【kubernetes】学习笔记 (六) configmap 与 secret

最新推荐文章于 2024-06-03 15:46:54 发布
最新推荐文章于 2024-06-03 15:46:54 发布
阅读量388 收藏 1
点赞数
分类专栏: kubernetes 文章标签: kubernetes 学习 docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaojunzhu123/article/details/124562631
版权

一,configmao 简介

ConfigMap 可以被用来保存单个属性,也可以用来保存整个配置文件或者 JSON 二进制大对象

使用时,Pods 可以将其用作环境变量、命令行参数或者存储卷中的配置文件。

ConfigMap 的主要作用就是为了让镜像和配置文件解耦,以便实现镜像的可移植性和可复用性

二,使用 ConfigMap 的限制条件
ConfigMap 需要在 Pod 启动前创建出来。
只有当 ConfigMap 和 Pod 处于同一 NameSpace(命名空间)时,Pod 才可以引用它。
当 Pod 对 ConfigMap 进行挂载(VolumeMount)操作时,在容器内部只能挂载为目录,并不能挂载为文件。
同时,当挂载已经存在的目录时,且目录内含有其它文件,ConfigMap 会将其覆盖掉。
 

三,configmap 的三种创建方式

1)使用目录创建

kubectl create configmap nginx-html --from-file=/etc/nginx/html
--from-file:指定在目录下的所有文件都会被用在 ConfigMap 里边创建一个键值对,键的名字就是文件名,值就是文件里内容。


2)使用文件创建

[root@localhost ~]# kubectl create configmap index-html --from-file=/etc/nginx/html/index.html
在创建时,可以使用多个 --from-file 命令;
如:kubctl create configmap index-html --from-file=1.txt --from-file=2.txt


3)使用字面值创建

kubectl create configmap dashboard

--from-literal=dashboard.username=root --from-literal=dashboard.password=123123

使用文字值创建,利用 —from-literal 参数传递配置信息,该参数可以使用多次
一般来说使用文件创建的方法用的还是比较多的;因为某些场景下可能需要将配置文件,挂载到容器内部。当然,我们也可以使用数据卷挂载的方式,来实现容器与配置文件的解耦。

四,使用pod配置configmap的三种方式

1)使用 ConfigMap 来替代环境变量

指的是针对于该pod的环境变量

apiVersion: v1
kind: ConfigMap
metadata:
name: special-config
namespace: default
data:
special.how: very
special.type: charm
apiVersion: v1
kind: Pod
metadata:
  name: dapi-test-pod
spec:
  containers:
    - name: test-container
      image: nginx:alpine
      command: [ "/bin/sh", "-c", "env" ]
      env:
        - name: SPECIAL_LEVEL_KEY
          valueFrom:
            configMapKeyRef:
              name: special-config
              key: special.how
        - name: SPECIAL_TYPE_KEY
          valueFrom:
            configMapKeyRef:
              name: special-config
              key: special.type
      envFrom:
        - configMapRef:
            name: env-config
  restartPolicy: Never

2) 用 ConfigMap 设置命令行参数

command: [ "/bin/sh", "-c", "echo $(SPECIAL_LEVEL_KEY) $(SPECIAL_TYPE_KEY)" ]

3) 通过数据卷插件使用ConfigMap

在数据卷里面使用这个 ConfigMap,有不同的选项。最基本的就是将文件填入数据卷,在这个文件中,键就是文件名,键值就是文件内容

apiVersion: v1
kind: Pod
metadata:
  name: dapi-test-pod11
spec:
  containers:
    - name: test-container
      image: nginx:alpine
      command: [ "/bin/sh", "-c", "sleep 900" ]
      volumeMounts:
      - name: config-volume
        mountPath: /etc/config
  volumes:
    - name: config-volume
      configMap:
        name: special-config
  restartPolicy: Never

更新 ConfigMap 目前并不会触发相关 Pod 的滚动更新,可以通过修改 pod annotations 的方式强制触发滚动更新

kubectl patch deployment my-nginx --patch '{"spec": {"template": {"metadata": {"annotations":
{"version/config": 20190411" }}}}}'

我们在 .spec.template.metadata.annotations 中添加 version/config ,每次通过修改
version/config 来触发滚动更新

!!! 更新 ConfigMap 后:
使用该 ConfigMap 挂载的 Env 不会同步更新
使用该 ConfigMap 挂载的 Volume 中的数据需要一段时间(实测大概10秒)才能同步更新

五,secret

Secret 解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Spec中。Secret 可以以 Volume 或者环境变量的方式使用

Secret 有三种类型:
Service Account :用来访问 Kubernetes API,由 Kubernetes 自动创建,并且会自动挂载到 Pod 的/run/secrets/kubernetes.io/serviceaccount 目录中
Opaque :base64编码格式的Secret,用来存储密码、密钥等
kubernetes.io/dockerconfigjson :用来存储私有 docker registry 的认证信息

六,secret的三种类型创建方式

1)  Service Account 用来访问 Kubernetes API,由 Kubernetes 自动创建,并且会自动挂载到 Pod的 /run/secrets/kubernetes.io/serviceaccount 目录中

$kubectl exec nginx-3137573019-md1u2 ls /run/secrets/kubernetes.io/serviceaccount
ca.crt
namespace

2) Opaque Secret

Opaque 类型的数据是一个 map 类型,要求 value 是 base64 编码格式:

$ echo -n "admin" | base64
YWRtaW4=
$ echo -n "1f2d1e2e67df" | base64
MWYyZDFlMmU2N2Rm
apiVersion: v1
kind: Secret
metadata:
name: mysecret
type: Opaque
data:
password: MWYyZDFlMmU2N2Rm
username: YWRtaW4=

七,secret的使用方式

1、将 Secret 挂载到 Volume 中

在Pod中以文件的形式使用secret

  1. 创建一个Secret,多个Pod可以引用同一个Secret
  2. 修改Pod的定义,在spec.volumes[]加一个volume,给这个volume起个名字,spec.volumes[].secret.secretName记录的是要引用的Secret名字
  3. 在每个需要使用Secret的容器中添加一项spec.containers[].volumeMounts[],指定spec.containers[].volumeMounts[].readOnly = truespec.containers[].volumeMounts[].mountPath要指向一个未被使用的系统路径。
  4. 修改镜像或者命令行使系统可以找到上一步指定的路径。此时Secret中data字段的每一个key都是指定路径下面的一个文件名
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: mypod
    image: redis
    volumeMounts:
    - name: foo
      mountPath: "/etc/foo"
      readOnly: true
  volumes:
  - name: foo
    secret:
      secretName: mysecret

2,以环境变量的形式使用Secret

  1. 创建一个Secret,多个Pod可以引用同一个Secret
  2. 修改pod的定义,定义环境变量并使用env[].valueFrom.secretKeyRef指定secret和相应的key
  3. 修改镜像或命令行,让它们可以读到环境变量
apiVersion: v1
kind: Pod
metadata:
  name: secret-env-pod
spec:
  containers:
  - name: mycontainer
    image: redis
    env:
      - name: SECRET_USERNAME
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: username
      - name: SECRET_PASSWORD
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: password
  restartPolicy: Never

在容器中可以读取环境变量

$ echo $SECRET_USERNAME
admin
$ echo $SECRET_PASSWORD
1f2d1e2e67df

八,区别

secret功能和configmap一样,只不过secret配置中心存储的配置文件不是明文的,一般将连接数据库的密码、私钥等写在secret中

unitvast
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kubernetes学习笔记
07-12
基于Kubernetes权威指南第二版的学习笔记,加了网络方案描述
Kubernetes架构学习笔记
02-25
Kubernetes是Google开源的容器集群管理系统,其提供应用部署、维护、扩展机制等功能,利用Kubernetes能方便地管理跨机器运行容器化的应用,是Docker分布式系统的解决方案。k8s里所有的资源都可以用yaml或Json定义。...
Docker学习第十二天——ConfigureMap(明文)与Secret(密文)
qq_39637333的博客
05-16 521
• configureMap是一种API对象,用于将非加密数据保存到键值对中,可以用作环境变量、命令行参数或者存储卷中的配置文件。• ConfigMap可以将环境变量配置信息和容器镜像解耦,便于应用配置的修改。如果需要存储加密信息时可以使用Secret对象。k8s secrets用于存储和管理一些敏感数据,比如密码,token,密钥等敏感信息。它把 Pod 想要访问的加密数据存放到 Etcd 中。
KubernetesConfigMap说明
码农崛起
04-08 460
https://www.cnblogs.com/breezey/p/6582082.html  https://blog.csdn.net/liukuan73/article/details/79492374 这篇博文,我们来说一说,关于在kubernetes的pod中自定义配置的问题。   我们知道,在几乎所有的应用开发中,都会涉及到配置文件的变更,比如说在web的程序中,需要连接数据库,...
配置Kubernetes资源管理SecretConfigMap
最新发布
qq_64612585的博客
06-03 1084
在 K8s 中,Secret 是用于存储敏感信息的对象,如密码、token 令牌和 SSH 密钥。这类数据虽然也可以存放在 Pod 或者镜像中,但是放在 Secret 中是为了更方便的控制如何使用数据,并减少暴露的风险;这些信息以加密形式存储,并且只能被授权的 Pod 访问。通过使用 Secret,可以更安全地管理应用程序所需的敏感数据。也就是说 K8s 解决了我们和 Docker 使用的一些弊端,比如:环境变量、存储问题都要去重新编辑 Dockerfile,而且密码还是明文的。
ConfigMapSecret
weixin_45636702的博客
02-17 497
ConfigMapSecret 为什么有这两个东西: 我们在kubernetes上部署应用的时候,经常会需要传一些配置给我们的应用,比如数据库地址啊,用户名密码啊之类的。我们要做到这个,有好多种方案,比如: 我们可以直接在打包镜像的时候写在应用配置文件里面,但是这种方式的坏处显而易见而且非常明显。 我们可以在配置文件里面通过env环境变量传入,但是这样的话我们要修改env就必须去修改yaml...
k8s学习-Secret(创建、使用、更新、删除等)
关注网络安全、云原生安全
08-20 8482
注意:Base64只是一种编码,不含密钥的,并不安全。任何拥有 API 访问权限的人都可以检索或修改 Secret,任何有权访问 etcd 的人也可以。此外,任何有权限在命名空间中创建 Pod 的人都可以使用该访问权限读取该命名空间中的任何 Secret;使用该 ServiceAccount 创建的任何 Pod 和默认使用该 ServiceAccount 的 Pod 将会将其的 imagePullSecret 字段设置为服务帐户的 imagePullSecret 值。中的安全部分详细展开。
Kubernetes学习笔记,K8S学习
02-01
Kubernetes集群包含多个组件,如kubelet与Docker交互管理Pod生命周期,kube-proxy处理网络规则,etcd存储集群状态,scheduler进行任务调度,api-server提供统一接口,以及kubectl作为命令行工具。 此外,Kubernetes...
Kubernetes(26):配置存储-Secret
不积跬步,无以至千里
10-19 261
kubernetes中,还存在一种和ConfigMap非常相似的对象,称为Secret对象。它主要用于存储敏感信息,例如密码、密钥、证书等。(3) 创建pod-secret.yaml,将上面创建的secret挂载进去。(2) 接下来编写secret.yaml,并创建secret。(1) 首先使用base64对数据进行编码。
深入探究 K8S ConfigMapSecret
u012516914的专栏
04-17 1909
1、什么是 ConfigMapConfigMap 是用来存储配置文件的 Kubernetes 资源对象,配置对象存储在 Etcd 中,配置的形式可以是完整的配置文件、key/value...
ConfigMapSecret
Kubernetes enthusiasts
02-08 1111
一、ConfigMap 什么是configmap kubernetes集群可以使用ConfigMap来实现对容器中应用的配置管理。 可以把ConfigMap看作是一个挂载到pod中的存储卷 创建ConfigMap的4种方式 创建ConfigMap的方式有4种: 1, 通过直接在命令行中指定configmap参数创建,即--from-literal=key=value; [root@master1 ~]# kubectl create configmap cm1 --from-literal=host=1
kubernetes 中pv、pvc、configmapsecret
Jesse技术博客
09-12 2011
configmapsecret PV和PVC是借助于StorageClass来分配磁盘的 如何给Pod传配置信息: 两种方式: 1.把configmap关联到一个pod上,传递给pod内部的一个变量,注入的方式给容器传配置信息 2.配置卷,将配置文件映射到外面的路径 configmap在k8s上扮演了K8s的配置中心的功能 Pod启动时候讲configmap打包为存储卷,挂载到配置文件的路...
k8s测试八 存储
王佳宇的个人博客
03-14 410
configMap ConfigMap功能在Kubernetes1.2版本中引入,许多应用程序会从配置文件、命令行参数或环境变量中读取配置信息。ConfigMap APi给我们提供了向容器中注入配置信息的机制,ConfigMap可以被用来保存单个属性,也可以用来保存整个配置文件或者JSON二进制大对象。 ConfigMap的创建: 使用目录创建 Secret volume ...
pod中mysql配置文件修改_kubernetesconfigmap实现容器中mysql应用配置文件的管理
weixin_39961943的博客
01-19 503
1.configmap的作用理解configMap起什么作用的呢?举个例子,启用一个mysql容器。一般来说,mysql容器重要的有两部分,一部分为存储数据,一部分为配置文件my.cnf。前面有测试过,存储数据可以用pv pvc实现和容器的分离解耦。配置文件也能够实现和容器的分离解耦,也就是说mysql容器能够直接读取并使用预先配置好的配置文件(而不是使用容器中默认自带的配置文件),非常方便。这就...
3、Pod配置管理----->ConfigMap
niuwj666的博客
09-01 329
ConfigMap
ConfigMap挂载导致容器目录覆盖的问题解决
zhangxiangui40542的专栏
06-19 7105
ConfigMap挂载导致容器目录覆盖的问题解决 问题表现: 将configmap的配置项挂载到指定的容器目录中,导致容器的被挂载目录下的所有文件不可见,只可见通过configmap挂载的文件 解决办法: 1、volumes中设置path 2、volumeMounts中这是subPath ConfigMap apiVersion: v1 kind: Confi...
kubernetes私有仓库+k8s拉取+secret认证
hiphop321的博客
08-18 941
首先声明,网上一些文档仅供学习使用,或多或少简化了安全证书相关的步骤。但是!!实际工作中,安全证书非常有必要。所以这里强调:准备工作一定要有域名,有安全证书,有docker用户密码! 目录一,观察理解run镜像仓库的命令参数1.1 创建好registry以后1.1.1 push镜像,报错:没有授权1.1.2 push镜像,报错:不被信任的证书1.2 如何在集群其他的机器(不是仓库所在的宿主机)上传镜像1.3 如何让k8s能够顺利的从私有仓库拉取镜像步骤如下1.3.1 将docker登录仓库的认证信息,用.
k8s(kubernetes)相关重要知识点运维笔记——详细文档
06-21
k8s(kubernetes)是目前流行的容器编排平台之一,学习和掌握k8s的重要知识点是运维工作中必不可少的一部分。在本文中,我们将详细介绍k8s相关的重要知识点,包括configmap的应用和使用方式。 configmap是k8s中的一...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值