ConfigMap与Secret

已于 2022-02-10 14:13:53 修改
阅读量1.1k 收藏
点赞数
文章标签: kubernetes 容器
于 2022-02-08 17:01:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_47288926/article/details/122819676
版权

一、ConfigMap

什么是configmap

  • kubernetes集群可以使用ConfigMap来实现对容器中应用的配置管理
  • 可以把ConfigMap看作是一个挂载到pod中的存储卷

创建ConfigMap的4种方式

创建ConfigMap的方式有4种:

1, 通过直接在命令行中指定configmap参数创建,即--from-literal=key=value

[root@master1 ~]# kubectl create configmap cm1 --from-literal=host=127.0.0.1 --from-literal=port=3306
configmap/cm1 created

[root@master1 ~]# kubectl get cm
NAME   DATA   AGE
cm1    2      12s

[root@master1 ~]# kubectl describe cm cm1
Name:         cm1
Namespace:    default
Labels:       <none>
Annotations:  <none>

Data
====
host:
----
127.0.0.1
port:
----
3306
Events:  <none>

2, 通过指定文件创建,即将一个配置文件创建为一个ConfigMap,--from-file=文件路径

[root@master1 ~]# echo -n 127.0.0.1 > host
[root@master1 ~]# echo -n 3306 > port				

[root@master1 ~]# kubectl create configmap cm2 --from-file=./host --from-file=./port
configmap/cm2 created


[root@master1 ~]# kubectl get cm
NAME   DATA   AGE
cm1    2      3m45s
cm2    2      94s

[root@master1 ~]# kubectl describe cm cm2
Name:         cm2
Namespace:    default
Labels:       <none>
Annotations:  <none>

Data
====
host:
----
127.0.0.1
port:
----
3306
Events:  <none>

3, 通过一个文件内多个键值对,--from-env-file=文件路径;

[root@master1 ~]# vim env.txt
host=127.0.0.1
port=3306

[root@master1 ~]# kubectl create configmap cm3 --from-env-file=env.txt
configmap/cm3 created

[root@master1 ~]# kubectl get cm
NAME   DATA   AGE
cm1    2      4m37s
cm2    2      2m26s
cm3    2      12s

[root@master1 ~]# kubectl describe cm cm3
Name:         cm3
Namespace:    default
Labels:       <none>
Annotations:  <none>

Data
====
host:
----
127.0.0.1
port:
----
3306
Events:  <none>

4, 通过kubectl create/apply -f YMAL文件 创建

[root@master1 ~]# vim cm4.yml
apiVersion: v1
kind: ConfigMap
metadata:
  name: cm4
data:
  host: 127.0.0.1
  port: "3306"
  
[root@master1 ~]# kubectl apply -f cm4.yml
configmap/cm4 created

[root@master1 ~]# kubectl get cm
NAME   DATA   AGE
cm1    2      6m18s
cm2    2      4m7s
cm3    2      113s
cm4    2      11s

[root@master1 ~]# kubectl describe cm cm4
Name:         cm4
Namespace:    default
Labels:       <none>
Annotations:
Data
====
host:
----
127.0.0.1
port:
----
3306
Events:  <none>

ConfigMap的2种使用方式

使用ConfigMap有2种方式:

  • 通过环境变量的方式传递给pod
[root@master1 ~]# vim pod-cm1.yml
apiVersion: v1
kind: Pod
metadata:
  name: pod-cm1
spec:
  containers:
  - name: busybox
    image: busybox
    args: [ "/bin/sh", "-c", "sleep 10000" ]
    envFrom:							# env方式
    - configMapRef:
        name: cm1						# configmap名称

[root@master ~]# kubectl apply -f pod-cm1.yml
pod/pod-cm1 created

[root@master ~]# kubectl get pods
NAME               READY   STATUS    RESTARTS   AGE
pod-cm1            1/1     Running   0          9s

[root@master ~]# kubectl exec pod-cm1 -- env
PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
HOSTNAME=pod-cm1
host=127.0.0.1								 # 我们创建的configmap传进去的env
port=3306									 # 我们创建的configmap传进去的env
DEPLOY_NGINX_PORT_80_TCP=tcp://10.2.205.160:80
DEPLOY_NGINX_PORT_80_TCP_ADDR=10.2.205.160
KUBERNETES_PORT=tcp://10.2.0.1:443
KUBERNETES_PORT_443_TCP=tcp://10.2.0.1:443
MY_SERVICE_SERVICE_HOST=10.2.52.46
MY_SERVICE_PORT_80_TCP_ADDR=10.2.52.46
KUBERNETES_SERVICE_HOST=10.2.0.1
KUBERNETES_PORT_443_TCP_PROTO=tcp
KUBERNETES_PORT_443_TCP_ADDR=10.2.0.1
MY_SERVICE_SERVICE_PORT=80
MY_SERVICE_PORT=tcp://10.2.52.46:80
MY_SERVICE_PORT_80_TCP=tcp://10.2.52.46:80
DEPLOY_NGINX_SERVICE_HOST=10.2.205.160
DEPLOY_NGINX_SERVICE_PORT=80
KUBERNETES_PORT_443_TCP_PORT=443
MY_SERVICE_PORT_80_TCP_PORT=80
DEPLOY_NGINX_PORT=tcp://10.2.205.160:80
DEPLOY_NGINX_PORT_80_TCP_PROTO=tcp
DEPLOY_NGINX_PORT_80_TCP_PORT=80
KUBERNETES_SERVICE_PORT=443
KUBERNETES_SERVICE_PORT_HTTPS=443
MY_SERVICE_PORT_80_TCP_PROTO=tcp
HOME=/root
  • 通过volume的方式挂载到pod内
[root@master1 ~]# vim pod-cm2.yml
apiVersion: v1
kind: Pod
metadata:
  name: pod-cm2
spec:
  containers:
  - name: busybox
    image: busybox
    args: [ "/bin/sh", "-c", "sleep 10000" ]
    volumeMounts:                               # 用volume挂载方式
    - name: vol-cm                              # 对应下面的volume名
      mountPath: "/etc/mysql"                   # 挂载到容器内部的路径
      readOnly: true                            # 只读

  volumes:
  - name: vol-cm                                # 卷名称
    configMap:
      name: cm2                                 # configmap的名称

[root@master1 ~]# kubectl apply -f pod-cm2.yml
pod/pod-cm2 created

[root@master1 ~]# kubectl get pod
NAME      READY   STATUS    RESTARTS   AGE
pod-cm1   1/1     Running   0          3m51s
pod-cm2   1/1     Running   0          49s

[root@master1 ~]# kubectl exec pod-cm2 -- ls /etc/mysql
host
port
[root@master1 ~]# kubectl exec pod-cm2 -- cat /etc/mysql/host
127.0.0.1

[root@master1 ~]# kubectl exec pod-cm2 -- cat /etc/mysql/port
3306

subpath参数拓展讨论

1, 准备一个配置文件

[root@master1 ~]# cat index.html
haha

2, 创建configmap

[root@master1 ~]# kubectl create configmap nginx-index --from-file=index.html
configmap/nginx-index created

3, 创建测试pod

[root@master1 ~]# vim subpath-cm.yaml
apiVersion: v1
kind: Pod
metadata:
  name: subpath-cm
spec:
  containers:
  - name: c1
    image: nginx:1.15-alpine
    volumeMounts:
    - name: nginx-config
      mountPath: /usr/share/nginx/html/index.html		# configmap要挂载并覆盖的绝对路径
      subPath: index.html							    # 这里要写相对路径

  volumes:
  - name: nginx-config
    configMap:
      name: nginx-index									# 对应上面创建的configmap

[root@master1 ~]# kubectl apply -f subpath-cm.yaml

4, 进去测试

[root@master1 ~]# kubectl exec -it subpath-cm -- /bin/sh
/ # cat /usr/share/nginx/html/index.html
haha											# 可以看到主面文件被覆盖了
/ # exit

补充说明: 也可以用nginx.conf做成configmap覆盖/etc/nginx/nginx.conf,但必须是nginx.conf配置文件要能启动容器,否则启不了容器造成测试问题。

ConfigMap的热更新

如果我在宿主机上修改了value, 那么容器内部会不会更新?

  • 通过环境变量的方式传递给pod。这种方式不会热更新
  • 通过volume的方式挂载到pod内。这种方式会热更新,大概需要半分钟左右。
  • 但是使用subpath挂载文件,也不能热更新

验证第1种方式

1, 编辑修改对应的configmap

[root@master1 ~]# kubectl edit cm cm1
apiVersion: v1
data:
  host: 127.0.0.1
  port: "3307"								3306修改成3307
kind: ConfigMap
metadata:
  creationTimestamp: "2020-11-07T12:07:04Z"
  managedFields:
  - apiVersion: v1
    fieldsType: FieldsV1
    fieldsV1:
      f:data:
        .: {}
        f:host: {}
        f:port: {}
    manager: kubectl
    operation: Update
    time: "2020-11-07T12:07:04Z"
  name: cm1
  namespace: default
  resourceVersion: "169386"
  selfLink: /api/v1/namespaces/default/configmaps/cm1
  uid: f06cd44d-2ef9-48f2-9ccc-995f9d9ea2ad

2, 验证对应的pod里的变化,发现很久都不会改变(环境变量方式)

[root@master1 ~]# kubectl exec pod-cm1 -- env |grep port
port=3306									仍然为3306

验证第2种方式

1, 编辑修改对应的configmap

[root@master1 ~]# kubectl edit cm cm2
apiVersion: v1
data:
  host: 127.0.0.1
  port: "3308"							 		 修改成3308
kind: ConfigMap
metadata:
  creationTimestamp: "2020-11-07T12:09:15Z"
  managedFields:
  - apiVersion: v1
    fieldsType: FieldsV1
    fieldsV1:
      f:data:
        .: {}
        f:host: {}
        f:port: {}
    manager: kubectl
    operation: Update
    time: "2020-11-07T12:09:15Z"
  name: cm2
  namespace: default
  resourceVersion: "169707"
  selfLink: /api/v1/namespaces/default/configmaps/cm2

2, 验证对应的pod里的变化,一段时间后会改变(卷挂载方式)

[root@master1 ~]# kubectl exec pod-cm2 -- cat /etc/mysql/port
3308										     大概半分钟后更新

二、Secret

什么是secret

Secret与ConfigMap类似,主要的区别是Secret存储的是密文,而ConfigMap存储的是明文。

所以ConfigMap可以用配置文件管理,而Secret可用于密码,密钥,token等敏感数据的配置管理。

[root@master1 ~]# kubectl create secret -h
Create a secret using specified subcommand.

Available Commands:
  docker-registry Create a secret for use with a Docker registry
  generic         Create a secret from a local file, directory or literal value
  tls             Create a TLS secret

Usage:
  kubectl create secret [flags] [options]

Use "kubectl <command> --help" for more information about a given command.
Use "kubectl options" for a list of global command-line options (applies to all commands).

Secret有4种类型:

  • Opaque: base64编码格式的Secret,用来存储密码、密钥、信息、证书等,类型标识符为generic
  • Service Account: 用来访问Kubernetes API,由Kubernetes自动创建,并且会自动挂载到Pod的/run/secrets/kubernetes.io/serviceaccount目录中
  • kubernetes.io/dockerconfigjson: 用来存储私有docker registry的认证信息,类型标识为docker-registry。
  • kubernetes.io/tls: 用于为SSL通信模式存储证书和私钥文件,命令式创建类型标识为tls。

创建mysql管理员密码Secret

我们使用Opaque类型来创建mysql密码Secret

1, 将明文密码进行base64编码

Opaque类型密码需要进行base64编码

[root@master1 ~]# echo -n 123 |base64
MTIz
假设密码为123,得到的编码为MTIz

2, 编写创建secret的YAML文件

[root@master1 ~]# vim secret-mysql.yml
apiVersion: v1
kind: Secret
metadata:
  name: secret-mysql
data:
  password: MTIz

3, 创建secret并确认

[root@master1 ~]# kubectl apply -f secret-mysql.yml
secret/secret-mysql created

[root@master1 ~]# kubectl get secret |grep secret-mysql
secret-mysql          Opaque                                1      40s

Secret的2种使用方式

使用ConfigMap有2种方式:

通过环境变量的方式传递给pod

1, 编写pod的YAML文件使用Secret

[root@master1 ~]# vim pod-mysql-secret.yml
apiVersion: v1
kind: Pod
metadata:
  name: pod-mysql-secret1
spec:
  containers:
  - name: mysql
    image: mysql:5.7
    env:
      - name: MYSQL_ROOT_PASSWORD
        valueFrom:
          secretKeyRef:
            name: secret-mysql				# 对应创建的secret名字
            key: password

2, 创建pod

[root@master1 ~]# kubectl apply -f pod-mysql-secret.yml
pod/pod-mysql-secret1 created

3, 验证pod

[root@master1 ~]# kubectl get pods
NAME                                READY   STATUS    RESTARTS   AGE
pod-mysql-secret1                   1/1     Running   0          1m46s

4, 验证传入pod的变量效果

[root@master1 ~]# kubectl exec -it pod-mysql-secret1 -- /bin/bash
root@pod-mysql-secret1:/# env |grep MYSQL_ROOT_PASSWORD
MYSQL_ROOT_PASSWORD=123

root@pod-mysql-secret1:/# mysql -p123

通过volume的方式挂载到pod内

1, 编写pod的YAML文件使用Secret

[root@master1 ~]# vim pod-mysql-secret2.yml

apiVersion: v1
kind: Pod
metadata:
  name: pod-mysql-secret2
spec:
  containers:
  - name: busybox
    image: busybox
    args:
    - /bin/sh
    - -c
    - sleep 100000
    volumeMounts:
    - name: vol-secret                  # 定义挂载的卷,对应下面定义的卷名
      mountPath: "/opt/passwd"    # 挂载目录(支持热更新),也可以使用subPath挂载文件(但不支持热更新)
      readOnly: true                    # 只读
  volumes:
  - name: vol-secret                    # 定义卷名
    secret:                             # 使用secret
      secretName: secret-mysql              # 对应创建好的secret名

2, 创建pod

[root@master1 ~]# kubectl apply -f pod-mysql-secret2.yml
pod/pod-mysql-secret2 created

3, 验证pod

[root@master1 ~]# kubectl get pods
NAME                                READY   STATUS    RESTARTS   AGE
pod-mysql-secret2                   1/1     Running   0          15m

4, 验证

[root@master1 ~]# kubectl exec  pod-mysql-secret2 -- cat /opt/passwd/password
123												 在容器内都被解码了

5, 热更新测试

[root@master ~]# echo -n haha123 |base64
aGFoYTEyMw==

[root@master ~]# kubectl edit secret secret-mysql
apiVersion: v1
data:
  password: aGFoYTEyMw==					    密码改成haha123的base64编码
kind: Secret
metadata:

[root@master ~]# kubectl exec  pod-mysql-secret2 -- cat /opt/passwd/password
haha123										   过一会儿,确认密码确实更新了

三、k8s使用harbor仓库

1, 新建一个harbor私有仓库

在这里插入图片描述

2, 所有节点用http连接harbor

# vim /etc/docker/daemon.json

{
  "data-root": "/var/lib/docker",
  "exec-opts": ["native.cgroupdriver=cgroupfs"],
  "registry-mirrors": ["https://docker.mirrors.ustc.edu.cn", "http://hub-mirror.c.163.com"],
  "insecure-registries": ["127.0.0.1/8"],
  "max-concurrent-downloads": 10,
  "log-driver": "json-file",
  "log-level": "warn",
  "log-opts": {
    "max-size": "15m",
    "max-file": "3"
    },
  "storage-driver": "overlay2",								上一句这里要加一个逗号
  "insecure-registries": ["192.168.122.18"]					加上这一句

}

# systemctl restart docker

3, 上传nginx测试镜像到harbor

[root@master1 ~]# docker pull nginx:1.15-alpine


[root@master1 ~]# docker login 192.168.122.18
Username: admin
Password:							我这里密码是123
WARNING! Your password will be stored unencrypted in /root/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store



[root@master1 ~]# docker tag nginx:1.15-alpine 192.168.122.18/test/nginx:v1

[root@master1 ~]# docker push 192.168.122.18/test/nginx:v1

4, 创建docker-registry类型secret

[root@master1 ~]# kubectl create secret docker-registry harbor-secret --docker-server=192.168.122.18 --docker-username=admin --docker-password=123

说明:

  • 类型为docker-registry
  • –docker-server指定harbor仓库的IP
  • –docker-username指定harbor仓库的登录用户名
  • –docker-password指定harbor仓库的登录密码

验证查看

[root@master1 ~]# kubectl get secret |grep harbor-secret
harbor-secret                        kubernetes.io/dockerconfigjson        1      19s

5, 创建pod并使用secret

[root@master1 ~]# vim pod-harbor.yml
apiVersion: v1
kind: Pod
metadata:
  name: pod-harbor
spec:
  containers:
  - name: c1
    image: 192.168.122.18/test/nginx:v1
  imagePullSecrets:                     # 定义镜像下载使用的secrets
  - name: harbor-secret					# 与上面的secret一致

[root@master1 ~]# kubectl apply -f pod-harbor.yml
pod/pod-harbor created

6, 验证pod

[root@master1 ~]# kubectl describe pod pod-harbor |tail -8
Events:
  Type    Reason     Age        From                     Message
  ----    ------     ----       ----                     -------
  Normal  Scheduled  <unknown>  default-scheduler        Successfully assigned default/pod-harbor to 192.168.122.13
  Normal  Pulling    59s        kubelet, 192.168.122.13  Pulling image "192.168.122.18/test/nginx:v1"
  Normal  Pulled     52s        kubelet, 192.168.122.13  Successfully pulled image "192.168.122.18/test/nginx:v1"
  Normal  Created    50s        kubelet, 192.168.122.13  Created container c1
  Normal  Started    49s        kubelet, 192.168.122.13  Started container c1
  
可以看到是从192.168.122.18/test/nginx:v1拉取的镜像

7, 设为serviceaccount默认规则

如果每次编写yaml文件都需要添加imagePullSecrets这2行配置,有点麻烦, 有没有在不需要添加这2行配置就可以实现下载harbor仓库里面的镜像呢?答案是有的,可以把secret配置到serviceAccount中即可。

1, 创建serviceaccount

[root@master1 ~]# vim serviceaccount-harbor-sa.yaml
apiVersion: v1
kind: ServiceAccount
metadata:
  name: harbor-sa
  namespace: default

[root@master1 ~]# kubectl apply -f serviceaccount-harbor-sa.yaml
serviceaccount/harbor-sa created

[root@master1 ~]# kubectl get sa |grep harbor-sa
harbor-sa                1         14s

2, 修改serviceaccount添加使用harbor-secret

[root@master1 ~]# kubectl patch serviceaccount harbor-sa -n default  -p '{"imagePullSecrets": [{"name": "harbor-secret"}]}'
serviceaccount/harbor-sa patched


[root@master1 ~]# kubectl get serviceaccount harbor-sa -o yaml
apiVersion: v1
imagePullSecrets:
- name: harbor-secret					   # 确认通过patch方式更新了这两句
kind: ServiceAccount
......

3, 修改yaml使用serviceAccount

[root@master1 ~]# vim pod-harbor.yml
apiVersion: v1
kind: Pod
metadata:
  name: pod-harbor2
spec:
  serviceAccount: harbor-sa					# 原来的2句换成使用harbor-sa这个serviceAccount
  containers:
  - name: c1
    image: 192.168.122.18/test/nginx:v1

4, 删除先前的重新创建pod验证

[root@master1 ~]# kubectl delete pod pod-harbor2
pod "pod-harbor2" deleted

[root@master1 ~]# kubectl apply -f pod-harbor.yml
pod/pod-harbor created

[root@master1 ~]# kubectl get pods
NAME         READY   STATUS    RESTARTS   AGE
pod-harbor2   1/1     Running   0          8s

补充: serviceAccount可以实现不同namespace下载镜像使用访问harbor账号的不同。

下一篇:k8s安全机制

江南听雨声
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
kubernetesConfigMapSecret
qq_41619571的博客
10-03 2272
1. Secret 是一种包含少量敏感信息,例如密码、token 或 key 的对象这样的信息可能会被放在Pod spec 中或者镜像中;将其放在一个secret 对象中可以更好地控制它的用途,并降低意外暴露的风险2.ConfigMap 主要解决配置文件的存储问题,而Secret 主要用来解决密码、token、秘钥等敏感数据①在创建、查看和编辑Pod的流程中Secret 暴露风险较小②系统会对Secret 对象采取额外的预防措施,例如避免将其写入磁盘中可能的位置③。
配置Kubernetes资源管理Secret与ConfigMap
qq_64612585的博客
06-03 1114
在 K8s 中,Secret 是用于存储敏感信息的对象,如密码、token 令牌和 SSH 密钥。这类数据虽然也可以存放在 Pod 或者镜像中,但是放在 Secret 中是为了更方便的控制如何使用数据,并减少暴露的风险;这些信息以加密形式存储,并且只能被授权的 Pod 访问。通过使用 Secret,可以更安全地管理应用程序所需的敏感数据。也就是说 K8s 解决了我们和 Docker 使用的一些弊端,比如:环境变量、存储问题都要去重新编辑 Dockerfile,而且密码还是明文的。
简述 Kubernetes ConfigMapSecret
u011447403的专栏
04-17 317
简述 kubernetes 中的配置对象 ConfigMapSecret
【K8s】专题五(3):Kubernetes 配置之 ConfigMapSecret 异同
行者Sun1989的博客
06-17 660
Kubernetes 专题 - 配置之 ConfigMapSecret 异同
k8s存储资源ConfigMapSecret
huahua1999的博客
04-17 2294
ConfigMap ConfigMap是一个K8s存储资源,用于存储应用程序配置文件。 Pod使用configmap数据有两种方式: • 变量注入 • 数据卷挂载 示例: 示例 先创建一个configMap vi configMap.yaml apiVersion: v1 kind: ConfigMap metadata: name: configmap-demo data: abc: "123" cde: "456" redis-c...
K8S配置中心configMapSecret
人丑就要多读书的博客
01-02 981
在生产环境中经常会遇到需要修改配置文件的情况,传统的修改方式不仅会影响到服务的正常运行,而且操作步骤也很繁琐。为了解决这个问题,kubernetes项目从1.2版本引入了ConfigMap功能,用于将应用的配置信息与程序的分离。这种方式不仅可以实现应用程序被的复用,而且还可以通过不同的配置实现更灵活的功能。在创建容器时,用户可以将应用程序打包为容器镜像后,通过环境变量或者外接挂载文件的方式进行配置注入。ConfigMap && Secret 是K8S中的针对应用的配置中心,它有效的解决了应用
kubernetes】学习笔记 (六) configmapsecret
xiaojunzhu123的博客
05-03 396
一,configmao 简介 ConfigMap 可以被用来保存单个属性,也可以用来保存整个配置文件或者 JSON 二进制大对象 使用时,Pods 可以将其用作环境变量、命令行参数或者存储卷中的配置文件。 ConfigMap 的主要作用就是为了让镜像和配置文件解耦,以便实现镜像的可移植性和可复用性 二,使用 ConfigMap 的限制条件 ConfigMap 需要在 Pod 启动前创建出来。 只有当 ConfigMap 和 Pod 处于同一 NameSpace(命名空间)时,Pod 才可以引用它
Liunx——k8s的ConfigmapSecret
weixin_45191791的博客
11-22 297
Secret和ConfigMap 在日常单机甚至集群状态下,我们需要对一个应用进行配置,只需要修改其配置文件即可。 传统的实践过程中通常有以下几种方式: 启动容器时,通过命令传递参数; 将定义好的配置文件通过镜像文件进行写入; 通过环境变量的方式传递配置数据; 挂载Docker卷传送配置文件; 而在Kubernetes系统之中也存在这样的组件,就是特殊的存储卷类型。其并不是提供pod存储空间,而是给管理员或用户提供从集群外部向Pod内部的应用注入配置信息的方式。这两种特殊类型的存储卷分别是:config
configmapSecret存储
识途老码
09-02 314
configmapSecret存储 subpath防止覆盖
k8s之ConfigMapsecret
wang0907的博客
01-07 1118
我们知道k8s的数据都是存储到kv数据库etcd中的,那么我们程序中使用到各种配置信息是否可以也存储到etcd,然后在pod中使用呢?是可以的,k8s为了实现将自定义的数据存储到etcd,定义了ConfigMapsecret两种API对象。其中ConfigMap用来保存明文数据,如端口号,普通配置参数等,Secret用来配置需要加密的数据,如密码,秘钥等。本文就一起来看下这两个对象的定义以及如何在pod中使用。
ConfigMapSecret
01-20
ConfigMap不同,Secret的数据以加密的形式存储,提供了一层安全性,防止这些敏感数据在集群中明文传播。Secret同样可以被挂载到Pod的文件系统中或者作为环境变量提供给应用。Secret也有几种预定义的类型,例如`...
kube-configmap-secret-update:Kubernetes滚动更新ConfigMap和秘密更改
05-08
Kubernetes滚动更新ConfigMap和秘密更改 的了使用此存储库的详细说明。 通过运行./nginx-config-example.sh部署nginx-config-example.yml 在以下URL上查看两个网站: 前端网站: 后端网站: 用户名: admin ...
8+9+10、Nginx-ingress+ConfigMap+Secret-V1.pdf
10-11
Kubernetes Ingress 和 ConfigMap Kubernetes 是一个容器编排系统,可以自动化容器的部署、缩放和管理。Ingress 是 Kubernetes 中的一种资源,用于暴露容器应用程序的外部访问入口。ConfigMapKubernetes 中的一...
synator:Synator Kubernetes Secret和ConfigMap同步器
04-23
Synator Kubernetes Secret和ConfigMap同步器 有时,我们想在不同的名称空间中使用机密,不幸的是,我们不能没有任何辅助运算符或手动复制,因为在kubernetes中,机密和configmaps是名称空间。 当我们有几个命名空间...
k8s-resource-replicator:Kubernetes运算符可通过可选的JSON Patch自定义转换在名称空间之间复制资源(例如ConfigMapSecret等)
04-10
Kubernetes资源复制器 一个非常精简和快速的Kubernetes运算符,它允许跨命名空间复制资源(例如ConfigMapSecret等)。 它还支持操作,以轻松转换有效负载。 CRD实例的示例: apiVersion : shopstic....
【k8s故障处理篇】calico-kube-controllers状态为“ImagePullBackOff”解决办法
jks212454的博客
07-22 420
【k8s故障处理篇】calico-kube-controllers状态为“ImagePullBackOff”解决办法
k8s核心知识总结
最新发布
weixin_37172178的博客
07-25 1489
容器和镜像的关系可以理解为对象和类,或者java代码和java进程build:通过dockerfile 创建一个镜像tag:镜像本身可以进行版本迭代push/pull:类似git的中央仓库,可以用来提交镜像文件(包括公有和私有)load/save:拥有本地传输镜像文件run/commit:镜像运行一个容器实例,或者提交一个镜像文件start/stop:运行或停止一个容器
ConfigMap-secrets-静态pod
weixin_46466657的博客
07-14 5227
ConfigMap资源,简称CM资源,它生成的键值对数据,存储在ETCD数据库中应用场景:主要是对应用程序的配置pod通过env变量引入ConfigMap,或者通过数据卷挂载volume的方式引入ConfigMap资源官方解释:configMap 卷提供了向 Pod 注入配置数据的方法。ConfigMap 对象中存储的数据可以被 configMap 类型的卷引用,然后被 Pod 中运行的容器化应用使用。引用 configMap 对象时,你可以在卷中通过它的名称来引用。
k8s configmap secret
07-27
To create a ConfigMap, you can use the `kubectl create configmap` command and provide the data using flags or a configuration file. For example: ```bash kubectl create configmap my-config --from-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值