Kubernetes的Secret和ConfigMap实践

置顶 已于 2023-12-12 13:18:46 修改
阅读量367 收藏
点赞数
文章标签: docker java kubernetes python redis
于 2021-03-08 10:52:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40942490/article/details/114691621
版权

欢迎大家进群,一起探讨学习

公众号

博主技术文档地址

博主开源微服架构前后端分离技术博客项目源码地址,欢迎各位star

1.Secret

Secret解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。

1.1Secret类型

Secret有三种类型:

Opaque:base64编码格式的Secret,用来存储密码、密钥等;但数据也通过base64 –decode解码得到原始数据,所有加密性很弱。 kubernetes.io/dockerconfigjson:用来存储私有docker registry的认证信息。 kubernetes.io/service-account-token: 用于被serviceaccount引用。serviceaccout创建时Kubernetes会默认创建对应的secret。Pod如果使用了serviceaccount,对应的secret会自动挂载到Pod目录/run/secrets/ kubernetes.io/serviceaccount中。

1.2Opaque Secret 方式

Opaque类型的数据是一个map类型,要求value是base64编码格式: 
echo -n"admin" | base64
YWRtaW4=
echo -n "1f2d1e2e67df" | base64
MWYyZDFlMmU2N2Rm

1.3 secret.yaml

apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  username: YWRtaW4=
  password: MWYyZDFlMmU2N2Rm

执行

kubectl create -f secret.yaml

1.4 secret-var.yaml 以变量的形式

apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: nginx
    image: nginx
    env:
      - name: SECRET_USERNAME
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: username
      - name: SECRET_PASSWORD
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: password

执行

kubectlapply -f secret-var.yaml

查看

kubectl exec -it mypod bash;
echo $SECRET_USERNAME

echo $SECRET_PASSWORD

1.5 secret-vol.yaml 以挂载的方式

apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: nginx
    image: nginx
    volumeMounts:
    - name: foo
      mountPath: "/etc/foo"
      readOnly: true
  volumes:
  - name: foo
    secret:
      secretName: mysecret

运行

kubectlapply -f secret-vol.yaml

查看

kubectl exec -it mypod bash;

1.6kubernetes.io/dockerconfigjson方式

kubectl create secret docker-registry myregistrykey --docker-server=DOCKER_REGISTRY_SERVER --docker-username=DOCKER_USER --docker-password=DOCKER_PASSWORD --docker-email=DOCKER_EMAIL
kubectlget secret myregistrykey  -o yaml

1.7也可以直接读取~/.dockercfg的内容来创建

kubectl create secret docker-registry myregistrykey \  --from-file="~/.dockercfg"

1.8在创建Pod的时候,通过imagePullSecrets来引用刚创建的myregistrykey:

apiVersion: v1
kind: Pod
metadata:
  name: foo
spec:
  containers:
    - name: foo
      image: janedoe/awesomeapp:v1
  imagePullSecrets:
    - name: myregistrykey

1.9 kubernetes.io/service-account-token

kubernetes.io/service-account-token: 用于被serviceaccount引用。serviceaccout创建时Kubernetes会默认创建对应的secret。Pod如果使用了serviceaccount,对应的secret会自动挂载到Pod的/run/secrets/kubernetes.io/serviceaccount目录中。

$ kubectl run nginx --image nginx
deployment"nginx" created
$ kubectl get pods
NAME                     READY     STATUS    RESTARTS   AGE
nginx-3137573019-md1u2   1/1       Running   0          13s
$ kubectl exec nginx-3137573019-md1u2 ls /run/secrets/kubernetes.io/serviceaccount
ca.crt
namespace
token

2.configmap

ConfigMaps允许您将配置构件与映像内容解耦,以保持容器化应用程序的可移植性。本文展示如何创建configmap,修改configmap以及如何把configmap应用于pod.

2.1redis.properties

redis.host=127.0.0.1
redis.port=6379
redis.password=123456

2.2创建configmap

kubectlcreate configmap redis-config --from-file=redis.properties

2.3查询configmap

kubectlget cm

kubectl describe cm redis-config

2.3 volumes方式挂载

cm.yaml 
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
    - name: busybox
      image: busybox
      command: [ "/bin/sh","-c","cat /etc/config/redis.properties" ]
      volumeMounts:
      - name: config-volume
        mountPath: /etc/config
    - name: config-volume
      configMap:
        name: redis-config
  restartPolicy: Never

2.4运行

kubectl create -f cm.yaml
kubectl logs mypod

2.5变量形式进行挂载

myconfig.yaml

apiVersion: v1
kind: ConfigMap
metadata:
  name: myconfig
  namespace: default
data:
  special.level: info
  special.type: hello

kubectl create -f myconfig.yaml

config-var.yaml

apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
    - name: busybox
      image: busybox
      command: [ "/bin/sh", "-c", "echo $(LEVEL) $(TYPE)" ]
      env:
        - name: LEVEL
          valueFrom:
            configMapKeyRef:
              name: myconfig
              key: special.level
        - name: TYPE
          valueFrom:
            configMapKeyRef:
              name: myconfig
              key: special.type
  restartPolicy: Never

kubectlcreate -f config-var.yaml

3.Secret与ConfigMap对比

相同点: key/value的形式
属于某个特定的namespace
可以导出到环境变量
可以通过目录/文件形式挂载(支持挂载所有key和部分key)

不同点:

Secret可以被ServerAccount关联(使用)
Secret可以存储register的鉴权信息,用在ImagePullSecret参数中,用于拉取私有仓库的镜像
Secret支持Base64加密
Secret分为kubernetes.io/Service Account,kubernetes.io/dockerconfigjson,Opaque三种类型,Configmap不区分类型
Secret文件存储在tmpfs文件系统中,Pod删除后Secret文件也会对应的删除。

刘明同学呀
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
(9)KubernetesSecret & Configmap
allensandy的博客
12-12 159
Secret 应用启动过程中可能需要一些敏感信息,比如访问数据库的用户名、密码或者密钥。将这 些信息直接保存在容器镜像中显然不妥,Kubemetes提供的解决方案是Secret。 Secret会以密文的方式存储数据,避免了直接在配置文件中保存敏感信息。Secret会以 Volume的形式被mount到Pod,容器可通过文件的方式使用Secret中的敏感数据;此外, 容器也可以环境变量的方...
kubernetessecret和configmap
coisini-ye
07-25 283
一、用kubernetes管理机密信息 应用启动过程中可能需要一些敏感信息,比如访问数据库的用户名密码或者秘钥,将这些信息直接保存在容器镜像中显然不妥,kubernetes提供了解决方案是secret secret资源对象:解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。 secret可通过命令行或YAML创建。比如希望secret包含如下信息: ...
Kubernetes详解(四十)——Secret和ConfigMap
永远是少年
05-06 607
今天继续给大家介绍Linux运维相关知识,本文主要内容是Secret和ConfigMap。 一、背景 二、Secret详解 三、ConfigMap详解
kubernetes ConfigMapSecret
weixin_34177064的博客
04-10 523
1 容器化应用配置方式概述 1 启动时直接向命令传递参数 docker 容器可用来运行单个应用程序,在制作docker镜像时,Dockerfile中的ENTRYPOINT 和 CMD 指令可用于指定容器启动时要运行的程序及相关的参数,CMD 指令以列表的形式指定要运行的程序及相关的参数,但若同时存在ENTRYPOINT指令,则CMD指令列表中的所有元素都被视为是ENTRYPOINT中程序的命令...
kubernetes系列之secret 与 configMap
李昊轩的博客
03-15 621
configmapsecret是两种特殊的存储卷,它们不是给pod提供存储空间用的,而是给管理员或者用户提供了从外部向pod内部注入信息的方式. configmap:把配置文件放在配置中心上,然后多个pod读取配置中心的配置文件,不过,configmap中的配置信息都是明文的,所以不安全; secret:功能和configmap一样,只不过配置中心存储的配置文件不是明文的.configmapsecret也是专属于某个名称空间的. # 用命令行创建configmap kubectl create conf
synator:Synator Kubernetes Secret和ConfigMap同步器
04-23
Synator Kubernetes Secret和ConfigMap同步器 有时,我们想在不同的名称空间中使用机密,不幸的是,我们不能没有任何辅助运算符或手动复制,因为在kubernetes中,机密和configmaps是名称空间。 当我们有几个命名空间...
kube-configmap-secret-update:Kubernetes滚动更新ConfigMap和秘密更改
05-08
Kubernetes滚动更新ConfigMap和秘密更改 的了使用此存储库的详细说明。 通过运行./nginx-config-example.sh部署nginx-config-example.yml 在以下URL上查看两个网站: 前端网站: 后端网站: 用户名: admin ...
ConfigMapSecret
01-20
ConfigMapSecret 为什么有这两个东西: 我们在kubernetes上部署应用的时候,经常会需要传一些配置给我们的应用,比如数据库地址啊,用户名密码啊之类的。我们要做到这个,有好多种方案,比如: 我们可以直接在打包...
023 Kubernetes的pv、pvc、configmapsecret.mp4
05-07
023 Kubernetes的pv、pvc、configmapsecret.mp4
k8s-resource-replicator:Kubernetes运算符可通过可选的JSON Patch自定义转换在名称空间之间复制资源(例如ConfigMapSecret等)
04-10
Kubernetes资源复制器 一个非常精简和快速的Kubernetes运算符,它允许跨命名空间复制资源(例如ConfigMapSecret等)。 它还支持操作,以轻松转换有效负载。 CRD实例的示例: apiVersion : shopstic....
Kubernetes进阶实战》第八章《配置容器应用:ConfigMapSecret》
紫色飞猪
01-19 828
configmapsecret PV和PVC是借助于StorageClass来分配磁盘的如何给Pod传配置信息: 两种方式: 1.把configmap关联到一个pod上,传递给pod内部的一个变量,注入的方式给容器传配置信息 2.配置卷,将配置文件映射到外面的路径 configmapkubernetes上扮演了kubernetes的配置中心的功能 Pod启动时候讲configmap打包为...
KUBERNETES-1-11-ConfigmapSecret
拙能胜巧
12-14 273
1.kubectl create configmap nginx-config --from-literal=nginx_port=80 --from-literal=server_name=myapp.example.com这里之间使用命令创建带有两个KEY的configmap资源。kubectl get cm获取configmap资源信息。kubectl describe cm nginx-c...
Kubernetes笔记(8) - ConfigMapSecret
zhixin9001的博客
06-12 184
ConfigMap 创建ConfigMap对象 基于字面值创建 基于文件创建 基于目录创建 使用配置清单创建 通过环境变量传递ConfigMap数据 envFrom 通过ConfigMap存储卷传递数据 挂载整个存储卷 挂载存储卷中的部分键值 Secret 创建Secret资源 命令式创建 基于配置清单创建 Secret存储卷 imagePullSecret资源对象 ConfigMapSecret是Kubernetes系统上两种特殊类型的存储卷,ConfigMap.
CNCF configmapSecrets 学习笔记
weixin_40455124的博客
03-30 133
configmap 创建configmap 模式 kubectl create configmap -from directories:每个文件作为一个data item files:每个文件作为一个data item 增加key 输入参数,将替换文件名称: kubectl create configmap game-config-from-files-with-key --from-file=g...
kubernetes配置仓库的secret
爷来辣的博客
07-11 1688
kubectl create secret docker-registry aliyun-ns-test --namespace=test --docker-server=registry.cn-shanghai.aliyuncs.com --docker-username=${USERNAME} --docker-password=${PASSWORD} 官方demo kubectl create secret docker-registry regcred --docker-server=<yo
kubectl create 命令使用
qq_43773590的博客
07-08 7920
kubectl create 命令使用
KubernetesSecret使用详解
热门推荐
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
10-26 1万+
Secret解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。 Secret类型 Secret有三种类型: Opaque:base64编码格式的Secret,用来存储密码、密钥等;但数据也通过base64 –decode解码得到原始数据,所有加密性很弱。 kubernetes.io/doc...
k8s拉取私有镜像配置kubernetes.io/dockerconfigjson
最新发布
码农的专栏
05-27 949
第一步:登录一下私有镜像仓库。
Kubernetes 存储(ConfigmapSecret、Volume、PV-PVC)
果子哥丶的博客
10-06 1362
一、ConfigMap、 1、ConfigMap描述信息、 2、ConfigMap的创建、 3、Pod中使用ConfigMap、 4、ConfigMap的热更新, 二、Secret 1、Secret存在意义、 2、Secret的三种类型、 3、Service Account、 4、Opaque Secret, 三、volume、 1、背景、 2、卷的类型、 3、卷类型:emptyDir、 4、卷类型:hostPath, 四、PV-PVC、 1、持久化演示说明 - NFS、 2、关于StatefulSet、
Kubernetes中的ConfigMapSecret有什么区别
02-17
Kubernetes中,ConfigMapSecret都是用来存储应用程序或容器所需的配置信息的对象。它们的区别在于: 1. 数据类型:ConfigMap存储的是纯文本数据,而Secret存储的是加密后的数据。 2. 安全性:ConfigMap存储的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

刘明同学呀

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值