管理保密字典

在工作负载连接后端数据库服务、对客户端请求进行安全验证等业务场景中,您可能需要保存一些敏感的配置信息,如用户名、密码和证书等。建议您通过阿里云容器计算服务ACS集群的保密字典(Secret)来管理这些敏感信息,避免信息暴露。本文介绍如何在ACS集群中创建、编辑和删除保密字典。

前提条件

已创建ACS集群。具体操作,请参见创建ACS集群

背景信息

保密字典有多种类型,例如:

  • Service Account:用来访问Kubernetes API,由Kubernetes自动创建,并且会自动挂载到Pod的/run/secrets/kubernetes.io/serviceaccount目录中。

  • Opaque:Base64编码格式的Secret,用来存储密码、证书等敏感信息。

默认情况下,通过ACS控制台界面只能创建Opaque类型的保密字典。Opaque类型的数据是一个Map类型,要求Value是Base64编码格式。

ACS提供一键创建保密字典的功能,自动将明文数据编码为Base64格式。您也可通过命令行手动创建密钥,请参见Kubernetes Secret了解更多信息。

创建保密字典

  1. 登录容器计算服务控制台,在左侧导航栏选择集群

  2. 集群页面,单击目标集群ID,然后在左侧导航栏,选择配置管理 > 保密字典

  3. 保密字典页面,选择所属命名空间后,单击右上角的创建,在弹出面板中配置新的保密字典。

    参数

    说明

    名称

    输入保密字典的名称。

    类型

    包含Opaque私有镜像仓库登录密钥以及TLS证书

    Opaque

    若类型选择为Opaque,则需要配置以下参数:

    • 可选:若您需要将明文数据编码为Base64格式,请选中对数据值进行Base64编码

    • 配置保密字典的数据。单击+ 添加,在名称文本框中,输入保密字典名称和值。

    私有镜像仓库登录密钥

    若类型选择为私有镜像仓库登录密钥,则需要配置以下参数:

    • 镜像仓库地址:输入保密字典所在镜像仓库地址。

    • 用户名:输入镜像仓库的用户名。

    • 密码:输入镜像仓库的密码。

    TLS证书

    若类型选择为TLS证书,则需要配置以下参数:

    • Cert:输入TLS证书。

    • Key:输入TLS证书Key。

相关操作

保密字典创建完成后,您可以在保密字典页面进行以下操作:

  • 单击目标保密字典名称,可查看该保密字典的基本信息和详细信息。

    说明

    单击image.png图标,可查看数据明文。

  • 单击目标保密字典名称右侧操作列下的编辑,可修改该保密字典的信息。

  • 单击目标保密字典名称右侧操作列下的删除,可删除不需要的保密字典。

    重要

    请勿删除或修改kube-system等系统命名空间下自动创建的保密字典,以确保集群的稳定和安全性。

相关文档

关于如何在ACS集群中通过数据卷和环境变量的方式使用保密字典,请参见在容器组中使用保密字典