Kubernetes Secrets, RBAC и Vault

From wiki.baghirzade.pro
Revision as of 21:37, 6 January 2026 by Sadmin (talk | contribs) (Created page with "=== 1. ConfigMap vs Secret === * '''ConfigMap:''' Используется для хранения обычных конфигураций (динамических конфигов). Если менять их внутри имиджа (Dockerfile), придется каждый раз пересобирать имидж. ConfigMap позволяет делать это динамически. * '''Secret:''' Используется для чувствительных...")
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)
Jump to navigation Jump to search

1. ConfigMap vs Secret

  • ConfigMap: Используется для хранения обычных конфигураций (динамических конфигов). Если менять их внутри имиджа (Dockerfile), придется каждый раз пересобирать имидж. ConfigMap позволяет делать это динамически.
  • Secret: Используется для чувствительных данных (пароли, TLS-сертификаты).
  • Главное отличие: ConfigMap хранит данные в открытом виде. Secret использует кодирование Base64.
  • Критическое замечание: Преподаватель подчеркивает, что Base64 — это не шифрование (encryption), а просто кодирование. Любой, у кого есть доступ к неймспейсу, может легко декодировать секрет одной командой.

2. Типы секретов (Secret Types)

В Kubernetes есть несколько стандартных типов:

  1. Opaque (Generic): Обычные данные "ключ-значение".
  2. kubernetes.io/tls: Для хранения сертификатов (нужны два файла: tls.crt и tls.key). Часто используется с Ingress-контроллерами.
  3. kubernetes.io/dockerconfigjson: Для доступа к приватным Docker-регистрам (например, Nexus или Harbor).

3. Работа с секретами в терминале

Преподаватель в видео выполнял следующие действия:

  • Создание секрета из строки (Literal):
kubectl create secret generic secret-1 --from-literal=pass=a1245
  • Просмотр секрета в YAML (где виден Base64):
kubectl get secret secret-1 -o yaml
Retrieved from "https://wiki.baghirzade.pro/index.php?title=Kubernetes_Secrets,_RBAC_и_Vault&oldid=190"