k8s配置管理--configmap与secret

已于 2022-05-06 11:40:01 修改
阅读量10w+ 收藏 11
点赞数 1
分类专栏: k8s 文章标签: kubernetes
于 2022-04-06 21:44:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45826416/article/details/124000211
版权

configmap

概述

定义:
Configmap 是 k8s 中的资源对象,用于保存非机密性的配置的,数据可以用 key/value 键值对的
形式保存,也可通过文件的形式保存。

作用:
我们在部署服务的时候,每个服务都有自己的配置文件,如果一台服务器上部署多个服务:nginx、tomcat、apache 等,那么这些配置都存在这个节点上,假如一台服务器不能满足线上高并发的要求,需要对服务器扩容,扩容之后的服务器还是需要部署多个服务:nginx、tomcat、apache,新增加的服务器上还是要管理这些服务的配置,如果有一个服务出现问题,需要修改配置文件,每台物理节点上的配置都需要修改,这种方式肯定满足不了线上大批量的配置变更要求。 所以,k8s 中引入了 Configmap资源对象,可以当成 volume 挂载到 pod 中,实现统一的配置管理。

特点:
1、Configmap 是 k8s 中的资源, 相当于配置文件,可以有一个或者多个 Configmap;
2、Configmap 可以做成 Volume,k8s pod 启动之后,通过 volume 形式映射到容器内部指定目录上;
3、容器中应用程序按照原有方式读取容器特定目录上的配置文件;
4、在容器看来,配置文件就像是打包在容器内部特定目录,整个过程对应用没有任何侵入。

知识结构图:
在这里插入图片描述

创建方法

命令行直接创建

直接在命令行中指定 configmap 参数创建,通过–from-literal 指定参数
例:

 kubectl create configmap tomcat-config from-literal=tomcat_port=8080 --from-literal=server_name=myapp.tomcat.com

 kubectl describe configmap tomcat-config                            # 查看configmap内容

在这里插入图片描述

通过文件创建

通过指定文件创建一个 configmap,–from-file=<文件>

vim nginx.conf

server {
 server_name www.nginx.com;
 listen 80;
 root /home/nginx/www/
}

 kubectl create configmap www-nginx --from-file=www=./nginx.conf     # 定义一个 key 是 www,值是 nginx.conf 中的内容
 kubectl describe configmap www-nginx                                # 查看

在这里插入图片描述

指定目录创建 configmap

 mkdir test-a 
 cd test-a/
 cat my-server.cnf
 
 server-id=1

 cat my-slave.cnf

 server-id=2

kubectl create configmap mysql-config --from-file=/root/test-a/     # 指定目录创建 configmap
kubectl describe configmap mysql-config

在这里插入图片描述

编写 configmap 资源清单 YAML 文件

cat mysql-configmap.yaml

apiVersion: v1
kind: ConfigMap
metadata:
  name: mysql
  labels:
    app: mysql
data:
  master.cnf: |
    [mysqld]
    log-bin
    log_bin_trust_function_creators=1
    lower_case_table_names=1
  slave.cnf: |
    [mysqld]
    super-read-only
    log_bin_trust_function_creators=1

使用 Configmap

通过环境变量引入:使用 configMapKeyRef

vim mysql-configmap.yaml                                            # 创建一个存储 mysql 配置的 configmap

apiVersion: v1
kind: ConfigMap
metadata:
  name: mysql
  labels:
    app: mysql
data:
  log: "1"
  lower: "1"

kubectl apply -f mysql-configmap.yaml                              # 应用configmap

创建 pod,引用 Configmap 中的内容,yaml文件内容如下:

apiVersion: v1
kind: Pod
metadata:
  name: mysql-pod
spec:
  containers:
  - name: mysql
    image: busybox
    command: [ "/bin/sh", "-c", "sleep 3600" ]
    env:
    - name: log_bin                                                # 定义环境变量 log_bin
      valueFrom: 
        configMapKeyRef:
        name: mysql                                                # 指定 configmap 的名字
        key: log                                                   # 指定 configmap 中的 key
    - name: lower                                                  # 定义环境变量 lower
      valueFrom:
        configMapKeyRef:
          name: mysql
          key: lower
  restartPolicy: Never

kubectl apply -f mysql-pod.yaml                                    # 应用pod

通过环境变量引入:使用 envfrom

apiVersion: v1
kind: Pod
metadata:
  name: mysql-pod-envfrom
spec:
  containers:
  - name: mysql
    image: busybox
    command: [ "/bin/sh", "-c", "sleep 3600" ]
    envFrom: 
    - configMapRef:
      name: mysql                                                   # 指定 configmap 的名字
  restartPolicy: Never

kubectl apply -f mysql-pod-envfrom.yaml                             # 应用pod

把 configmap 做成 volume,挂载到 pod

cat mysql-configmap.yaml

apiVersion: v1
kind: ConfigMap
metadata:
  name: mysql
  labels:
  app: mysql
data:
  log: "1"
  lower: "1"
  my.cnf: |
    [mysqld]
    Welcome=hello

kubectl apply -f mysql-configmap.yaml                               # 更新资源清单

创建pod,将configmap做成volume并挂载。

vim mysql-pod-volume.yaml

apiVersion: v1
kind: Pod
metadata:
  name: mysql-pod-volume
spec:
  containers:
  - name: mysql
    image: busybox
    command: [ "/bin/sh","-c","sleep 3600" ]
    volumeMounts:
    - name: mysql-config
      mountPath: /tmp/config
  volumes:
  - name: mysql-config
    configMap:
      name: mysql
  restartPolicy: Never

Secret

概述

Secret 解决了密码、token、秘钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Spec 中。Secret 可以以 Volume 或者环境变量的方式使用。

secret 可选参数有三种:

  1. generic: 通用类型,通常用于存储密码数据。
  2. tls:此类型仅用于存储私钥和证书。
  3. docker-registry: 若要保存 docker 仓库的认证信息的话,就必须使用此种类型来创建。

Secret 类型:

  1. Service Account:用于被 serviceaccount 引用。serviceaccout 创建时 Kubernetes 会默认创建对应的 secret。Pod 如果使用了 serviceaccount,对应的 secret 会自动挂载到 Pod 的/run/secrets/kubernetes.io/serviceaccount 目录中。

  2. Opaque:base64 编码格式的 Secret,用来存储密码、秘钥等。可以通过 base64 --decode 解码
    获得原始数据,因此安全性弱。

  3. kubernetes.io/dockerconfigjson:用来存储私有 docker registry 的认证信息。

创建及使用

通过环境变量引入 Secret

把 mysql 的 root 用户的 password 创建成 secret

kubectl create secret generic mysql-password --from-literal=password=pod**lucky66
kubectl describe secret mysql-password                              # 查看secret详细信息

创建 pod,引用 secret

vim pod-secret.yaml


apiVersion: v1
kind: Pod
metadata:
  name: pod-secret
  labels:
    app: myapp
spec:
  containers:
  - name: myapp
    image: ikubernetes/myapp:v1
    ports:
    - name: http
      containerPort: 80
    env:
    - name: MYSQL_ROOT_PASSWORD                                     # 它是 Pod 启动成功后,Pod 中容器的环境变量名.
      valueFrom:
        secretKeyRef:
          name: mysql-password                                      # 这是 secret 的对象名
          key: password                                             # 它是 secret 中的 key 名

进入pod查看环境变量 MYSQL_ROOT_PASSWORD 的值为 pod**lucky66

通过 volume 挂载 Secret

创建 Secret

手动加密,基于 base64 加密

 echo -n 'admin' | base64
 YWRtaW4=

 echo -n 'xuegod123456f' | base64
 eHVlZ29kMTIzNDU2Zg==

解码:

echo eHVlZ29kMTIzNDU2Zg== | base64 -d
创建 yaml 文件
vim secret.yaml

apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  username: YWRtaW4=
  password: eHVlZ29kMTIzNDU2Zg==

kubectl apply -f secret.yaml                                        # 更新资源清单
将 Secret 挂载到 Volume 中
vim pod_secret_volume.yaml

apiVersion: v1
kind: Pod
metadata:
  name: pod-secret-volume
spec:
  containers:
  - name: myapp
    image: registry.cn-beijing.aliyuncs.com/google_registry/myapp:v1
    volumeMounts:
    - name: secret-volume
      mountPath: /etc/secret
      readOnly: true
  volumes:
  - name: secret-volume
    secret:
      secretName: mysecret

kubectl apply -f pod_secret_volume.yaml

进入pod可以看到/etc/secret下有password和username两个文件,查看内容和我们创建的secret内容吻合。

私有镜像仓库secret

创建
kubectl create secret docker-registry registry-pull-secret --docker-server=192.168.1.62 --docker-username=admin --docker-password=Harbor12345
# docker-registry                    为secret参数,指定创建的secret用于docker仓库的认证
# registry-pull-secret               为创建的secret名称
# --docker-server=192.168.1.62       指定私有仓库地址
# --docker-username=admin            指定私有仓库用户名
# --docker-password=Harbor12345      指定私有仓库密码
使用

/etc/docker/daemon.json添加如下内容:

 "insecure-registries":["192.168.1.62","harbor"]

重启 docker 使配置生效

systemctl daemon-reload && systemctl restart docker && systemctl status docker

登录到私有仓库,输入账号、密码。(前提是私有仓库已搭建好,并创建了项目、上传了镜像)

docker login 192.168.1.62

创建pod,使用仓库中的镜像,并指定拉取镜像时用的secret。

apiVersion: v1
kind: Pod
metadata:
  name: pod-secret
spec:
  containers:
  - name: myapp
    image: 192.168.1.62/test/myapp:v1                              # 指定私有仓库中的镜像
    imagePullPolicy: IfNotPresent
  volumes:
  - name: secret-volume
    secret:
      secretName: mysecret
  imagePullSecrets:                                                # 指定拉取镜像用到的secret
  - name: registry-pull-secret
大风车儿
关注
  • 1
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
k8sConfigMapsecret
wang0907的博客
01-07 1128
我们知道k8s的数据都是存储到kv数据库etcd中的,那么我们程序中使用到各种配置信息是否可以也存储到etcd,然后在pod中使用呢?是可以的,k8s为了实现将自定义的数据存储到etcd,定义了ConfigMapsecret两种API对象。其中ConfigMap用来保存明文数据,如端口号,普通配置参数等,Secret用来配置需要加密的数据,如密码,秘钥等。本文就一起来看下这两个对象的定义以及如何在pod中使用。
k8sConfigmap
热门推荐
高飞的博客
12-23 19万+
k8s configmap
k8sConfigMapSecret
Crazy博客
09-04 451
快速了解ConfigMapSecret
K8s】专题五(4):Kubernetes 配置之 ConfigMapSecret 使用
最新发布
行者Sun1989的博客
06-18 1100
Kubernetes 专题 - 配置之 ConfigMapSecret 使用
K8SconfigMap&secret
a91888888的博客
01-16 657
configMap的热更新:热更新可以直接反应到容器的内部,也不会触发pod的更新机制,如果不是需要重启的配置,都可以直接生效。2、config的热更新,在pod运行的情况下,对config的配置信息进行修改。ConfigMap在创建容器中,给他注入我们需要的配置信息,既可以是单个的属性也可以整个容器的配置文件。这类数据可以存放在镜像当中,但是防止secret当中可以更方便的控制,减少暴露的风险保存加密的信息。configMap:就是把配置信息传给容器,健偏对形式保存的,非加密的信息。
K8S:配置资源管理 Secret和configMap
Katie_ff的博客
10-07 1334
本文主要是对K8S的配置资源管理 Secret和configMap两者的介绍,Secret 主要是用来保存密码、token、密钥等敏感数据的 k8s 资源,这类数据虽然也可以存放在 Pod 或者镜像中,但是放在 secret 中是为了更方便的控制如何使用数据,并减少暴露的风险ConfigMapSecret类似,区别在于configMap保存的是不需要加密配置的信息。并且对ConfigMapSecret两者如何创建及应用场景、案例使用列举
k8s-dashboardv2.0.3.zip
10-08
`k8s-dashboard-configmap-secret.yaml` 文件可能包含了 Dashboard 的配置映射(ConfigMap)和秘密(Secret)。ConfigMap 用于存储非敏感的配置数据,如设置或配置文件,而 Secret 则用于安全地存储密码、密钥等敏感...
k8s-config:配置库
04-07
总结,`k8s-config` 是 Kubernetes 配置管理的一个核心概念,它涉及到 ConfigMapSecret、Kustomize、Helm 等多种工具和实践。`k8s-config-main` 很可能是整个配置库的主分支或基础配置集,用于管理集群的配置状态...
k8s-resource-replicator:Kubernetes运算符可通过可选的JSON Patch自定义转换在名称空间之间复制资源(例如ConfigMapSecret等)
04-10
Kubernetes资源复制器 一个非常精简和快速的Kubernetes运算符,它允许跨命名空间复制资源(例如ConfigMapSecret等)。 它还支持操作,以轻松转换有效负载。 CRD实例的示例: apiVersion : shopstic....
k8s-config:配置存储库
02-11
Kubernetesk8s)生态系统中,"k8s-config"通常指的是配置管理,它涉及到如何有效地存储、管理和更新集群中的配置信息。这个压缩包文件"**k8s-config-main**"可能包含了主配置集或者核心配置信息,用于初始化或...
k8s-coredns-1.8.6镜像包和安装文件
12-01
此外,可能还会包含用于存储CoreDNS配置的ConfigMap或者Secret,这些配置可以自定义CoreDNS的行为,如添加新的插件或调整查询日志级别。 "coredns"部分的标签表明了CoreDNS在k8s运维中的重要性。作为核心组件,Core...
k8sconfigmapsecret
weixin_30535167的博客
08-07 184
secret存储卷 加密存放配置文件 kubectl explain pods.spec.volumes.secret configmap存储卷 放置配置文件的 配置中心 kubectl explain pods.spec.volumes.configMap 配置容器化运用的方式: 自定义命令行参数; command args: [ ] ...
K8S配置管理---secret与configmap
L2111533547的博客
08-07 765
在部署应用程序时,我们都会涉及到应用的配置,在容器中,如Docker容器中,如果将配置文件打入容器镜像,这种行为等同于写死配置,每次修改完配置,镜像就得重新构建。当然,我们也可以通过挂载包含该文件的卷进行配置管理和修改。而在k8s中,我们要讲一种更好的方式,即ConfigMap,这种资源对象的出现,更是极大的方便了应用程序的配置管理。   ConfigMap是一个或多个key/value的形式保存在k8s中,内部可以管理变量也可以管理完整的配置文件内容。注:在使用命令的时候注意单词: configmap等价
k8s配置管理——secret与configmap
qq_21305943的专栏
08-11 1101
Secret 解决了密码、token、秘钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Spec 中。Secret 可以以 Volume 或者环境变量的方式使用。Secret:保存加密文件;加密数据并存放在Etcd中,让Pod的容器以挂载Volume方式访问secret 可选参数有三种:generic: 通用类型,通常用于存储密码数据。tls:此类型仅用于存储私钥和证书。docker-registry: 若要保存 docker 仓库的认证信息的话,就必须使用此种类型来创建。
k8s存储资源ConfigMapSecret
huahua1999的博客
04-17 2298
ConfigMap ConfigMap是一个K8s存储资源,用于存储应用程序配置文件。 Pod使用configmap数据有两种方式: • 变量注入 • 数据卷挂载 示例: 示例 先创建一个configMap vi configMap.yaml apiVersion: v1 kind: ConfigMap metadata: name: configmap-demo data: abc: "123" cde: "456" redis-c...
k8s资源secret和ConfigMap的相关详解
weixin_47019016的博客
12-20 525
secret一、secret相关简介二、secret资源的使用三、Secret实践k8s连接Harbor四、ConfigMap相关介绍五、ConfigMap资源的使用 一、secret相关简介 1.Secret资源的作用 用来保存一些敏感信息,比如MySQL服务的账号和密码,或者一些秘钥、证书等。 2.使用示例 用户名: root 密码:123.com 将上述信息保存为secret资源有以下几种方法可供使用。 (1)- -from-literal [root@master ~]# kubectl cre
k8s--configMapsecret
sfakh的博客
12-08 458
k8s--configMapsecretconfigMap是什么创建configMapsecret向容器传递命令行参数 在k8s中向应用传递配置数据可以通过环境变量、configmapsecret等方式。 configmapsecret都是k8s中的资源,用于将pod的配置分离,便于处理和信息的保密 configMap是什么 configMapK8s中用于数据持久化和共享的资源,常用于将其挂载到pod中的容器。configmapk8s中用于将配置资源映射到pod容器中的一种资源。可以在pod中的容
K8S配置中心configMapSecret
人丑就要多读书的博客
01-02 987
在生产环境中经常会遇到需要修改配置文件的情况,传统的修改方式不仅会影响到服务的正常运行,而且操作步骤也很繁琐。为了解决这个问题,kubernetes项目从1.2版本引入了ConfigMap功能,用于将应用的配置信息与程序的分离。这种方式不仅可以实现应用程序被的复用,而且还可以通过不同的配置实现更灵活的功能。在创建容器时,用户可以将应用程序打包为容器镜像后,通过环境变量或者外接挂载文件的方式进行配置注入。ConfigMap && Secret 是K8S中的针对应用的配置中心,它有效的解决了应用
Kubernetes进阶实战》第八章《配置容器应用:ConfigMapSecret》
紫色飞猪
01-19 842
configmapsecret PV和PVC是借助于StorageClass来分配磁盘的如何给Pod传配置信息: 两种方式: 1.把configmap关联到一个pod上,传递给pod内部的一个变量,注入的方式给容器传配置信息 2.配置卷,将配置文件映射到外面的路径 configmapkubernetes上扮演了kubernetes的配置中心的功能 Pod启动时候讲configmap打包为...
k8s configmap secret
07-27
Kubernetes (k8s) provides two types of resources for managing configuration data: ConfigMaps and Secrets. ConfigMaps are used to store non-sensitive configuration data, such as environment variables, command-line arguments, or configuration files. They can be created from literal values, directories, or files. On the other hand, Secrets are used to store sensitive information, such as usernames, passwords, or API keys. They are base64-encoded and can be mounted as files or used as environment variables in pods. To create a ConfigMap, you can use the `kubectl create configmap` command and provide the data using flags or a configuration file. For example: ```bash kubectl create configmap my-config --from-literal=key1=value1 --from-file=path/to/file ``` To create a Secret, you can use the `kubectl create secret` command and provide the sensitive data using flags or a configuration file. For example: ```bash kubectl create secret generic my-secret --from-literal=username=admin --from-file=path/to/file ``` Both ConfigMaps and Secrets can be mounted as volumes or used as environment variables in pods. You can reference them in the pod's YAML file using the `env` or `volumes` sections. I hope this helps! Let me know if you have any more questions.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值