【kubernetes】kubernetes中的应用配置(ConfigMap和Secret)

已于 2023-10-07 14:23:21 修改
阅读量460 收藏
点赞数
分类专栏: kubernetes 文章标签: kubernetes 容器 云原生
于 2023-10-06 20:46:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luofengmacheng/article/details/133620848
版权

目录

1 为什么需要ConfigMap和Secret

应用程序启动过程中通常需要传递参数,当参数较多时会将参数保存到配置文件中,并在配置文件中设置默认参数,当程序启动时再从配置文件中读取配置。

k8s中的应用当然也有这种需求,一种方式是将基础的配置文件直接打包到镜像中,然后在启动命令中设置某些需要更改的配置项,但是,既然将配置项放到配置文件中,当然是希望能够方便地修改配置,如果每次修改配置都需要修改命令行参数,那配置文件有何意义?如果修改配置文件的默认配置还需要重新打包镜像,那配置就没作用了,就跟直接将配置项写死在程序中一样。因此,镜像中不应该包含配置文件,而是只有应用程序。

为了能够让应用程序从统一的地方加载配置文件,同时,能够一次性修改Deployment或者DaemonSet的所有Pod的配置项,k8s提供了两种保存配置的方式,ConfigMap和Secret(ConfigMap是直接以键值对的方式保存配置项,Secret则是会对配置项的值进行加密存储),Pod可以将它们作为卷挂载到容器中。

2 k8s中给容器传递配置的方式

  • 直接覆盖容器的ENTRYPOINT和CMD,修改容器启动的命令和参数
  • 为容器设置环境变量
  • 使用ConfigMap分离不同环境的配置

3 ConfigMap的基本使用

ConfigMap的使用包含ConfigMap的创建和挂载。

ConfigMap的创建可以通过命令行和yaml文件。

通过命令行创建ConfigMap:

kubectl create configmap app-config --from-literal=log_level=debug --from-literal=user=admin

上面的命令会创建名为app-config的ConfigMap,里面有两个配置项:user和log_level,值分别是admin和debug。最终在ConfigMap中的配置就是:

apiVersion: v1
kind: ConfigMap
metadata:
  name: app-config
data:
  log_level: debug
  user: admin

两个配置项以kv的方式保存在configmap.data。

一般来说,很多程序的配置项比较多,特别是生产环境的配置,因此,实际工作中一般不太可能直接用上面的命令创建ConfigMap,通常都是使用文件或者目录的方式创建:

kubectl create configmap app-config --from-file=a.conf --from-file=config_item=b.conf --from-file=config_dir

上面演示了三种从文件或者文件夹读取配置的方式:

  • –from-file=a.conf 会创建键为a.conf,值为文件内容的配置项
  • –from-file=config_item=b.conf 会创建键为config_item,值为文件内容的配置项
  • –from-file=config_dir 会创建以目录下文件名为键,值为对应内容的配置项

可以发现,用这种从文件中读取配置创建ConfigMap的方式默认情况下会使用文件名作为键,文件内容作为值,当然,也可以自定义键名,这种方式创建的ConfigMap的配置如下:

apiVersion: v1
kind: ConfigMap
metadata:
  name: app-config
data:
  a.conf: |
    a=b
    c=d
    e=f
  config_item: |
    m=n
    p=q
  m.conf: |
    l=m
  n.conf: |
    d=e

在k8s中,创建ConfigMap最常用的肯定还是yaml的方式,根据上面的ConfigMap的yaml结果也可以知道ConfigMap中的配置方式。

唯一需要说明的就是多行文本的表示:上例中,由于配置文件有多行,如果不加后面的|,最终的ConfigMap中的配置项的值会将多行变成一行,这当然不是我们预期的,因此,为了让配置文件能够以原本的样子保存到ConfigMap中,一般都可以带上|,如果真的要让配置文件内容与ConfigMap一模一样,则可以使用|+,前面的|在多个空行的情况下会合并成一个空行。

创建完ConfigMap,下一步就是将ConfigMap挂载给Pod使用。

最简单的方式就是直接将ConfigMap挂载到容器中,其中的键变成文件名,值就成为文件的内容:

apiVersion: v1
kind: Pod
metadata:
  name: test
spec:
  containers:
  - name: nginx
    image: nginx
    volumeMounts:
    - name: my-config
      mountPath: /opt
  volumes:
  - name: my-config 
    configMap:
      name: app-config

Pod将app-config这个ConfigMap命名为my-config,然后将my-config这个卷挂载到nginx容器的/opt目录,创建该Pod后,Pod的nginx容器的/opt目录下就有4个配置文件:a.conf、config-item、m.conf、n.conf,容器的进程在启动后就可以读取这些配置文件。

4 ConfigMap的实践

当然,有时候事情并不是如此美好,k8s中也提供了一些选项用以应对一些特殊场景。

场景一:不允许修改ConfigMap

有时候ConfigMap的值是固定的,需要防止ConfigMap中的值被意外修改,这时候可以设置configmap.immutable为true,该选项只在1.21及以上的版本可用。

将ConfigMap设置为不能修改的好处除了防止被意外修改,还能够降低apiserver的压力,因为系统会关闭对无法修改的ConfigMap的监视操作。

场景二:可选的ConfigMap

默认情况下,当挂载某个不存在的ConfigMap时,Pod会长时间处于ContainerCreating状态,然后启动失败。有时候Pod会弱依赖其他的ConfigMap,也就是说,如果ConfigMap存在则进行挂载,如果不存在,则忽略,此时可以设置pod.spec.volumes.configMap.optional选项为true,那么在ConfigMap不存在的情况下,Pod会启动成功。

场景三:只挂载ConfigMap中的单个配置项

常规场景下是将ConfigMap中的键值对以目录中的文件方式挂载到目标目录,但是有时候只需要挂载某个配置项,这时候可以使用pod.spec.containers.volumeMounts.subPath选项,将该配置设置为ConfigMap中的某个键:

apiVersion: v1
kind: Pod
metadata:
  name: test
spec:
  containers:
  - name: nginx
    image: nginx
    volumeMounts:
    - name: my-config
      mountPath: /opt/abc.conf
      subPath: a.conf
  volumes:
  - name: my-config 
    configMap:
      name: app-config

这里就将app-config这个ConfigMap中的a.conf挂载到容器中的/opt/abc.conf文件。

但是使用subPath有个问题:如果后续修改了Configmap的内容,容器重启时会失败。因此,一般不建议使用subPath。

5 Secret的基本使用

ConfigMap中的配置是以明文形式存储,为了增强数据的安全性,k8s提供了Secret。

Secret有三种类型:

  • Opaque:值以base64编码,如果想增强安全性,需要使用额外的安全插件
  • kubernetes.io/service-account-token:SA使用的Secret
  • kubernetes.io/dockerconfigjson:访问镜像仓库的Secret

跟ConfigMap类似,Secret也有命令行和yaml文件的方式创建。

请添加图片描述

可以发现,Opaque类型的Secret的创建命令跟ConfigMap很像,就是多了个类型字段,类型设置为generic,同时,通过base64 -d就可以直接解码成原来的值,因此,实项目中,如果需要高度安全,Opaque类型的Secret肯定还是不合适的。

对于文件类型的创建命令以及挂载到容器中的方式跟ConfigMap没有区别,这里不再过多介绍。

kubernetes.io/service-account-token类型的Secret:

创建ServiceAccount时,会创建对应的Secret,其中就包含证书和token,当pod.spec.serviceAccount设置为某个ServiceAccount时,Pod就会将该ServiceAccount对应的Secret挂载到Pod的/run/secrets/kubernetes.io/serviceaccount目录。

kubernetes.io/dockerconfigjson类型的Secret:

当容器运行时需要拉去镜像启动容器时,如果需要认证信息,就需要创建这种类型的Secret。

假设用户可以用admin/pwd登陆到内部的registry.oa.com镜像仓库,如果没有指定pod.spec.imagePullSecrets,而直接拉取不到镜像时,pod就会启动失败。

kubectl create secret docker-registry my-registry --docker-server=registry.oa.com --docker-username=admin --docker-password=pwd

此时查看Secret可以发现,k8s将用户名和密码变成了镜像仓库的登陆token,然后就可以将pod.spec.imagePullSecrets设置为my-registry。

6 ConfigMap和Secret的对比

ConfigMap和Secret都是用于存储应用的配置,但是Secret用于存储特定场景下的安全性较高的配置。

  • ConfigMap以明文形式保存应用程序的配置,可以通过卷的形式挂载到容器中进行使用
  • Opaque类型的Secret就是将数据以base64进行编码;SA类型的Secret是供Pod挂载,用以跟apiserver进行通信;dockerconfigjson类型的Secret用以保存访问镜像仓库的认证信息
  • Secret除了这里讲解的三种类型,还有其他的类型,例如tls和helm
luofengmacheng
关注
专栏目录
Helm Chart 通过 configMap 管理应用程序配置文件
周郎先生的博客
05-31 5400
目录背景修改配置文件默认实现更优雅的实现`values.yaml``templates/configmap.yaml``templates/statefulset.yaml`对配置文件进行版本管理修改配置文件能自动触发 rolling update 背景 各种成熟软件的官方container image,大多包含了默认的配置文件,在真正的生产部署,一定需要灵活的方法管理这些配置文件,以满足下列需求: 能修改默认配置文件 对配置文件进行版本管理 修改配置文件能自动触发 rolling update h
kubernetesConfigMapSecret
qq_41619571的博客
10-03 2395
1. Secret 是一种包含少量敏感信息,例如密码、token 或 key 的对象这样的信息可能会被放在Pod spec 或者镜像;将其放在一个secret 对象可以更好地控制它的用途,并降低意外暴露的风险2.ConfigMap 主要解决配置文件的存储问题,而Secret 主要用来解决密码、token、秘钥等敏感数据①在创建、查看和编辑Pod的流程Secret 暴露风险较小②系统会对Secret 对象采取额外的预防措施,例如避免将其写入磁盘可能的位置③。
Kubernetes学习(六)配置管理ConfigMap
weixin_42017400的博客
03-09 936
ConfigMap是一种API对象,用来将非机密性数据保存到键值对。使用时可以用作环境变量、命令行参数或者存储卷配置文件。ConfigMap配置信息和容器镜像解耦,便于应用修改配置,当需要存储机密数据时可以使用Secret对象。注意:ConfigMap并不提供保密或加密功能。如果想存储加密数据,请使用Secret,或者使用其他第三方工具来保证数据的私密性。ConfigMap配置Pod容器:1、容器entrypoint的命令行参数2、容器的环境变量。
Kubernetes客户端认证—— 基于ServiceAccount的JWTToken认证
2301_77342543的博客
08-04 403
Kubernetes 官方手册给出了 “用户” 的概念,Kubernetes 集群存在的用户包括 “普通用户” 与 “ServiceAccount”, 但是 Kubernetes 没有普通用户的管理方式,通常只是将使用集群根证书签署的有效证书的用户都被视为合法用户。那么对于使得 Kubernetes 集群有一个真正的用户系统,就可以根据上面给出的概念将 Kubernetes 用户分为“内部用户”与“外部用户”。如何理解内部与外部用户呢?
ConfigMapSecret
weixin_45636702的博客
02-17 531
ConfigMapSecret 为什么有这两个东西: 我们在kubernetes上部署应用的时候,经常会需要传一些配置给我们的应用,比如数据库地址啊,用户名密码啊之类的。我们要做到这个,有好多种方案,比如: 我们可以直接在打包镜像的时候写在应用配置文件里面,但是这种方式的坏处显而易见而且非常明显。 我们可以在配置文件里面通过env环境变量传入,但是这样的话我们要修改env就必须去修改yaml...
Springboot整合Spring Cloud Kubernetes读取ConfigMap支持自动刷新配置的教程
09-07
总结一下,这个教程介绍了如何将Spring Boot应用与Spring Cloud Kubernetes整合,以便从ConfigMapSecret动态获取和刷新配置。通过使用Spring Cloud Kubernetes配置支持,我们可以轻松地在Kubernetes环境管理...
kubernetes-配置与存储(ConfigMap、加密数据配置Secret、SubPath、热更新、Volumes、..)
最新发布
09-07
kubernetes-配置与存储(ConfigMap、加密数据配置Secret、SubPath、热更新、Volumes、..)
023 Kubernetes的pv、pvc、configmapsecret.mp4
05-07
023 Kubernetes的pv、pvc、configmapsecret.mp4
synator:Synator Kubernetes Secret和ConfigMap同步器
04-23
Synator Kubernetes Secret和ConfigMap同步器 有时,我们想在不同的名称空间使用机密,不幸的是,我们不能没有任何辅助运算符或手动复制,因为在kubernetes,机密和configmaps是名称空间。 当我们有几个命名空间...
Kubernetes 配置管理:ConfigMapSecret
# 1. 介绍 ## 1.1 什么是Kubernetes配置管理 ...在Kubernetes配置管理可以帮助开发人员和运维团队轻松管理应用程序的配置信息,同时支持应用程序在不同环境下的部署和运行。 ## 1.3 目前在Kubernet
Kubernetes Service Account如何生成Token
weixin_30399797的博客
04-10 1197
Service Account是运行pods用到的帐号,默认是default。如果apiserver启动配置--admission-control=ServiceAccount,Service Account就要生成Token才能启动pods或者连接apiserver进行操作。下面讲讲如何把默认Service Account(default)生成Token。 1,生成serviceaccount...
KubernetesConfigMap说明
码农崛起
04-08 478
https://www.cnblogs.com/breezey/p/6582082.html  https://blog.csdn.net/liukuan73/article/details/79492374 这篇博文,我们来说一说,关于在kubernetes的pod自定义配置的问题。   我们知道,在几乎所有的应用开发,都会涉及到配置文件的变更,比如说在web的程序,需要连接数据库,...
如何在不同 Kubernetes 版本管理 ServiceAccount Token
easylife206的专栏
12-25 651
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !ServiceAccount 为 Pod 运行的进程提供了一个身份,Pod 内的进程可以使用其关联服务账号的身份,向集群的 APIServer 进行身份认证。当创建 Pod 的时候规范下面有一个spec.serviceAccount的属性用来指定该 Pod 使用哪个 ServiceAccount,如果没有指定的...
KubernetesSecret使用详解
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
10-26 1万+
Secret解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod SpecSecret可以以Volume或者环境变量的方式使用。 Secret类型 Secret有三种类型: Opaque:base64编码格式的Secret,用来存储密码、密钥等;但数据也通过base64 –decode解码得到原始数据,所有加密性很弱。 kubernetes.io/doc...
helm-读取配置文件到ConfigMap并映射到容器
kozazyh的专栏
08-17 1万+
我们以一个目例子来说明,目文件结构如下: $ tree . ├── Chart.yaml ├── etc │   └── data.txt ├── etc-values.yaml └── templates     ├── configmap.yaml     ├── deployment.yaml     ├── _helpers.tpl     ├── NOTES.txt     └─...
Kubernetes身份认证和授权操作全攻略:访问控制之Service Account
Rancher
09-06 885
这是本系列的最后一篇文章,前面我们了解了访问控制的基本概念以及身份认证和授权的具体操作,本文我们将进一步了解访问控制的service account。 Kubernetes有用户和service account的概念,可用于访问资源。用户与密钥和证书相关联用于验证API请求,使用其一个配置方案对在集群外部发起的任何请求进行身份验证。最常见的方案是通过X.509证书进行身份认证请求。有关创建...
Kubernetes-一文详解ServiceAccount与RBAC权限控制
Dragon的博客
10-01 2543
目录 一,服务帐号 1.ServiceAccount介绍 2.Secret与SA(ServiceAccount)的关系 3.默认的服务帐户 4.使用自定义SA 5.ServiceAccount添加图片拉秘诀 二,RBAC 1.RBAC介绍 2,角色和集群角色 3,角色绑定和集群角色绑定 实践:创建一个用户只能管理称为vfan的NameSpace 一,服务帐号 1.ServiceAccount介绍 首先,Kubernetes账户区分为:用户帐户(用户帐户)和服务帐户(服务帐
Kubernetes之ServiceAccount+Secret(超详细汇总)
热门推荐
BigData_Mining的博客
03-13 1万+
第一章、前言 每一个用户对API资源进行操作都需要通经过以下三个步骤: 第一步:对客户端访问进行认证操作,确认是否具有访问k8s权限 token(共享秘钥) SSL(双向SSL认证) ....通过任何一个认证即表示认证通过,进入下一步 第二步:授权检查,确认是否对资源具有相关的权限 ABAC(基于属性的访问控制) RBAC(基于角色的访问控制) NODE(基...
[置顶] kubernetes资源类型--secret和Service Account
ddk4044的博客
08-02 446
secret 概念 secret对象类型主要目的是保存和处理敏感信息/私密数据,比如密码,OAuth tokens,ssh keys等信息。将这些信息放在secret对象比 直接放在pod或docker image更安全,也更方便使用。 一个已经创建好的secrets对象有两种方式被pod对象使用,其一,在container的volume对象里以file的形式被使用,其二,在p...
KubernetesConfigMapSecret管理配置
"ConfigMapSecret是Kubernetes集群用于管理和传递应用配置信息的重要工具,旨在解决在容器化环境配置管理的复杂性和安全性问题。" 在Kubernetes生态系统ConfigMapSecret是两种关键的资源类型,它们允许...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值