10、kubernetes 核心技术-Secret、ConfigMap

最新推荐文章于 2024-08-08 11:55:00 发布
最新推荐文章于 2024-08-08 11:55:00 发布
阅读量320 收藏 1
点赞数
分类专栏: Kubernetes 文章标签: kubernetes secret docker ConfigMap Volume
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w918589859/article/details/113116731
版权

文章目录

一、Secret

Secret的主要作用就是加密数据,然后存在etcd里面,让Pod容器以挂载Volume方式进行访问
Secret 解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露 到镜像或者 Pod Spec 中。Secret 可以以 Volume 或者环境变量的方式使用

场景:用户名 和 密码进行加密

一般场景的是对某个字符串进行base64编码 进行加密

[root@k8s-master ~]$ echo -n 'admin' | base64
YWRtaW4=

Secret 有三种类型

  • Service Account :用来访问 Kubernetes API,由 Kubernetes 自动创建,并且会自动挂 载到 Pod 的 /run/secrets/kubernetes.io/serviceaccount 目录中
  • Opaque : base64 编码格式的 Secret,用来存储密码、密钥等
  • kubernetes.io/dockerconfigjson :用来存储私有 docker registry 的认证信息

1.1 变量形式挂载到Pod

创建secret加密数据的yaml文件 secret.yaml

[root@k8s-master ~]$ cat > secret.yaml << EOF
apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  username: YWRtaW4=
  password: MWYyZDFlMmU2N2Rm
EOF

创建一个pod

[root@k8s-master ~]$ kubectl create -f secret.yaml


[root@k8s-master ~]$ kubectl get pods

[root@k8s-master ~]$ kubectl get secret
NAME                  TYPE                                  DATA   AGE
default-token-wqhjb   kubernetes.io/service-account-token   3      27h
mysecret              Opaque                                2      7m36s

创建一个 secret-val.yaml 文件

[root@k8s-master ~]$ cat > secret-val.yaml << EOF
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: nginx
    image: nginx
    env:
      - name: SECRET_USERNAME
        valueFrom:   #挂载目录
          secretKeyRef:
            name: mysecret
            key: username
      - name: SECRET_PASSWORD
        valueFrom:
          secretKeyRef:   #名称
            name: mysecret
            key: password
EOF
[root@k8s-master ~]$ kubectl apply -f secret-val.yaml
NAME                     READY   STATUS      RESTARTS   AGE
ds-test-ljb52            1/1     Running     0          85m
mypod                    1/1     Running     0          15s

进入到容器内部

[root@k8s-master ~]$ kubectl exec -it mypod bash

然后就可以输出值,这就是以变量的形式挂载到容器中

# 输出用户
root@mypod:/# echo $SECRET_USERNAME
admin

# 输出密码
root@mypod:/# echo $SECRET_PASSWORD
1f2d1e2e67df

要删除这个Pod,就可以使用这个命令

[root@k8s-master ~]$ kubectl delete -f secret-val.yaml

1.2 数据卷形式挂载

创建一个 secret-vol.yaml 文件

[root@k8s-master ~]$ cat > secret-vol.yaml << EOF
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: nginx
    image: nginx
    volumeMounts:   #挂载
    - name: foo
      mountPath: "/etc/foo"
      readOnly: true
  volumes:
  - name: foo
    secret:
      secretName: mysecret
EOF

创建Pod

# 根据配置创建容器
[root@k8s-master ~]$ kubectl apply -f secret-vol.yaml

# 进入容器
[root@k8s-master ~]$ kubectl exec -it mypod bash

# 查看
root@mypod:/# ls /etc/foo
password  username

二、ConfigMap

ConfigMap作用是存储不加密的数据到etcd中,让Pod以变量或数据卷Volume挂载到容器中

应用场景:配置文件

2.1 创建配置文件

创建一个配置文件 redis.properties

[root@k8s-master ~]$ kubectl delete Pod --all

[root@k8s-master ~]$ cat > redis.properties << EOF
redis.host=127.0.0.1
redis.port=6379
redis.password=123456
EOF

2.2 创建ConfigMap

[root@k8s-master ~]$ kubectl create configmap redis-config --from-file=redis.properties

查看详细信息

[root@k8s-master ~]$ kubectl get cm
NAME           DATA   AGE
redis-config   1      7m8s

[root@k8s-master ~]$ kubectl describe cm redis-config
Name:         redis-config
Namespace:    default
Labels:       <none>
Annotations:  <none>

Data
====
redis.properties:
----
redis.host=127.0.0.1
redis.port=6379
redis.password=123456

Events:  <none>

2.3 Volume数据卷形式挂载

创建一个 cm.yaml

[root@k8s-master ~]$ cat > cm.yaml << EOF
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
    - name: busybox
      image: busybox
      command: [ "/bin/sh","-c","cat /etc/config/redis.properties" ]
      volumeMounts:
      - name: config-volume
        mountPath: /etc/config
  volumes:
    - name: config-volume
      configMap:
        name: redis-config
  restartPolicy: Never
EOF

使用该yaml创建pod

# 创建
[root@k8s-master ~]$ kubectl apply -f cm.yaml

# 查看
[root@k8s-master ~]$ kubectl get pods
NAME    READY   STATUS      RESTARTS   AGE
mypod   0/1     Completed   0          6m42s

最后通过命令就可以查看结果输出了

[root@k8s-master ~]$ kubectl logs mypod
redis.host=127.0.0.1
redis.port=6379
redis.password=123456

2.4 以变量的形式挂载Pod

创建一个myconfig.yaml文件,声明变量信息,然后以configmap创建

[root@k8s-master ~]$ cat > myconfig.yaml << EOF
apiVersion: v1
kind: ConfigMap
metadata:
  name: myconfig
  namespace: default
data:
  special.level: info
  special.type: hello
EOF

创建配置文件

# 创建pod
[root@k8s-master ~]$ kubectl apply -f myconfig.yaml

# 获取
[root@k8s-master ~]$ kubectl get cm

创建完该pod后,我们就需要在创建一个 config-var.yaml 来使用我们的配置信息

[root@k8s-master ~]$ cat > config-var.yaml << EOF
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
    - name: busybox  #容器
      image: busybox
      command: [ "/bin/sh", "-c", "echo $(LEVEL) $(TYPE)" ]  #输出信息
      env:
        - name: LEVEL
          valueFrom:
            configMapKeyRef:
              name: myconfig   #挂载
              key: special.level
        - name: TYPE
          valueFrom:
            configMapKeyRef:
              name: myconfig
              key: special.type
  restartPolicy: Never
EOF

查看输出

[root@k8s-master ~]$ kubectl logs mypod
路人甲_passerby
关注
专栏目录
k8s之ConfigMapsecret
wang0907的博客
01-07 1147
我们知道k8s的数据都是存储到kv数据库etcd中的,那么我们程序中使用到各种配置信息是否可以也存储到etcd,然后在pod中使用呢?是可以的,k8s为了实现将自定义的数据存储到etcd,定义了ConfigMapsecret两种API对象。其中ConfigMap用来保存明文数据,如端口号,普通配置参数等,Secret用来配置需要加密的数据,如密码,秘钥等。本文就一起来看下这两个对象的定义以及如何在pod中使用。
【搞定K8S】第2天8:kubernetes 核心技术-Secret
就叫一片白纸的博客
03-20 290
1、Secret 存在意义 Secret 解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Spec 中。Secret 可以以 Volume 或者环境变量的方式使用 2、Secret 有三种类型 •Service Account :用来访问 Kubernetes API,由 Kubernetes 自动创建,并且会自动挂载到 Pod 的 /run/secrets/kubernetes.io/serviceaccount 目录中 •Opaque : base64 编
十一、kubernetes 核心技术-Secret
weixin_43357497的博客
05-22 225
1. Secret 存在意义 Secret 解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露 到镜像或者 Pod Spec 中。Secret 可以以 Volume 或者环境变量的方式使用 2. Secret 有三种类型 Service Account :用来访问 Kubernetes API,由 Kubernetes 自动创建,并且会自动挂 载到Pod的/run/secrets/kubernetes.io/serviceaccount 目录中 Opaque : base6
k8s之configmapsecret
weixin_33908217的博客
12-25 434
配置信息注入 configmapsecret 简介   ConfigMap API资源提供了将配置数据注入容器的方式,同时保证该机制对容器来说是透明的。ConfigMap可以被用来保存单个属性,也可以用来保存整个配置文件或者JSON二进制大对象。   ConfigMap API资源存储键/值对配置数据,这些数据可以在pods里使用。ConfigMapSecrets类似,但是ConfigMap...
k8s--configMapsecret
sfakh的博客
12-08 464
k8s--configMapsecretconfigMap是什么创建configMapsecret向容器传递命令行参数 在k8s中向应用传递配置数据可以通过环境变量、configmapsecret等方式。 configmapsecret都是k8s中的资源,用于将pod的配置分离,便于处理和信息的保密 configMap是什么 configMap是K8s中用于数据持久化和共享的资源,常用于将其挂载到pod中的容器。configmap是k8s中用于将配置资源映射到pod容器中的一种资源。可以在pod中的容
kubernetes-server-linux-amd64.tar.gz
11-29
- **ConfigMap**与**Secret**:用于存储非敏感和敏感的应用配置数据,提供安全的环境变量注入方式。 - **Ingress**:定义外部网络到服务内部的访问规则,支持负载均衡和路由。 2. **Kubernetes 1.21.0新特性**: ...
kubernetes 核心实战 - 存储 - 3
最新发布
lixiemang8887的博客
08-08 727
kubernetes 核心实战 - 存储 - 3
Kubernetes核心技术--Pod,Label,Volume,Service,Deployment详解
CycloneKid的博客
10-06 2002
一.kubernetes简介 kubernetes,简称K8s,是用8代替8个字符“ubernete”而成的缩写。是一个开源的,用于管理云平台中多个主机上的容器化的应用,Kubernetes的目标是让部署容器化的应用简单并且高效(powerful),Kubernetes提供了应用部署,规划,更新,维护的一种机制。 传统的应用部署方式是通过插件或脚本来安装应用。这样做的缺点是应用的运行、配置、管理、...
K8S之configMap&secret
a91888888的博客
01-16 664
configMap的热更新:热更新可以直接反应到容器的内部,也不会触发pod的更新机制,如果不是需要重启的配置,都可以直接生效。2、config的热更新,在pod运行的情况下,对config的配置信息进行修改。ConfigMap在创建容器中,给他注入我们需要的配置信息,既可以是单个的属性也可以整个容器的配置文件。这类数据可以存放在镜像当中,但是防止secret当中可以更方便的控制,减少暴露的风险保存加密的信息。configMap:就是把配置信息传给容器,健偏对形式保存的,非加密的信息。
K8s ❉ 配置存储-ConfigMap / secret
wangjie72270的博客
01-04 1006
配置存储,ConfigMapsecret的详解
k8s——加密管理 (secret,configmap
weixin_44848382的博客
07-27 3352
k8s——加密管理Kubenetes的加密管理:SecretPod通过volume的方式使用secretPod通过环境变量的方式使用secretconfigmapPod通过volume使用configmap:Pod通过环境变量使用configmap Kubenetes的加密管理: Secret Secret 解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Spec 中。Secret 可以以 Volume 或者环境变量的方式使用,SECRET会以密文的方式存储,
十二、K8S-配置管理ConfigMapSecret
爱吃西红柿的博客
01-24 1219
如果引用Secret数据的应用,会随着secret资源对象内保存的数据的更新,而实时更新,那么应该使用volumes挂载的方式引用资源,因为环境变量的方式引用不会实时更新数据。ConfigMapSecret的区别:
k8s 配置存储之 Configmap & secret
看,未来的博客
07-25 1198
这篇比较轻松,因为我这会儿的时间被称之为“碎片时间”。
k8s-configmapsecret
fzzjoy的专栏
04-24 473
ConfigMap ConfigMap 并不提供保密或者加密功能。 如果你想存储的数据是机密的,请使用 Secret, 或者使用其他第三方工具来保证你的数据的私密性,而不是用 ConfigMap。 如何在容器中监听configMap的变化 viper 参考 ConfigMap ...
k8s之Secret & Configmap
weixin_51697758的博客
08-13 821
Secret可以为Pod提供密码、Token、私钥等敏感数据;对于一些 非敏感数据,比如应用的配置信息,则可以用ConfigMapConfigMap的创建和使用方式与Secret非常类似,主要的不同是 数据以明文的形式存放Configmap能解决哪些问题?...
Liunx——k8s的ConfigmapSecret
weixin_45191791的博客
11-22 309
Secret和ConfigMap 在日常单机甚至集群状态下,我们需要对一个应用进行配置,只需要修改其配置文件即可。 传统的实践过程中通常有以下几种方式: 启动容器时,通过命令传递参数; 将定义好的配置文件通过镜像文件进行写入; 通过环境变量的方式传递配置数据; 挂载Docker卷传送配置文件; 而在Kubernetes系统之中也存在这样的组件,就是特殊的存储卷类型。其并不是提供pod存储空间,而是给管理员或用户提供从集群外部向Pod内部的应用注入配置信息的方式。这两种特殊类型的存储卷分别是:config
玩转k8s(八)—— Secret & Configmap
weixin_49561506的博客
03-19 647
介绍如何向Pod传递配置信息,如果信息需要加密,可以使用Secret,如果是一般的配置信息,则使用ConfigMap。Pod在使用它们时,可以选择Volume方式或环境变量方式,但是只有Volume方式支持动态更新。
k8s-secret与configmap
Insomnia_Mr的博客
07-27 519
secret与configmapSecret创建方式使用键值对文件方式yaml文件Pod通过volume的方式使用secretPod通过环境变量的方式使用secretConfigmap创建方式键值对文件yamlPod通过volume使用configmapPod通过环境变量使用configmap Secret Secret 解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Spec 中。Secret 可以以 Volume 或者环境变量的方式使用 创建方式 使用键值
k8s上使用ConfigMapSecret
清瞳清的博客
06-16 1100
展示如何在 Kubernetes 中使用 ConfigMapSecret 来管理一个 web 应用的配置和数据库凭证。
一小时掌握Kubernetes安全配置:Secret与加密实践
1. ConfigMapKubernetes的核心配置管理工具,它允许将环境变量、命令行参数乃至整个配置文件或JSON格式的数据存储在其中,以键值对的形式管理。ConfigMap的所有配置信息都以明文形式存储,适合非敏感的配置信息...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值