kubernetes配置存储ConfigMap和Secret

已于 2022-11-29 11:16:22 修改
阅读量415 收藏
点赞数
文章标签: kubernetes
于 2022-11-28 17:37:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39104779/article/details/128084076
版权

🤵 个人博客: https://www.tingyinhu.com

🎨 微信公众号:java编程秀

✏️ 记录基础知识,做大家的备忘录。

🚀 分享前沿技术,做大家的加油站。

📝 如果文章对你有帮助的话,欢迎 「分享⏩在看👀点赞👍收藏📂」,不胜感激!

ConfigMap

ConfigMap是一种比较特殊的存储卷,它的主要作用是用来存储配置信息的。

ConfigMap 可以被用来保存单个属性,也可以用来保存整个配置文件或者 JSON 二进制等对象

创建方式

使用yaml方式创建

创建firstconfigmap.yaml,内容如下:

apiVersion: v1
kind: ConfigMap
metadata:
  name: firstconfigmap
data:
  info: |
    username:admin
    password:123456

使用firstconfigmap.yaml文件创建ConfigMap

[root@master configMap]# kubectl create -f firstconfigmap.yaml
configmap/firstconfigmap created

[root@master configfile]# kubectl get cm firstconfigmap -o yaml
apiVersion: v1
data:
  info: |
    username:admin
    password:123456
kind: ConfigMap
metadata:
  creationTimestamp: "2022-11-28T03:55:46Z"
  name: firstconfigmap
  namespace: default
  resourceVersion: "2715136"
  selfLink: /api/v1/namespaces/default/configmaps/firstconfigmap
  uid: c927e3c5-a344-4557-882b-4df9f071862f
使用目录创建

configfile目录下创建game.file和ui.properties,内容如下:

[root@master configfile]# cat /root/k8sstudy/configMap/configfile/game.file
version=1.17
name=dave
age=18
[root@master configfile]# cat /root/k8sstudy/configMap/configfile/ui.properties 
level=2
color=yellow

$ kubectl create configmap game-config --from-file=docs/user-guide/configmap/kubectl

创建ConfigMap

[root@master configfile]# kubectl create configmap game-config --from-file=/root/k8sstudy/configMap/configfile

[root@master configfile]# kubectl get cm game-config -o yaml
apiVersion: v1
data:
  game.file: |
    version=1.17
    name=dave
    age=18
  ui.properties: |
    level=2
    color=yellow
kind: ConfigMap
metadata:
  creationTimestamp: "2022-11-28T01:10:55Z"
  name: game-config
  namespace: default
  resourceVersion: "2691042"
  selfLink: /api/v1/namespaces/default/configmaps/game-config
  uid: a2a59ae1-a829-4fe2-b445-5867ebe71074

–from-file 指定在目录下的所有文件都会被用在 ConfigMap 里面创建一个键值对,键的名字就是文件名,值就是文件的内容

使用文件创建

只要指定为一个文件就可以从单个文件中创建 ConfigMap

[root@master configfile]# kubectl create configmap game-config-2 --from-file=game.file

[root@master configfile]# kubectl get cm game-config-2 -o yaml
apiVersion: v1
data:
  game.file: |
    version=1.17
    name=dave
    age=18
kind: ConfigMap
metadata:
  creationTimestamp: "2022-11-28T06:04:38Z"
  name: game-config-2
  namespace: default
  resourceVersion: "2733972"
  selfLink: /api/v1/namespaces/default/configmaps/game-config-2
  uid: ba0a4d4c-11f4-4731-a018-ff4a7a972308

–from-file 这个参数可以使用多次,你可以使用两次分别指定上个实例中的那两个配置文件,效果就跟指定整个目录是一样的

使用字面值创建

使用文字值创建,格式如下:

[root@master configfile]# kubectl create cm ll-config --from-literal=name=dave-l --from-literal=password=pass-l

[root@master configfile]# kubectl get cm ll-config -o yaml
apiVersion: v1
data:
  name: dave-l
  password: pass-l
kind: ConfigMap
metadata:
  creationTimestamp: "2022-11-28T06:18:45Z"
  name: ll-config
  namespace: default
  resourceVersion: "2736035"
  selfLink: /api/v1/namespaces/default/configmaps/ll-config
  uid: 36a00a9c-a6b5-4651-a332-61a73ab2c690

利用 --from-literal 参数传递配置信息,该参数可以使用多次.

Pod 中使用

使用 ConfigMap 来替代环境变量

创建 cm-env-pod.yaml,内容如下:

apiVersion: v1
kind: Pod
metadata:
  name: cm-env-pod
spec:
  containers:
    - name: cm-env-nginx
      image: nginx:1.17.1
      command: [ "/bin/sh", "-c", "env" ]
      env:
        - name: USERNAME
          valueFrom:
            configMapKeyRef:
              name: ll-config
              key: name
        - name: PASSWORD
          valueFrom:
            configMapKeyRef:
              name: ll-config
              key: password
      envFrom:
        - configMapRef:
            name: ll-config
  restartPolicy: Never

002.png

用 ConfigMap 设置命令行参数

创建 cm-command-pod.yaml,内容如下:

apiVersion: v1
kind: Pod
metadata:
  name: cm-command-pod
spec:
  containers:
    - name: cm-command-nginx
      image: nginx:1.17.1
      command: [ "/bin/sh", "-c", "echo $(USERNAME) $(PASSWORD)" ]
      env:
        - name: USERNAME
          valueFrom:
            configMapKeyRef:
              name: ll-config
              key: name
        - name: PASSWORD
          valueFrom:
            configMapKeyRef:
              name: ll-config
              key: password
  restartPolicy: Never

003.png

通过数据卷使用ConfigMap

在数据卷里面使用 ConfigMap,就是将文件填入数据卷,在这个文件中,键就是文件名,键值就是文件内容

创建 cm-volume-pod.yaml,内容如下:

apiVersion: v1
kind: Pod
metadata:
  name: cm-volume-pod
spec:
  containers:
    - name: cm-volume-pod-nginx
      image: nginx:1.17.1
      volumeMounts:
      - name: config-volume
        mountPath: /etc/config
  volumes:
    - name: config-volume
      configMap:
        name: game-config
  restartPolicy: Never

[root@master configMap]# kubectl exec -it cm-volume-pod /bin/sh
# cd /etc/config
# ls
game.file  ui.properties
# cat game.file
version=1.17
name=dave
age=18
# cat ui.properties
level=2
color=yellow

ConfigMap 的热更新

创建 hot-update-deploy.yaml 文件,内容如下:

apiVersion: v1
kind: ConfigMap
metadata:
  name: log-config
  namespace: default
data:
  log_level: INFO
---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: hot-update
spec:
  replicas: 1
  selector:
    matchLabels:
      run: my-nginx
  template:
    metadata:
      labels:
        run: my-nginx
    spec:
      containers:
        - name: my-nginx
          image: nginx:1.17.1
          ports:
            - containerPort: 80
          volumeMounts:
            - name: config-volume
              mountPath: /etc/config
      volumes:
        - name: config-volume
          configMap:
            name: log-config

[root@master configMap]# kubectl exec `kubectl get pods -l run=my-nginx  -o=name|cut -d "/" -f2` cat /etc/config/log_level
INFO

修改 ConfigMap

[root@master configMap]# kubectl edit configmap log-config
configmap/log-config edited

修改 log_level 的值为 DEBUG 等待大概 10 秒钟时间,再次查看环境变量的值

[root@master configMap]# kubectl exec `kubectl get pods -l run=my-nginx  -o=name|cut -d "/" -f2` cat /etc/config/log_level
DEBUG

特别注意 :

configMap 如果以 ENV 的方式挂载至容器,修改 configMap 并不会实现热更新

ConfigMap 更新后滚动更新 Pod

更新 ConfigMap 目前并不会触发相关 Pod 的滚动更新,可以通过修改 pod annotations 的方式强制触发滚动更新

[root@master configMap]# kubectl patch deployment hot-update --patch '{"spec": {"template": {"metadata": {"annotations": {"version/config": "20221128001" }}}}}'

.spec.template.metadata.annotations 中添加 version/config,每次通过修改 version/config 来触发滚动更新

更新 ConfigMap 后:

  • 使用该 ConfigMap 挂载的 Env 不会同步更新
  • 使用该 ConfigMap 挂载的 Volume 中的数据需要一段时间(实测大概10秒)才能同步更新

Secret

Secret 解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Spec 中。Secret 可以以 Volume 或者环境变量的方式使用。

Secret 有三种类型:

  • Service Account :用来访问 Kubernetes API,由 Kubernetes 自动创建,并且会自动挂载到 Pod 的 /run/secrets/kubernetes.io/serviceaccount 目录中
  • Opaque :base64 编码格式的 Secret,用来存储密码、密钥等
  • kubernetes.io/dockerconfigjson :用来存储私有 docker 仓库的认证信息

Service Account

Service Account 用来访问 Kubernetes API,由 Kubernetes 自动创建,并且会自动挂载到 Pod的 /run/secrets/kubernetes.io/serviceaccount 目录中

[root@master configMap]# kubectl run my-nginx --image nginx:1.17.1
deployment.apps/my-nginx created
[root@master configMap]# kubectl get pods
NAME                        READY   STATUS    RESTARTS   AGE
my-nginx-867d94c55f-mnc9w   1/1     Running   0          32s
[root@master configMap]# kubectl exec my-nginx-867d94c55f-mnc9w ls /run/secrets/kubernetes.io/serviceaccount
ca.crt
namespace
token

Opaque Secret

创建

Opaque 类型的数据是一个 map 类型,要求 value 是 base64 编码格式:

[root@master secret]# echo -n "admin" | base64
YWRtaW4=
[root@master secret]# echo -n "1a2b3c4d5f6g" | base64
MWEyYjNjNGQ1ZjZn

my-secrets.yml

apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  password: MWEyYjNjNGQ1ZjZn
  username: YWRtaW4=

[root@master secret]# kubectl create -f my-secrets.yml 
secret/mysecret created
[root@master secret]# kubectl get secret
NAME                  TYPE                                  DATA   AGE
default-token-dzwqk   kubernetes.io/service-account-token   3      47d
mysecret              Opaque                                2      31s
tls-secret            kubernetes.io/tls                     2      17d
[root@master secret]# kubectl describe secret mysecret
Name:         mysecret
Namespace:    default
Labels:       <none>
Annotations:  <none>

Type:  Opaque

Data
====
password:  12 bytes
username:  5 bytes
使用
Secret 挂载到 Volume 中
apiVersion: v1
kind: Pod
metadata:
  labels:
    name: seret-pod
  name: seret-pod
spec:
  volumes:
    - name: volumes12
      secret:
        secretName: mysecret
  containers:
    - image: nginx:1.17.1
      name: secret-nginx
      volumeMounts:
        - name: volumes12
          mountPath: "/data"

[root@master secret]# kubectl exec -it seret-pod /bin/sh
# cd /data
# ls
password  username
# cat password
1a2b3c4d5f6g
# cat username
admin
Secret 导出到环境变量中

创建 secret-deploy.yaml 文件

apiVersion: apps/v1
kind: Deployment
metadata:
  name: secret-deploy
spec:
  replicas: 2
  selector:
    matchLabels:
      app: secret-deploy
  template:
    metadata:
      labels:
        app: secret-deploy
    spec:
      containers:
        - name: pod-1
          image: nginx:1.17.1
          ports:
            - containerPort: 80
          env:
            - name: TEST_USER
              valueFrom:
                secretKeyRef:
                  name: mysecret
                  key: username
             - name: TEST_PASSWORD
               valueFrom:
                 secretKeyRef:
                   name: mysecret
                   key: password

004.png

kubernetes.io/dockerconfigjson

使用 Kuberctl 创建 docker 仓库认证的 secret

[root@master secret]# kubectl create secret docker-registry myregistrykey --docker-server=DOCKER_REGISTRY_SERVER --docker-username=DOCKER_USER --docker-password=DOCKER_PASSWORD --docker-email=DOCKER_EMAIL
secret/myregistrykey created

[root@master secret]# kubectl get secret
NAME                  TYPE                                  DATA   AGE
default-token-dzwqk   kubernetes.io/service-account-token   3      47d
myregistrykey         kubernetes.io/dockerconfigjson        1      50s
mysecret              Opaque                                2      25m
tls-secret            kubernetes.io/tls                     2      17d
[root@master secret]# kubectl describe secret myregistrykey
Name:         myregistrykey
Namespace:    default
Labels:       <none>
Annotations:  <none>

Type:  kubernetes.io/dockerconfigjson

Data
====
.dockerconfigjson:  161 bytes

在创建 Pod 的时候,通过 imagePullSecrets 来引用刚创建的 myregistrykey

apiVersion: v1
kind: Pod
metadata:
  name: pull-secret-pod
spec:
  containers:
    - image: nginx:1.17.1
      name: pull-secret-nginx
  imagePullSecrets:
      name: myregistrykey
楚洛瞬
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
【云原生--Kubernetes配置管理
夏颜的博客
08-05 792
定义: Configmap 是 k8s 中的资源对象,用于保存非机密性的配置的,数据可以用 key/value 键值对的形式保存,也可通过文件的形式保存。作用: 我们在部署服务的时候,每个服务都有自己的配置文件,如果一台服务器上部署多个服务:nginx、tomcat、apache。...
kube-configmap-secret-update:Kubernetes滚动更新ConfigMap和秘密更改
05-08
Kubernetes滚动更新ConfigMap和秘密更改 的了使用此存储库的详细说明。 通过运行./nginx-config-example.sh部署nginx-config-example.yml 在以下URL上查看两个网站: 前端网站: 后端网站: 用户名: admin ...
Kubernetes配置管理 ConfigMap
zhangshenglu1的博客
05-19 1901
通过指定文件创建,即将一个配置文件创建为一个ConfigMap,通过直接在命令行中指定configmap参数创建,即。如果修改了value, 那么容器内部会不会更新?2.验证对应的pod里的变化,一段时间后会改变(1.编辑修改对应的configmap。通过一个文件内多个键值对,
k8s拉取私有镜像配置kubernetes.io/dockerconfigjson
码农的专栏
05-27 976
第一步:登录一下私有镜像仓库。
k8s入门之ConfigMap(九)
霸天虎的专栏
04-18 425
ConfigMap是k8s的配置管理工具,通常用来保存明文的配置信息,以key-value形式传递配置。一、使用命令创建ConfigMap对象1.通过--from-literal参数创建kubectl create configmap mycm1 --from-literal=appid=order-app --from-literal=appsecret=dfdg12342(1)查看创建结果kubectl get secret(2)使用describe命令查看详情kubectl describe secr
云原生技术 --- k8s配置组件之ConfigMap的学习与使用
编码爱好者
09-30 1110
ConfigMap 是一种 API 对象,用来将非机密性的数据保存到键值对中。使用时, Pods 可以将其用作环境变量、命令行参数或者存储卷中的配置文件。ConfigMap 将你的环境配置信息和 容器镜像 解耦,便于应用配置的修改。ConfigMap中的数据是明文保存的。
Springboot整合Spring Cloud Kubernetes读取ConfigMap支持自动刷新配置的教程
09-07
总结一下,这个教程介绍了如何将Spring Boot应用与Spring Cloud Kubernetes整合,以便从ConfigMapSecret中动态获取和刷新配置。通过使用Spring Cloud Kubernetes配置支持,我们可以轻松地在Kubernetes环境中管理...
ConfigMapSecret
01-20
Kubernetes中,ConfigMapSecret是两种关键的资源对象,它们主要被设计用来管理和传递应用程序所需的配置信息和敏感数据。这两个概念的出现主要是为了解决在容器化环境中配置管理和安全性的挑战。 首先,让我们...
8+9+10、Nginx-ingress+ConfigMap+Secret-V1.pdf
最新发布
10-11
ConfigMapKubernetes 中的一种资源,用于存储和管理应用程序的配置信息。 Ingress Ingress 是 Kubernetes 中的一种资源,用于暴露容器应用程序的外部访问入口。Ingress 可以提供基于 HTTP 和 HTTPS 的反向代理...
k8s-configKubernetes配置清单
02-19
3. **ConfigMapSecret**:ConfigMap用于存储非敏感配置数据,如环境变量、命令行参数或文件内容,而Secret则用于安全地存储敏感信息,如密码、OAuth令牌和SSH密钥。 4. **Label和Annotation**:Label用于对资源...
K8S配置管理---secret与configmap
L2111533547的博客
08-07 736
在部署应用程序时,我们都会涉及到应用的配置,在容器中,如Docker容器中,如果将配置文件打入容器镜像,这种行为等同于写死配置,每次修改完配置,镜像就得重新构建。当然,我们也可以通过挂载包含该文件的卷进行配置管理和修改。而在k8s中,我们要讲一种更好的方式,即ConfigMap,这种资源对象的出现,更是极大的方便了应用程序的配置管理。   ConfigMap是一个或多个key/value的形式保存在k8s中,内部可以管理变量也可以管理完整的配置文件内容。注:在使用命令的时候注意单词: configmap等价
k8s configmap 详解
魏志标的博客
06-19 5100
ConfigMap是k8s的一个配置管理组件,可以将配置以key-value的形式传递,通常用来保存不需要加密的配置信息,加密信息则需用到Secret,主要用来应对以下场景:生成为容器内的环境变量;设置容器启动命令的启动参数(需设置为环境变量)以Volume的形式挂载为容器内部的文件或目录。
一文弄懂ConfigMap在k8s中的各种玩法以及应用场景
microGP的专栏
02-23 4603
前言 在K8S的某些场景下,pod需要依赖各种配置以及配置文件,这些配置不能写死在镜像中,否则会影响到镜像的扩展性。此时ConfigMap作为K8S中提供的配置管理组件登场了。ConfigMap可以将环境变量配置信息和容器镜像解耦,便于应用配置的修改。 下文就ConfigMap的使用方法以及使用场景进行下总结,帮助大家在不同场景下能正确的使用ConfigMap。 正文 上图就是整个ConfigMap的生命周期以及使用方式,下面结合图进行详细讲解。 ConfigMap的生命周期 ConfigM
拉取私有仓库镜像配置
github_38730134的博客
05-29 1573
拉取私有仓库镜像配置 当我们制作好一个镜像后,我们可以传到公共镜像仓库,供所有人拉取使用,不需要指定拉取镜像的用户、密码。我们也可以将镜像推送到自己搭建的镜像库,比如harbor镜像仓库中,如果我们在镜像仓库中的项目是公开项目,拉取镜像也是不要用户名、密码的。但如果是私有项目,则需要指定用户名、密码才能拉取。下面将介绍两种方式通过用户名、密码拉取私有镜像 制作拉取镜像secret 不论是何种姿势拉取私有镜像,都需要先创建拉取镜像的secret。创建拉取镜像secret有两种方式,如下 根据config.js
K8s对象 -configmap(从文件创建,用yml文件创建)
运维玄德公
08-13 2095
1. 从文件创建 1.1 --from-file - 语法 - 示例 - 查看 1.2 --from-literal - 语法 - 示例 2. 从yaml文件创建 3. configMap使用 3.1 key 是目标文件名 - 使用方法 - 完整的示例 3.2 key名不是目标文件名
[kubernetes]-k8s使用json格式筛选信息
爷来辣的博客
08-27 751
k8s
云原生--k8s之yaml与json
a_b_e_l_的博客
11-05 2398
空格是不可见的,所以看起来字符较少,但是如果你计算实际的空格是必要的,以便正确解释 YAML以及正确的缩进,你会发现 YAML 实际上需要比 JSON 更多的字符。开发人员喜欢JSON,因为它是JavaScript的子集,并且可以在JavaScript内部直接解释和编写,还可以使用简写方式声明JSON,在使用不带空格的典型变量名时,键中不需要双引号。4.python中模型的配置文件都是yaml格式----脱机处理, yaml利用空格缩进表示层级,只要具有相同的缩进就具有相同的层级,而且缩进只能用空格.
Kubernetes(k8s)ConfigMap详解及应用
mnasd的博客
10-28 4595
ConfigMap是k8s的一个配置管理组件,可以将配置以key-value的形式传递,通常用来保存不需要加密的配置信息,加密信息则需用到Secret,主要用来应对以下场景:使用k8s部署应用,当你将应用配置写进代码中,就会存在一个问题,更新配置时也需要打包镜像,ConfigMap可以将配置信息和docker镜像解耦。使用微服务架构的话,存在多个服务共用配置的情况,如果每个服务中单独一份配置的话,那么更新配置就很麻烦,使用ConfigMap可以友好的进行配置共享。
configmapjson或者yaml文件内容格式问题
zhangxiangui40542的专栏
04-24 8343
configmapjson或者yaml文件内容格式问题 一、问题现象说明: 比如我有一个yaml格式的配置文件config.yaml,内容如下: service: port: 8001 # release mode: release url: kube-prometheus.monitoring port: 9090 common: file: upload: /...
Kubernetes中的ConfigMapSecret有什么区别
02-17
3. 使用场景:ConfigMap适合存储应用程序的配置信息,如环境变量和配置文件等。Secret则适合存储敏感的配置信息,如数据库密码、API密钥和TLS证书等。 4. 访问控制:ConfigMapSecret都可以通过Kubernetes中的RBAC...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

楚洛瞬

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值