
        memory: 200Mi
  imagePullSecrets:
  - name: default-secret

Данные default-secret обновляются периодически, и текущие данные истекут через определённый период времени. Вы можете выполнить describe команду для просмотра времени истечения в default-secret.

Notice

Используйте default-secret напрямую вместо копирования содержимого секрета для создания нового. Учётные данные в скопированном секрете истекут, и образ не может быть получен.

kubectl describe secret default-secret

Вывод команды:

Name:         default-secret
Namespace:    default
Labels:       secret-generated-by=cce
Annotations:  swr-auth-may-expires-at: 2021-11-26 20:55:31.380909 +0000 UTC

Type:  kubernetes.io/dockerconfigjson

Data
====
.dockerconfigjson:  347 bytes

paas.elb

Это paas.elb данные хранят временный AK/SK, который используется при создании узла или автоматическом создании балансировщика нагрузки. The paas.elb данные обновляются периодически и имеют ограниченное время действия до истечения.

На практике вы не будете использовать напрямую paas.elb. Не удаляйте его, так как это приведёт к сбою при создании узла или балансировщика нагрузки.

default-token-xxxxx

По умолчанию, Kubernetes создает учётную запись службы с именем default для каждого пространства имён. default-token-xxxxx является ключом учётной записи службы, и xxxxx является случайным числом.

Note

В кластерах v1.25 и новее секрет не создаётся автоматически для каждой ServiceAccount. Подробнее см. Service Account Token Security Improvement.

Проверьте учётную запись службы в кластере.
```
kubectl get sa
```
Вывод команды:
```
NAME     SECRETS   AGE
default  1         30d
```

Выполните следующую команду, чтобы просмотреть секрет:

kubectl describe sa default

Вывод команды:

Name:                default
Namespace:           default
Labels:              <none>
Annotations:         <none>
Image pull secrets:  <none>
Mountable secrets:   default-token-xxxxx
Tokens:              default-token-xxxxx
Events:              <none>

Родительская тема: ConfigMaps and Secrets

Предыдущая статья

Использование секрета

Следующая статья

Дополнения

Эта статья полезна?

Поддержка Юридические документы