Secret解決了密碼、token、金鑰等敏感資料的配置問題，使用Secret可以避免把這些敏感資料以明文的形式暴露到映象或者Pod Spec中。

Secret可以以Volume或者環境變數的方式使用。

使用如下命令列建立一個secret：

kubectl create secret generic admin-access --from-file=./username.txt --from-file=./password.txt

輸入檔案username.txt和password.txt需要手動建立，裡面分別維護用於測試的使用者名稱和密碼。

建立成功後，發現secret的型別為Opaque：

實際上，Kubernetes的secret有三種類型：

1. Service Account：用來訪問Kubernetes API，由Kubernetes自動建立，並且會自動掛載到Pod的 /run/secrets/kubernetes.io/serviceaccount 目錄中；

2. Opaque：base64編碼格式的Secret，用來儲存密碼、金鑰等；

3. kubernetes.io/dockerconfigjson ：用來儲存私有docker registry的認證資訊。

而我們剛剛建立的secret的型別為Opaque，因此在kubectl get secrets的返回結果裡，能看到password和username的值均為base64編碼：

要在pod裡消費這個secret也很容易，看一個例子：

apiVersion: v1

kind: Pod

metadata:

name: secret-pod

spec:

restartPolicy: Never

volumes:

- name: credentials

secret:

secretName: admin-access

defaultMode: 0440

containers:

- name: secret-container

image: alpine:3.8

command: [ "/bin/sh", "-c", "cat /etc/foo/username.txt /etc/foo/password.txt"
 
 ]

volumeMounts:

- name: credentials

mountPath: "/etc/foo"

readOnly: true

建立pod，自動執行，通過log命令檢視pod的日誌：

發現/bin/sh命令被執行了，pod mount的目錄/etc/foo下的username.txt和password.txt通過cat命令顯示了輸出：

要獲取更多Jerry的原創文章，請關注公眾號"汪子熙":