啃k8s之secret和configmap的配置管理

最新推荐文章于 2023-08-19 08:05:25 发布
最新推荐文章于 2023-08-19 08:05:25 发布
阅读量309 收藏
点赞数
分类专栏: kubernets 文章标签: kubernetes 云计算
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_47219942/article/details/109107649
版权

啃k8s之secret和configmap的配置管理

一:secret配置管理

1.1:Secret机密

  • 官网地址:https://kubernetes.io/zh/docs/concepts/configuration/secret/

  • Secret解决了密码、token、密钥等敏感数据的配置问题,将加密数据存放在etcd中,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。

  • Secret是用来保存小片敏感数据的k8s资源,例如密码,token,或者秘钥。这类数据当然也可以存放在Pod或者镜像中,但是放在Secret中是为了更方便的控制如何使用数据,并减少暴露的风险。

  • 用户可以创建自己的secret,系统也会有自己的secret。

  • Pod需要先引用才能使用某个secret,Pod有2种方式来使用secret:

    • 1、作为volume的一个域被一个或多个容器挂载;
    • 2、在拉取镜像的时候被kubelet引用。

1.2:创建secret

1.2.1:方式一:基于文件创建secret

  • 1、创建用户与密码文件
[root@master ~]# cd test/
[root@master test]# ls
coredns.yaml           nginx-service.yaml  pod2.yaml  pod8.yaml
cronjob.yaml           nginx-test01.yaml   pod3.yaml  registry-pull-secret.yaml
ds.yaml                nginx-test02.yaml   pod4.yaml  sts.yaml
headless.yaml          nginx-test.yaml     pod5.yaml  tomcat-deployment.yaml
job.yaml               nodeselector.yaml   pod6.yaml
nginx-deployment.yaml  pod1.yaml           pod7.yaml
[root@master test]# echo -n 'admin' > ./username.txt
[root@master test]# echo -n 'abc123' > ./password.txt

[root@master test]# kubectl create secret generic db-user-pass --from-file=./username.txt --from-file=./password.txt
secret/db-user-pass created
'可以使用 kubectl create secret --help查看命令帮助'

[root@master test]# kubectl get secret		'查看secret资源'
NAME                  TYPE                                  DATA   AGE
db-user-pass          Opaque                                2      12s
default-token-dljps   kubernetes.io/service-account-token   3      6d8h
[root@master test]# kubectl describe secret db-user-pass
Name:         db-user-pass
Namespace:    default
Labels:       <none>
Annotations:  <none>

Type:  Opaque

Data
====
username.txt:  5 bytes
password.txt:  6 bytes

1.2.2:方式二:基于参数创建secret

  • 1、创建变量参数(进行base64解码 )
[root@master ~]# echo -n '' | base64
YWRtaW4x
[root@master ~]# echo -n 'abc' | base64
YWJjMTIz
  • 创建yaml文件
[root@master test]# vim secret.yaml
apiVersion: v1
kind: Secret		'指定secret类型'
metadata:
  name: mysecret
type: Opaque
data:
  username: YWRtaW4x		'输入解码后的参数'
  password: YWJjMTIz

[root@master test]# kubectl create -f secret.yaml 	'创建secret资源'
secret/mysecret created
[root@master test]# kubectl get secret
mysecret              Opaque                                2      11s

[root@master ~]# kubectl describe secret mysecret	'查看详细信息'
Name:         mysecret
Namespace:    default
Labels:       <none>
Annotations:  <none>

Type:  Opaque

Data
====
password:  11 bytes
username:  8 bytes

1.3:pod使用secret

1.3.1:方式一:使用secret中的变量导入到pod中

  • 1、调用secret资源中的变量

    key: username赋值给SECRET_USERNAME

    key: password 赋值给SECRET_PASSWORD

[root@master test]# kubectl get secret mysecret -o yaml	
apiVersion: v1
data:
  password: YWJjMTIz
  username: YWRtaW4x
kind: Secret
metadata:
  creationTimestamp: 2020-10-15T10:35:02Z
  name: mysecret
  namespace: default
  resourceVersion: "194917"
  selfLink: /api/v1/namespaces/default/secrets/mysecret
  uid: 15104830-0ed2-11eb-ba66-000c29115408
type: Opaque
  • 2、创建yaml文件并创建资源
[root@master test]# vim secret-var.yaml
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: nginx
    image: nginx
    env:
      - name: SECRET_USERNAME			'定义的第一个变量名'
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: username			'key: username赋值给SECRET_USERNAME'
      - name: SECRET_PASSWORD			'定义的第二个变量名'
        valueFrom:
          secretKeyRef:
            name: mysecret			
            key: password		 	'key: password 赋值给SECRET_PASSWORD'	

[root@master test]# kubectl apply -f secret-var.yaml 
pod/mypod created

[root@master test]# kubectl get pods
NAME                     READY   STATUS    RESTARTS   AGE
mypod                    1/1     Running   0          117s

[root@master test]# kubectl exec -it mypod bash	'登陆pod资源验证用户名和密码'
# echo $SECRET_USERNAME
admin1
# echo $SECRET_PASSWORD  
abc123

1.3.2:方拾:二:使用挂载

  • 以volume的形式挂载到pod的某个目录下
  • 1、创建yaml文件资源
[root@master test]# vim secret-vol.yaml
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: nginx
    image: nginx
    volumeMounts:
    - name: foo
      mountPath: "/etc/foo"		'容器内的挂载路径'
      readOnly: true
  volumes:
  - name: foo
    secret:
      secretName: mysecret		'想要获取mysecret资源,只要将foo挂载'

[root@master test]# kubectl create -f secret-vol.yaml 
pod/mypod created

[root@master test]# kubectl get pods
NAME    READY   STATUS    RESTARTS   AGE
mypod   1/1     Running   0          7m4s

[root@master test]# kubectl exec -it mypod bash		'登陆pod资源验证用户密码'
root@mypod:/# ls /etc/foo/
password  username
root@mypod:/# ls /etc/foo/username 
/etc/foo/username
root@mypod:/# ls /etc/foo/password 
/etc/foo/password

二:ConfigMap配置管理

  • configmap与Secret类似,区别在于ConfigMap保存的是不需要加密配置的信息

  • 应用场景:应用配置

  • 有两种创建方式:1、使用kubectl创建(yaml文件)2、使用变量参数创建

2.1:方法一:使用kubectl创建

  • 1、编写redis服务需要的配置并创建configmap资源
[root@master test]# vim redis.properties
redis.host=127.0.0.1
redis.port=6379
redis.password=123456
[root@master test]# kubectl create configmap redis-config --from-file=redis.properties
configmap/redis-config created

[root@master test]# kubectl get configmap	'查看configmap资源'
NAME           DATA   AGE
redis-config   1      12s

[root@master test]# kubectl get cm		'configmap可以缩写成cm'
NAME           DATA   AGE
redis-config   1      23s

[root@master test]# kubectl describe cm redis-config
Name:         redis-config
Namespace:    default
Labels:       <none>
Annotations:  <none>

Data
====
redis.properties:
----
redis.host=127.0.0.1
redis.port=6379
redis.password=123456

Events:  <none>

2、编写yaml文件并创建pod资源

[root@master test]# vim cm.yaml
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
    - name: busybox
      image: busybox
      command: [ "/bin/sh","-c","cat /etc/config/redis.properties" ]
      volumeMounts:
      - name: config-volume
        mountPath: /etc/config
  volumes:
    - name: config-volume
      configMap:
        name: redis-config
  restartPolicy: Never

[root@master test]# kubectl apply -f cm.yaml 
pod/mypod created


[root@master test]# kubectl get pods -w
NAME    READY   STATUS              RESTARTS   AGE
mypod   0/1     ContainerCreating   0          13s
mypod   0/1   Completed   0     39s

[root@master test]# kubectl get pods 
NAME    READY   STATUS      RESTARTS   AGE
mypod   0/1     Completed   0          89s

[root@master test]# kubectl logs mypod		'查看log,进行验证结果'
redis.host=127.0.0.1
redis.port=6379
redis.password=123456

2.2:使用变量参数形式创建configmap资源

  • 1、创建configmap资源
apiVersion: v1
kind: ConfigMap
metadata:
  name: myconfig
  namespace: default
data:
  special.level: info
  special.type: hello
  • 2、创建测试pod
[root@master test]# vim config-var.yaml
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
    - name: busybox
      image: busybox
      command: [ "/bin/sh", "-c", "echo $(LEVEL) $(TYPE)" ]
      env:
        - name: LEVEL
          valueFrom:
            configMapKeyRef:
              name: myconfig
              key: special.level
        - name: TYPE
          valueFrom:
            configMapKeyRef:
              name: myconfig
              key: special.type
  restartPolicy: Never
  
  
[root@master test]# kubectl delete pod mypod
pod "mypod" deleted

[root@master test]# kubectl apply -f config-var.yaml 
pod/mypod created

[root@master test]# kubectl get pods -w
NAME    READY   STATUS              RESTARTS   AGE
mypod   0/1     ContainerCreating   0          17s
mypod   0/1   Completed   0     27s

[root@master ~]# kubectl logs config-var.yaml	'查看变量输出结果'
info hello
Kevin古月
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
synator:Synator Kubernetes Secret和ConfigMap同步器
04-23
Synator Kubernetes Secret和ConfigMap同步器 有时,我们想在不同的名称空间中使用机密,不幸的是,我们不能没有任何辅助运算符或手动复制,因为在kubernetes中,机密和configmaps是名称空间。 当我们有几个命名空间...
k8sConfigMapsecret
wang0907的博客
01-07 1079
我们知道k8s的数据都是存储到kv数据库etcd中的,那么我们程序中使用到各种配置信息是否可以也存储到etcd,然后在pod中使用呢?是可以的,k8s为了实现将自定义的数据存储到etcd,定义了ConfigMapsecret两种API对象。其中ConfigMap用来保存明文数据,如端口号,普通配置参数等,Secret用来配置需要加密的数据,如密码,秘钥等。本文就一起来看下这两个对象的定义以及如何在pod中使用。
k8s,盘他!secret和configmap配置管理
CN_TangZheng的博客
05-20 426
文章目录前言一:secret配置管理1.1:Secret机密1.2:创建secret1.2.1:方式一:基于文件创建secret1.2.2:方式二:基于参数创建secret1.3:pod使用secret1.3.1:方式一:使用secret中的变量导入到pod中1.3.2:方拾:二:使用挂载二:ConfigMap配置管理2.1:方法一:使用kubectl创建2.2:使用变量参数形式创建configmap资源如有疑问可评论区交流! 前言 一:secret配置管理 1.1:Secret机密 官网地址:https:
k8s之安全信息(secret)及配置信息(configmap)管理
weixin_47151643的博客
10-16 634
k8s之安全信息(secret)及配置信息(configmap)管理 文章目录k8s之安全信息(secret)及配置信息(configmap)管理一:secret和configMap的区别2.2:通过YAML创建Secret2.3:以环境变量的方式使用secret2.31:方式一:使用secret中的变量导入到pod中2.4:volume 方式使用 Secret三:configMap数据的两种引用方式3.1:创建kubectl3.2:第二种变量参数形式 前言 在K8s中有Secret和configMap这两
【云原生】k8s存储管理中ConfigMap & Secret的使用
最新发布
征服Bug的博客
08-19 2万+
Kubernetes 中,ConfigMap 是一种用于存储非敏感信息的 Kubernetes 对象。它用于存储配置数据,如键值对、整个配置文件或 JSON 数据等。ConfigMap 通常用于容器镜像中的配置文件、命令行参数和环境变量等。ConfigMap 可以通过三种方式进行配置数据的注入:环境变量注入:将配置数据注入到 Pod 中的容器环境变量中。配置文件注入:将配置数据注入到 Pod 中的容器文件系统中,容器可以读取这些文件。命令行参数注入:将配置数据注入到容器的命令行参数中。基本操作。
k8s配置管理--configmapsecret
热门推荐
大风车儿的博客
04-06 20万+
k8sconfigmapsecret使用
k8s实战之资源和命令
06-17
介绍主要的k8s资源的使用配置和命令。包括configmap,pod,service,replicaset,namespace,deployment,daemonset,ingress,pv,pvc,sc,role,rolebinding,clusterrole,clusterrolebinding,secret,service...
k8s-resource-replicator:Kubernetes运算符可通过可选的JSON Patch自定义转换在名称空间之间复制资源(例如ConfigMapSecret等)
04-10
Kubernetes资源复制器 一个非常精简和快速的Kubernetes运算符,它允许跨命名空间复制资源(例如ConfigMapSecret等)。 它还支持操作,以轻松转换有效负载。 CRD实例的示例: apiVersion : shopstic....
Reloader:一个Kubernetes控制器,用于监视ConfigMapSecrets中的更改,并在Pods上使用与其关联的Deployment,StatefulSet,DaemonSet和DeploymentConfig – [✩Star](如果正在使用)进行滚动升级!
02-02
Reloader可以监视ConfigMapSecret更改,并可以在Pods上使用与其关联的DeploymentConfigs , Deployments , Daemonsets和Statefulsets进行滚动升级。 兼容性 Reloader与kubernetes> = 1.9兼容 如何使用Reloader ...
k8s培训视频.zip
05-09
13-kubernetes pv、pvc、configmapsecret 14-kubernetes statefulset控制器 15-kubernetes认证及serviceaccount 16-kubernetes RBAC 17-kubernetes dashboard认证及分级授权 18-配置网络插件flannel 19-基于canel...
k8sSecret(密文)和configmap(明文)的使用
很多时候犯错都是在不知情的情况下发生的
08-13 4715
执行一下。
k8s-configmapsecret
fzzjoy的专栏
04-24 370
ConfigMap ConfigMap 并不提供保密或者加密功能。 如果你想存储的数据是机密的,请使用 Secret, 或者使用其他第三方工具来保证你的数据的私密性,而不是用 ConfigMap。 如何在容器中监听configMap的变化 viper 参考 ConfigMap ...
简述 Kubernetes ConfigMapSecret
u011447403的专栏
04-17 298
简述 kubernetes 中的配置对象 ConfigMapSecret
k8sSecret & Configmap
weixin_51697758的博客
08-13 731
Secret可以为Pod提供密码、Token、私钥等敏感数据;对于一些 非敏感数据,比如应用的配置信息,则可以用ConfigMapConfigMap的创建和使用方式与Secret非常类似,主要的不同是 数据以明文的形式存放Configmap能解决哪些问题?...
k8s--configMapsecret
sfakh的博客
12-08 421
k8s--configMapsecretconfigMap是什么创建configMapsecret向容器传递命令行参数 在k8s中向应用传递配置数据可以通过环境变量、configmapsecret等方式。 configmapsecret都是k8s中的资源,用于将pod的配置分离,便于处理和信息的保密 configMap是什么 configMapK8s中用于数据持久化和共享的资源,常用于将其挂载到pod中的容器。configmapk8s中用于将配置资源映射到pod容器中的一种资源。可以在pod中的容
Liunx——k8sConfigmapSecret
weixin_45191791的博客
11-22 286
Secret和ConfigMap 在日常单机甚至集群状态下,我们需要对一个应用进行配置,只需要修改其配置文件即可。 传统的实践过程中通常有以下几种方式: 启动容器时,通过命令传递参数; 将定义好的配置文件通过镜像文件进行写入; 通过环境变量的方式传递配置数据; 挂载Docker卷传送配置文件; 而在Kubernetes系统之中也存在这样的组件,就是特殊的存储卷类型。其并不是提供pod存储空间,而是给管理员或用户提供从集群外部向Pod内部的应用注入配置信息的方式。这两种特殊类型的存储卷分别是:config
Kubernetes详解(四十)——Secret和ConfigMap
永远是少年
05-06 578
今天继续给大家介绍Linux运维相关知识,本文主要内容是Secret和ConfigMap。 一、背景 二、Secret详解 三、ConfigMap详解
Kubernetes-configmapsecret配置管理
qq_46490950的博客
08-01 822
目录:一.ConfigMap简介二.创建configmap1.使用字面值创建2.文件创建使用目录创建4.编写configmap的yaml文件三.ConfigMap使用1.设置环境变量的方式2.通过在pod的命令行下运行的方式3.作为volume的方式挂载到pod内四.Secret概述1.Service Account2.Opaque Secret五.secret应用1.创建secret2.将Secret挂载到Volume中3.向指定路径映射 secret 密钥4.将Secret设置为环境变量5.docker
k8sconfigmapsecret向Pod注入配置数据
yrx420909的博客
04-27 2334
1.configmap configmapsecret是两种特殊的存储卷,它们不是给pod提供存储空间用的,而是给管理员或者用户提供了从外部向pod内部注入信息的方式. configmap:把配置文件放在配置中心上,然后多个pod读取配置中心的配置文件,不过,configmap中的配置信息都是明文的,所以不安全; secret:功能和configmap一样,只不过配置中心存储的配置文件不是明文的...
k8ssecret和configmap有什么区别?详细的说一
05-25
Kubernetes中的Secret和ConfigMap都是用于管理应用程序的配置数据和敏感信息的对象。它们的区别在于: 1. 数据类型:Secret用于存储敏感信息,例如密码、密钥等,而ConfigMap用于存储应用程序的配置数据,例如环境...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值