配置资源管理

配置资源管理：

Secret

Configmap*：1.2加入的新特征。

Secret：保存密码，token，敏感的k8s资源。

这类数据可以直接存放在镜像当中，但是放在secret当中可以更方便的控制，减少暴露的风险。

Secrets的类型

查看

kubectl get secrets

四种方式：

docker-registry :存储docker仓库认证信息，以及docker组件认证信息。 (私有 )

generic：是secret的默认模式，Opaque base64加密编码的secret，用户自定义的密码，密钥等等

tls：TLS/SSL 用于存储证书和私钥，https

系统自建的：kubernetes.io/service-account-token用来访问系统的apiserver。pod会默认使用这个kubernetes.io/service-account-token创建的secret和apiserver通信，自动挂载到pod的/run/secret/kubernetes.io/serviceaccount.

pod如何来引用secret

3种方式：

1，挂载的方式，secret挂载到pod当中一个或者多个容器的卷里面。

2，把secret作为容器的环境变量

3，docker-registry可以作为集群拉取镜像时使用。使用secret可以实现免密登录

创建方式：

1，陈述式创建

指定文件提取信息

先创建两个文件

kubectl create secret generic mysecret --from-file=/opt/username.txt --from-file=/opt/password.txt

generic 默认类型，Opaque加密方式

2，声明式创建

将加密信息的方式

把数据加密

vim secret.yaml

data中保存的加密信息。

使用方式：

1，挂载，（最多的方式）

vim test1.yaml

把加密的信息传到指定容器的指定目录当中去，在容器中不是加密的

还可以传文件

kubectl create secret generic mysecret2 --from-file=/etc/passwd --from-file=/etc/shadow

2，传递为容器的环境变量

#我给nginx1.22这个容器里面传了两个环境变量，这两个变量的值从secret来， 分别是两条mysecret1的加密信息

kubectl exec -it mypod1 bash

3，免密登录harbor仓库

kubectl create secret docker-registry myharbor --docker-server=192.168.176.64 --docker-username=admin --docker-password=123456

指定节点拉取

secret的三种方式：

创建可以是陈述式创建

也可以是声明式

引用方式：

挂载使用

设定环境变量

docker-registry

ConfigMap：

保存的是不需要加密的信息。configmap的1.2引入的功能，应用程序会从配置文件，免密参数，以及环境变量中读取配置信息 configmap在创建容器中，给他主任我们需要的配置信息。即可以是单个的属性也可以是整个容器的配置文件。

创建方式：

1，陈述式

mkdir configmap

vim cc.txt

vim cc1.txt

创建

kubectl create configmap game --from-file=/opt/configmap/cc.txt --from-file=/opt/configmap/cc1.txt

查看

信息不是加密的

从指定文件创建，可以是一个，也可以是多个文件

使用字面值创建

kubectl create configmap game1 --from-literal=cc=youqian --from-literal=chen=bianyq

声明式方式创建：

vim configmap.yaml

都是以键值对的方式保存的

引用：

1，作为环境变量

vim configmap.yaml

传入

2，数据卷使用configMap

准备好一个nginx.conf的配置文件

创建configMap

kubectl create configmap nginx-con --from-file=/opt/nginx-configmap/nginx.conf

vim nginx1.yaml

找不到，因为nginx.conf中工作目录错误

1,我们通过数据卷的形式，把配置文件传给了pod内部容器。

2，config的热更新，在pod运行的情况下，对config的配置信息进行修改。直接生效(反应到容器当中)

3，configmap的热更新不会触发pod的滚动更新机制(deployment)

热更新不会重启

直接通过nginx-con更改

kubectl edit cm nginx-con

但nginx没有重启

version/config来触发滚动更新

kubectl patch deployments.apps nginx1 --patch '{"spec": {"template": {"metadata": {"annotations": {"version/confgi": "20240116"}}}}}'

secret：主要作用的保存加密文件，主要的使用方式就是挂载方式

configMap：主要作用把配置信息传给容器。主要方式也是挂载方式

configMap的热更新：热更新可以直接反映到容器的内部，也不会触发pod的更新机制。如果不是需要重启的配置，都可以直接生效。

version/config来触发滚动更新

kubectl patch deployments.apps nginx1 --patch '{"spec": {"template": {"metadata": {"annotations": {"version/confgi": "20240116"}}}}}'

需要重启的，可以重启pod。

更新：就是把配置信息重新传到容器内，重启也是一样

configMap:就是把配置信息传给容器，键偉对形式保存的，非加密的信息。