概述

本文档介绍保密字典（Secret）的作用，以及如何通过控制台和 kubectl 管理 Secret 资源。

Secret 是 K8S 提供的一种 API 资源，用于保存敏感信息，例如密码、OAuth 令牌和 SSH 密钥等。用户可在 CCE 上通过控制台及 kubectl 方式管理 Secret 资源。

前提条件

• 已创建 CCE 集群，具体操作请参见 创建CCE集群。
• 已创建命名空间，具体操作请参见 命名空间基本操作。
• 如需通过 kubectl 管理 Secret，请确保本地已安装 kubectl 并已正确配置目标集群的 kubeconfig。

通过控制台管理Secret

创建 Secret

1. 导航路径：产品服务->云原生->容器引擎 CCE->集群管理->集群列表->目标集群->配置管理->保密字典。进入“保密字典 Secret”列表页。

2. 单击 【创建保密字典】，在弹框中配置相关参数。

   

   配置项	是否必填	说明
   保密字典名称	必填	请输入自定义名称。
   命名空间	必填	指定创建资源所在命名空间。
   类型	必填	提供Opaque、TLS证书和私有镜像拉取访问凭证类型，请根据实际需求进行选择。 Opaque:适用于保存密钥证书和配置文件，Value 将以 base64 格式编码。 TLS 证书：适用于保存 TLS 证书和私钥。 私有镜像拉取访问凭证：适用于保存私有 Docker Registry 的认证信息。
   内容	必填	当Secret类型为Opaque时，需要设置变量名和变量值，支持添加多个。
   Cert	必填	当Secret类型为TLS证书时，需要添加证书或倒入证书文件。
   Key	必填	当Secret类型为TLS证书时，需要添加私钥或倒入私钥文件。
   镜像仓库地址	必填	当Secret类型为私有镜像拉取访问凭证时，需要输入镜像仓库访问地址。
   用户名	必填	当Secret类型为私有镜像拉取访问凭证时，需要输入登录镜像仓库的用户名。
   密码	必填	当Secret类型为私有镜像拉取访问凭证时，需要输入登录镜像仓库的密码。
   确认密码	必填	当Secret类型为私有镜像拉取访问凭证时，需要再次输入登录镜像仓库的密码。

3. 单击 【确认】。返回列表页后，确认新建 Secret 已出现在列表中，且命名空间和类型与配置一致。

查询Secret

1. 导航路径：产品服务->云原生->容器引擎 CCE->集群管理->集群列表->目标集群->配置管理->保密字典。进入“保密字典 Secret”列表页并找到目标保密字典。

2. 单击目标保密字典名称，系统会打开详情页。详情页包含以下内容：

   • 基本信息：名称、命名空间、类型、创建时间。
   • 数据信息：展示数据项信息，并支持通过显示/隐藏按钮切换数据详情的展示状态。

编辑Secret

1. 导航路径：产品服务->云原生->容器引擎 CCE->集群管理->集群列表->目标集群->配置管理->保密字典。进入“保密字典 Secret”列表页并找到目标保密字典。
2. 单击 【编辑】。在“编辑保密字典”弹窗中按需修改可编辑内容；以 Opaque 类型 Secret 为例，可在 内容 区域更新变量值。
3. 单击 【确认】。提交后，返回列表页并确认修改已生效。

删除Secret

注意： 删除 Secret 后不可恢复。若已有工作负载引用该 Secret，删除后可能影响业务访问，请先确认相关依赖关系。

1. 导航路径：产品服务->云原生->容器引擎 CCE->集群管理->集群列表->目标集群->配置管理->保密字典。进入“保密字典 Secret”列表页并找到目标保密字典。
2. 单击 【删除】。在确认弹框中核对名称、命名空间和创建时间等信息。
3. 单击 【确定】，完成删除并确认目标 Secret 已不再显示在列表中。

通过kubectl管理Secret

Secret YAML 示例:

1apiVersion: v1
2kind: Secret
3metadata:
4  name: baidu-secret
5data:
6  username: dXNlcm5hbWU=  # echo -n "username" | base64
7  password: cGFzc3dvcmQ=  # echo -n "password" | base64

Pod 中使用 Secret 作为文件:

1apiVersion: apps/v1
2kind: Deployment
3metadata:
4  name: app-nginx
5  labels:
6    app: nginx
7spec:
8  selector:
9    matchLabels:
10      app: nginx
11  template:
12    metadata:
13      labels:
14        app: nginx
15    spec:
16      containers:
17        - name: nginx
18          image: hub.baidubce.com/cce/nginx-alpine-go:latest
19          volumeMounts:
20            - name: foo
21              mountPath: "/etc/foo"
22              readOnly: true
23      volumes:
24        - name: foo
25          secret:
26            secretName: baidu-secret

上述 secret baidu-secret 对应的文件，会存在 Pod 的 /etc/foo 下:

1# exec -it 进入容器
2
3# ls /etc/foo/
4password  username