使用 Secrets 输入密码时无法连接到 Kubernetes 中的 mysql pod（访问被拒绝）

Question

我尝试在 Kubernetes 中设置一个 mysql 数据库。我配置了一个 ConfigMap 来存储数据库名称和一个包含 root 密码、用户和用户密码的 Secret。

当我之后尝试连接到数据库时（在容器内部使用 mysql cli 并从外部使用 IntelliJ 数据库工具）我收到“错误 1045 (28000): Access denied for user 'testadm'@'localhost' (using密码：YES)”错误。

我的 kubernetes.yaml 文件：

apiVersion: v1
kind: ConfigMap
metadata:
  name: db
data:
  mysql-database: database

---
apiVersion: v1
kind: Secret
metadata:
   name: db-credentials
type: Opaque
data:
  mysql-root-password: VGVzdDEyMzQK # Test1234
  mysql-user: dGVzdGFkbQo= # testadm
  mysql-password: VGVzdDEyMzQK # Test1234

---
apiVersion: apps/v1beta1
kind: Deployment
metadata:
  name: mysql
spec:
  replicas: 1
  strategy:
    type: Recreate
  template:
    metadata:
      labels:
        app: mysql
    spec:
      containers:
        - name: mysql
          image: mysql:5.7
          ports:
            - containerPort: 3306
          env:
            - name: MYSQL_DATABASE
              valueFrom:
                configMapKeyRef:
                  name: db
                  key: mysql-database
            - name: MYSQL_ROOT_PASSWORD
              valueFrom:
                secretKeyRef:
                  name: db-credentials
                  key: mysql-root-password
            - name: MYSQL_USER
              valueFrom:
                secretKeyRef:
                  name: db-credentials
                  key: mysql-user
            - name: MYSQL_PASSWORD
              valueFrom:
                secretKeyRef:
                  name: db-credentials
                  key: mysql-password

如果我像下面这样直接设置密码，则连接成功在容器内部和外部！

env:
  - name: MYSQL_ROOT_PASSWORD
    value: Test1234

如果我检查容器内的环境变量，我无法发现这两种方法之间的区别。

使用存储在密钥中的密码是否需要任何其他格式？我还尝试将数据字典中的值放在引号中，如下所示：

data:
  mysql-root-password: "VGVzdDEyMzQK"

版本信息

Docker 17.06.0-ce
Minikube 0.21.0
Kubectl Server 1.7.0
Kubectl Client 1.7.3

Answer 1

你可以使用这个 yaml 文件。

apiVersion: v1
kind: Secret
metadata:
   name: db-credentials
type: Opaque
data:
  mysql-password: VGVzdDEyMzQ=
  mysql-root-password: VGVzdDEyMzQ=
  mysql-user: dGVzdGFkbQ==

Answer 2

您确定您的秘密 yaml 中的数据正确进行了 base64 编码吗？使用https://www.base64encode.org/，您的data 块应该如下所示：

data:
  mysql-root-password: VGVzdDEyMzQ= # Test1234
  mysql-user: dGVzdGFkbQ== # testadm
  mysql-password: VGVzdDEyMzQ= # Test1234

Answer 3

对于任何遇到换行问题未解决的问题（例如此处的 OP），请注意，一旦创建数据库，您就无法更改 mysql 密码。只有在创建数据库时才会读取环境变量，因此如果您使用持久卷声明，则需要使用旧密码登录并“手动”更改：https://dev.mysql.com/doc/refman/8.0/en/resetting-permissions.html

Answer 4

您需要授予对客户端计算机的访问权限才能连接 mysql 数据库。

用你的桌面IP替换<ip>地址并在mysql数据库上运行这个命令。然后测试连接。

GRANT ALL PRIVILEGES ON *.* TO 'root'@'<ip>'   WITH GRANT OPTION;
GRANT ALL PRIVILEGES ON *.* TO 'root'@'%'   WITH GRANT OPTION;
FLUSH PRIVILEGES;

您创建秘密的方式不正确。像这样删除并创建它。我在我的集​​群中测试它工作正常。

kubectl create secret generic db-credentials --from-literal=mysql-root-password=Test1234 --from-literal=mysql-user=testadm --from-literal=mysql-password=Test1234

Answer 5

以下通过将数据库密码设置为stringData 来帮助我。

秘密：

apiVersion: v1
kind: Secret
metadata:
  name: db-secret
type: Opaque
data:
  db: bG8ryXYx1cw==
  db_username: cm9vdA==

stringData:
  app_port: '3000'
  db_host: 'db-sql.default.svc.cluster.local'
  db_port: '3306'
  db_password: ‘<redacted>!'

在您的Deployment yaml 中

 - name: DB_PASSWORD
            valueFrom:
              secretKeyRef:
                name: lokalus-server-secret
                key: db_password