(8):配置管理之Secret及ConfigMap解析

最新推荐文章于 2022-04-20 16:20:46 发布
最新推荐文章于 2022-04-20 16:20:46 发布
阅读量173 收藏
点赞数
分类专栏: K8s基础
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_36050376/article/details/119083452
版权
一、Secret介绍

Secret作用:将加密数据存入etcd,让Pod以挂载Volume的方式进行访问

Secret使用场景:用作数据凭证,数据加密

示例说明:

apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data: 
  username: YWRtaW4=    # echo -n "admin" | base64 进行加密编码
  password: MTIzNDU2YWJj    # echo -n "123456abc" | base64 进行加密编码

1.执行yaml,创建Secret配置管理:

[root@master-146 ~]# kubectl apply -f secret.yaml 
secret/mysecret created
[root@master-146 ~]# kubectl get secret
NAME                  TYPE                                  DATA   AGE
default-token-ks8wd   kubernetes.io/service-account-token   3      2d8h
mysecret              Opaque                                2      18s

2.创建Pod

2.1 挂载方式一:用变量的方式

apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: nginx
    image: nginx
    env:
      - name: SECRET_USERNAME    #用于保存Secret中的data.username
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: username    #对应Secret中的data.username的值
      - name: SECRET_PASSWORD    #用于保存Secret中的data.password
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: password     #对应Secret中的data.password的值

执行Pod的yaml

[root@master-146 ~]# kubectl apply -f secret-env.yaml 
pod/mypod created
[root@master-146 ~]# kubectl get pod
NAME                     READY   STATUS              RESTARTS   AGE
mypod                    1/1     Running             0          25s

进入Pod查看结果:

[root@master-146 ~]# kubectl exec -it mypod -- bash
root@mypod:/# echo $SECRET_USERNAME
admin
root@mypod:/# echo $SECRET_PASSWORD
123456abc

2.2 挂载方式二:用数据卷Volume的方式

apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: nginx
    image: nginx
    volumeMounts:
    - name: foo
      mountPath: "/etc/foo"
      readOnly: true
  volumes:
  - name: foo
    secret:
      secretName: mysecret

执行yaml:

[root@master-146 ~]# kubectl delete -f secret-env.yaml 
pod "mypod" deleted
[root@master-146 ~]# kubectl apply -f secret-vol.yaml 
pod/mypod created
[root@master-146 ~]# kubectl get Pod mypod
NAME    READY   STATUS    RESTARTS   AGE
mypod   1/1     Running   0          25s

查看结果(分别存入文件):

[root@master-146 ~]# kubectl exec -it mypod -- bash                      
root@mypod:/# cat /etc/foo/username 
adminroot@mypod:/# cat /etc/foo/password 
123456abcroot@mypod:/#

二、ConfigMap介绍

ConfigMap作用:将非加密数据存入etcd,让Pod以挂载Volume的方式进行访问

ConfigMap使用场景:配置文件

示例说明:

1.快速创建

创建配置文件,并创建ConfigMap:

[root@master-146 ~]# cat config.txt 
ip=127.0.0.1
port=6379
passwd=123456
[root@master-146 ~]# kubectl create configmap myconfig --from-file=myconfig.txt
configmap/myconfig created
[root@master-146 ~]# kubectl get cm
NAME     DATA   AGE
myconfig   1      17s

查看ConfigMap里的配置信息:

[root@master-146 ~]# kubectl describe cm myconfig
Name:         myconfig
Namespace:    default
Labels:       <none>
Annotations:  <none>

Data
====
myconfig.txt:
----
ip=127.0.0.1
port=6379
passwd=123456

Events:  <none>

ConfigMap的yaml格式:

[root@master-146 ~]# kubectl create configmap myconfig --from-file=myconfig.txt --dry-run=client -o yaml
apiVersion: v1
data:
  myconfig.txt: |
    ip=127.0.0.1
    port=6379
    passwd=123456
kind: ConfigMap
metadata:
  creationTimestamp: null
  name: myconfig

2.以变量的方式挂载到Pod

创建一个ConfigMap:

[root@master-146 ~]# cat cm.yaml 
apiVersion: v1
kind: ConfigMap
metadata:
  name: myconfig
  namespace: default
data:
  special.level: info
  special.type: hello

生成ConfigMap:

[root@master-146 ~]# kubectl apply -f cm.yaml 
configmap/myconfig created
[root@master-146 ~]# kubectl get cm
NAME       DATA   AGE
myconfig   2      4s

创建Pod,并用变量挂载ConfigMap中的参数:

[root@master-146 ~]# cat cm-env.yaml 
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
    - name: busybox
      image: busybox
      command: ["/bin/sh", "-c", "echo $(LEVEL) $(TYPE)"]
      env:
        - name: LEVEL
          valueFrom:
            configMapKeyRef:
              name: myconfig
              key: special.level
        - name: TYPE
          valueFrom:
            configMapKeyRef:
              name: myconfig
              key: special.type
  restartPolicy: Never

运行Pod:

[root@master-146 ~]# kubectl apply -f cm-env.yaml 
pod/mypod created
[root@master-146 ~]# kubectl get pod mypod
NAME    READY   STATUS      RESTARTS   AGE
mypod   0/1     Completed   0          114s

结果:

[root@master-146 ~]# kubectl logs mypod
info hello

3.以Volume方式挂载到Pod
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
    - name: busybox
      image: busybox
      command: ["/bin/sh", "-c", "cat /etc/config/myconfig.txt"]
      volumeMounts:
      - name: config-volume
        mountPath: /etc/config
  volumes:
    - name: config-volume
      configMap:
        name: myconfig
  restartPolicy: Never

执行yaml创建Pod并将配置文件挂载进Pod:

[root@master-146 ~]# kubectl apply -f cm-vol.yaml 
pod/mypod created
[root@master-146 ~]# kubectl get pods mypod
NAME    READY   STATUS      RESTARTS   AGE
mypod   0/1     Completed   0          49s

Pod的输出结果:

[root@master-146 ~]# kubectl logs mypod
ip=127.0.0.1
port=6379
passwd=123456
一生要强的Zz
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
k8s之ConfigMapsecret
wang0907的博客
01-07 1126
我们知道k8s的数据都是存储到kv数据库etcd中的,那么我们程序中使用到各种配置信息是否可以也存储到etcd,然后在pod中使用呢?是可以的,k8s为了实现将自定义的数据存储到etcd,定义了ConfigMapsecret两种API对象。其中ConfigMap用来保存明文数据,如端口号,普通配置参数等,Secret用来配置需要加密的数据,如密码,秘钥等。本文就一起来看下这两个对象的定义以及如何在pod中使用。
k8s-config:配置库
04-06
这个主配置可能包含了多个 ConfigMapSecret 的定义,以及可能的 Deployment、Service 或其他 Kubernetes 资源。通过将这些配置文件组织在一起,可以更方便地管理和协调整个集群的配置。 **最佳实践** 1. **...
k8s --使用secret
IT艺术家-rookie的博客
04-20 4025
为什么要使用secret 官网说明 以前一些数据库密码可能会写在配置文件中springboot工程中一般是application.yaml。有的会直接写明文,有的加密之后把密文写在配置文件中。 k8s中secret是一种包含少量敏感信息例如密码、令牌或密钥的对象。 这样的信息可能会被放在 Pod 规约中或者镜像中。 使用 Secret 意味着你不需要在应用程序代码中包含机密数据。 Secret 类似于 ConfigMap 但专门用于保存机密数据。 Pod使用Secret Pod有用三种方式来使用 Sec
K8s 中 ConfigMap 使用介绍
愿许浪尽天涯的博客
11-07 1万+
ConfigMap 是一种 API 对象,用来将非机密性的数据保存到键值对中。使用时,Pods 可以将其用作环境变量、命令行参数或者存储卷中的配置文件。ConfigMap 的主要作用就是为了让镜像和配置文件解耦,以便实现镜像的可移植性和可复用性。...
k8s之ConfigMap详细理解及使用
热门推荐
skh2015java的博客
10-22 5万+
一、ConfigMap介绍 ConfigMap是一种API对象,用来将非加密数据保存到键值对中。可以用作环境变量、命令行参数或者存储卷中的配置文件。 ConfigMap可以将环境变量配置信息和容器镜像解耦,便于应用配置的修改。如果需要存储加密信息时可以使用Secret对象。 二、ConfigMap创建 1.通过命令行创建configmap 可以使用 kubectl create configmap 从文件、目录或者 key-value 字符串创建等创建 ConfigMap (1)通过文...
k8s之Secret详细理解及使用
Jerry00713的博客
03-02 4791
Secret介绍 k8s secrets用于存储和管理一些敏感数据,比如密码,token,密钥等敏感信息。它把 Pod 想要访问的加密数据存放到 Etcd 中。然后用户就可以通过在 Pod 的容器里挂载 Volume 的方式或者环境变量的方式访问到这些 Secret 里保存的信息了。 Secret有三种类型 Opaque:base64 编码格式的 Secret,用来存储密码、密钥等;但数据也可以通过base64 –decode解码得到原始数据,所有加密性很弱。 Service Account:用来
ks8 核心组件、Pod分类、网络模型
xumneg111的博客
12-19 4568
Kubernetes核心组件 Kubernetes定义了一组构建块,它们可以共同提供部署、维护和扩展应用程序的机制。组成Kubernetes的组件设计为松耦合和可扩展的,这样可以满足多种不同的工作负载。可扩展性在很大程度上由Kubernetes API提供——它被作为扩展的内部组件以及Kubernetes上运行的容器等使用。 Kubernetes 主要由以下几个核心组件组成: etcd 保存了整个集群的状态; kube-apiserver 提供了资源操作的唯一入口,并提供认证、授权、访问控制、API注册和
k8s-config:Kubernetes配置清单
02-19
3. **ConfigMapSecret**:ConfigMap用于存储非敏感配置数据,如环境变量、命令行参数或文件内容,而Secret则用于安全地存储敏感信息,如密码、OAuth令牌和SSH密钥。 4. **Label和Annotation**:Label用于对资源...
config:使用EDN文件和clojure.spec配置系统
01-31
在Clojure世界中,配置管理是一项关键任务,它关乎到应用程序的可维护性和扩展性。本文将深入探讨如何使用EDN(Extensible Data Notation)文件和clojure.spec来构建和管理配置系统,以实现更加灵活和可靠的软件工程...
15 _ 深入解析Pod对象(二):使用进阶1
08-04
2. **ConfigMap**:ConfigMap用于存储非敏感的配置信息,如环境变量、命令行参数或者配置文件。它们允许将配置数据与应用程序代码分离。 3. **Downward API**:Downward API让Pod内的容器可以获取关于自身的信息,...
KS8基础命令
进阶的蜗牛
08-26 8538
KS8基础命令 一、设置服务开机自启动 设置kubelet开机自启动:systemctl enable kubelet 设置docker开机自启动:systemctl enable docker 二、查看pod状态 命令查看 Pod 的状态: kubectl get pod --all-namespaces 三、集群初始化 Kubernetes初始化:kubeadm init --kubernet...
kubernetes(k8s) 学习 (八) k8s 存储之 ConfigMap( 4种创建方式+3种使用方式+热更新)
weixin_45649763的博客
05-03 2248
文章目录configmap简介创建ConfigMap的方式使用字面值创建使用文件创建使用目录创建编写configmap的yaml文件如何使用configmap使用configmap设置环境变量普通格式envfrom格式使用conigmap设置命令行参数通过数据卷使用configmapconfigmap热更新使用ConfigMap的限制条件 configmap简介 在生产环境中经常会遇到需要修改配置...
(2):Pod的基本操作及策略
Jason的博客
07-23 1183
一、Pod镜像拉取策略 这里的imagePullPolicy就代表了镜像的拉取策略: 1.Always:每次创建pod都会重新拉取一次镜像; 2.IfNotPresent:默认值,镜像不在宿主机上时才进行拉取; 3.Never:Pod永远不会主动拉取这个镜像。 二、Pod资源限制 调度时用于计算所有pod请求的资源,不能超过node提供的总资源,request代表容器的最小资源: spec.containers[].resources.requests.cpu spec.containers[].re
(10):Ingress解析
Jason的博客
07-25 1137
一、Ingress的作用:对外暴露服务 回顾之前做对外提供访问的方式,NodePort是通过把端口号对外暴露,使得外部通过集群任意节点的NodeIP+端口的方式进行访问。但是NodePort也有不足的地方,意味着每个端口只能使用一次,一个应用就要占用一个端口。 而在实际访问中,都是通过域名的方式来进行的。根据不同的域名来跳转到不同端口的服务中。Ingress就可以实现这种操作。 Ingress作为统一入口,根据域名找到对应的Service,而每个Service关联了一组Pod。外部访问时,通过Ingre
(1):如何理解Pod
Jason的博客
07-23 554
一、Pod的基本概念 1.Pod是k8s中最小的部署单元; 2.一个Pod中包含一组container(一个或多个容器); 3.一个Pod中的所有容器共享网络命令空间; 4.Pod的生命周期是短暂的。 二、Pod与Docker区别 1.Pod是多进程设计:一个Pod里可以有多个容器,可以运行多个应用程序; 2.容器是单进程设计:一个容器里运行一个应用程序,守护进程可以确保启动多个容器; 3.Pod的存在意义:为了亲密性应用  3.1 两个应用之间进行交互。比如一个应用读、一个应用负责写,放在一个Pod更加合
如何在k8s中快速写一个yaml文件
Jason的博客
07-23 383
如何快速写一个yaml文件 方式一,创建一个资源但不执行,将生成的yaml文件导出作为一个模板 kubectl create deployment web --image=nginx -o yaml --dry-run > temple1.yaml cat temple1.yaml 方式二,将已经部署的资源的yaml导出作为模板 kubectl get deploy ngnix -o=yaml --export > temple2.yaml cat temple2.yaml
(12):持久化存储之PV和PVC
Jason的博客
07-26 348
对于NFS网络存储来说,每次配置都需要知道远端服务器IP和共享路径,似乎用起来不是那么安全和方便,于是这里引入PV和PVC的概念。 一、PV和PVC理解 1. PV: 持久化存储,对储存资源进行抽象,提供对外调用的地方;可以理解为生产者。 2. PVC: 用于调用,它不关心内部具体实现;可以理解为消费者。 二、PV和PVC的实现流程 Pod应用部署 定义PVC(用于绑定PV) 定义PV(数据存储服务器的IP及路径,具体定义了存储容量、匹配模式等) 三、创建及验证 依然需要一台作为PV的服务器,.
(13):监控方案Prometheus+Grafana
Jason的博客
07-26 305
一、Prometheus+Grafana监控方案介绍 Prometheus:开源工具,可做监控、报警,本质是一个数据库,采用http协议周期性地抓取被监控组件的状态,只需要http接口接入即可; Grafana:开源工具,可做数据分析和可视化,支持Premetheus等多种数据源。 二、部署Prometheus 首先部署一个DaemonSet,让新加入的节点也自动进入监控系统 --- apiVersion: apps/v1 kind: DaemonSet metadata: name: node-ex
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一生要强的Zz

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值