K8S-ConfigMap与Secret

Posted 2022-05-10 清风明月li

一、ConfigMap 

1、简介

ConfigMap允许你将配置文件与镜像文件分离，以使容器化的应用程序具有可移植性。ConfigMap API给我们提供了向容器中注入配置信息的机制，ConfigMap可以被用来保存单个属性，也可以用来保存整个配置文件或者JSON二进制大对象。

data 一栏包括了配置数据，ConfigMap 可以被用来保存单个属性，也可以用来保存一个配置文件。 配置数据可以通过很多种方式在 Pods 里被使用。ConfigMaps 可以被用来：

配置数据可以通过很多种方式在Pods里被使用。ConfigMaps可以被用来：

1. 设置环境变量的值

2. 在容器里设置命令行参数

3. 在数据卷里面创建config文件

用户和系统组件两者都可以在ConfigMap里面存储配置数据。

2、创建

2.1、使用目录或文件创建 

可以使用kubectl create configmap name --from-file= 从同一个目录中的多个文件创建ConfigMap

SQL 1、下载相关的配置 wget https://kubernetes.io/examples/configmap/game.properties wget https://kubernetes.io/examples/configmap/ui.properties 2、创建configmapconfigmap: kubectl create configmap <map-name> <data-source> --from-file可以接单个文件，也可以接目录  ####接目录 [root@k8s-master configmap]# kubectl create configmap dame-config --from-file=./ configmap/dame-config created ####接单个文件 [root@k8s-master configmap]# kubectl create cm game-config2 --from-file=game.properties --from-file=ui.properties configmap/game-config2 created 3、查看相关的配置 [root@k8s-master configmap]# kubectl get cm NAME               DATA   AGE dame-config        2      7m29s game-config2       2      6m13s kube-root-ca.crt   1      44d [root@k8s-master configmap]# kubectl describe cm/dame-config Name:         dame-config Namespace:    default Labels:       <none> Annotations:  <none> Data ==== game.properties: ---- enemies=aliens lives=3 enemies.cheat=true enemies.cheat.level=noGoodRotten secret.code.passphrase=UUDDLRLRBABAS secret.code.allowed=true secret.code.lives=30 ui.properties: ---- color.good=purple color.bad=yellow allow.textmode=true how.nice.to.look=fairlyNice Events:  <none> [root@k8s-master configmap]# kubectl describe cm/game-config2 Name:         game-config2 Namespace:    default Labels:       <none> Annotations:  <none> Data ==== game.properties: ---- enemies=aliens lives=3 enemies.cheat=true enemies.cheat.level=noGoodRotten secret.code.passphrase=UUDDLRLRBABAS secret.code.allowed=true secret.code.lives=30 ui.properties: ---- color.good=purple color.bad=yellow allow.textmode=true how.nice.to.look=fairlyNice Events:  <none>

2.2、从env文件创建

 

当使用多个--from-env-file来从多个数据源创建configmap时，仅仅最后一个env文件有效。

环境文件包含环境变量列表。

语法规则：

env:文件中的每一行必须为VAR = VAL格式。

      以＃开头的行(即注释)将被忽略。

     空行将被忽略。

     引号没有特殊处理(即它们将成为 ConfigMap 值的一部分)。

Makefile 1、下载对应的测试文件 wget https://kubernetes.io/examples/configmap/game-env-file.properties [root@k8s-master configmap]# cat game-env-file.properties enemies=aliens lives=3 allowed="true" 2、创建config-map-env-file配置文件 [root@k8s-master configmap]# kubectl create configmap game-config-env-file --from-env-file=game-env-file.properties configmap/game-config-env-file created [root@k8s-master configmap]# kubectl get cm/game-config-env-file -o yaml apiVersion: v1 data:   allowed: "true"   enemies: aliens   lives: "3" kind: ConfigMap metadata:   creationTimestamp: "2022-05-09T02:42:04Z"   name: game-config-env-file   namespace: default   resourceVersion: "11386444"   uid: 8b1ad825-d3b1-481f-b3b7-8ce606aec388

2.3、命令创建

Kubectl create configmap 与--from-literal参数一起使用

YAML 1、创建配置文件 [root@k8s-master configmap]# kubectl create configmap special-config --from-literal=special.how=very --from-literal=special.type=charm configmap/special-config created 2、查看和配置 [root@k8s-master configmap]# kubectl get cm NAME                   DATA   AGE dame-config            2      30m game-config-env-file   3      9m43s game-config2           2      28m kube-root-ca.crt       1      44d special-config         2      3s [root@k8s-master configmap]# kubectl get configmap/special-config -o yaml apiVersion: v1 data:   special.how: very   special.type: charm kind: ConfigMap metadata:   creationTimestamp: "2022-05-09T02:51:44Z"   name: special-config   namespace: default   resourceVersion: "11388285"   uid: 60d2ca2e-b50f-48a8-910b-c97d4ecb5c9e

2.4、生成器创建

使用 kustomization 目录创建 ConfigMap 对象

YAML [root@k8s-master configmap]# cat kustomization.yaml configMapGenerator: - name: game-config-4   files:   - game.properties [root@k8s-master configmap]# kubectl create -k . configmap/game-config-4-tbg7c4gc77 created [root@k8s-master configmap]# kubectl get configmap/game-config-4-tbg7c4gc77 -o yaml apiVersion: v1 data:   game.properties: |-     enemies=aliens     lives=3     enemies.cheat=true     enemies.cheat.level=noGoodRotten     secret.code.passphrase=UUDDLRLRBABAS     secret.code.allowed=true     secret.code.lives=30 kind: ConfigMap metadata:   creationTimestamp: "2022-05-09T02:58:42Z"   name: game-config-4-tbg7c4gc77   namespace: default   resourceVersion: "11389637"   uid: 5e82a50f-f933-4c20-8007-0724a6829d7c

或者也可以使用生成器来实现。

Bash cat <<EOF >./kustomization.yaml configMapGenerator: - name: special-config-2   literals:   - special.how=very   - special.type=charm EOF

 

 

3、使用

3.1、env

使用 configMapKeyRef 传入值：

YAML [root@k8s-master configmap]# cat configmap-env.yaml apiVersion: v1 data:   special.how: very   special.type: charm kind: ConfigMap metadata:   name: special-config   --- apiVersion: v1 kind: Pod metadata:   name: dapi-test-pod spec:   containers:     - name: test-container       image: busybox       command: [ "/bin/sh", "-c", "env" ]       env:         - name: SPECIAL_LEVEL_KEY           valueFrom:             configMapKeyRef:               name: special-config               key: special.how   restartPolicy: Never   2、创建pod [root@k8s-master configmap]# kubectl apply -f configmap-env.yaml configmap/special-config created pod/dapi-test-pod created [root@k8s-master configmap]# kubectl get pod NAME                                READY   STATUS      RESTARTS   AGE centos                              1/1     Running     0          21h dapi-test-pod                       0/1     Completed   0          30s  3、查看日志 [root@k8s-master configmap]# kubectl logs dapi-test-pod |grep -i special SPECIAL_LEVEL_KEY=very

上述yaml表示，新建一个名为SPECIAL_LEVEL_KEY的环境变量，其值来源于configMap里面的special.how

 上一个例子是有指定一个具体的KEY，如果没有指定呢？

YAML 1、创建yaml [root@k8s-master configmap]# cat configmap-env-no-key.yaml apiVersion: v1 kind: Pod metadata:   name: dapi-test-pod2 spec:   containers:     - name: test-container       image: busybox       command: [ "/bin/sh", "-c", "env" ]       envFrom:       - configMapRef:           name: special-config   restartPolicy: Never    2、创建pod  [root@k8s-master configmap]# kubectl apply -f configmap-env-no-key.yaml pod/dapi-test-pod2 created 3、查看日志 [root@k8s-master configmap]# kubectl logs dapi-test-pod2|grep -i special special.type=charm special.how=very

3.2、挂载文件目录法（可以使用 volumeMounts 方法进行挂载。）

YAML 1、创建pod的yml文件 [root@k8s-master configmap]# cat configmap-volumemounts.yaml apiVersion: v1 kind: Pod metadata:   name: dapi-test-pod3 spec:   containers:     - name: test-container       image: busybox       command: [ "/bin/sh", "-c", "ls /etc/config/;cat /etc/config/special.how;cat /etc/config/special.type" ]       volumeMounts:       - name: config-volume         mountPath: /etc/config   volumes:     - name: config-volume       configMap:         name: special-config   restartPolicy: Never   2、创建pod并查看日志 [root@k8s-master configmap]# kubectl apply -f configmap-volumemounts.yaml pod/dapi-test-pod3 created [root@k8s-master configmap]# kubectl logs dapi-test-pod3 special.how special.type   备注： 上述yaml表示将special-config这个cm挂载至/etc/config目录下。可以看到， 其每一个KEY都是会生成一个文件，文件的内容为value的值。

挂载单独的KEY:

YAML [root@k8s-master configmap]# cat configmap-volumemounts-spec-key.yaml apiVersion: v1 kind: Pod metadata:   name: dapi-test-pod4 spec:   containers:     - name: test-container       image: busybox       command: [ "/bin/sh","-c","cat /etc/config/keys;sleep 600" ]       volumeMounts:       - name: config-volume         mountPath: /etc/config   volumes:     - name: config-volume       configMap:         name: special-config         items:         - key: name.li           path: keys   restartPolicy: Never   [root@k8s-master configmap]# kubectl exec -it  dapi-test-pod4 /bin/sh kubectl exec [POD] [COMMAND] is DEPRECATED and will be removed in a future version. Use kubectl exec [POD] -- [COMMAND] instead. / # cat /etc/config/keys lqb/ # [root@k8s-master ~]#  kubectl exec -it  dapi-test-pod4 -- cat /etc/config/keys very20220509

4、ConfigMap热更新的问题

Pod的 dapi-test-pod4保持运行。使用 kubectl edit cm special-config 去修改special.how的值。可以发现是可以更新的，但时间要超过30S。

CoffeeScript [root@k8s-master ~]#  kubectl exec -it  dapi-test-pod4 -- cat /etc/config/keys very20220509[root@k8s-master ~]#  kubectl exec -it  dapi-test-pod4 -- cat /etc/config/keys very20220510[root@k8s-master ~]#  kubectl exec -it  dapi-test-pod4 -- cat /etc/config/keys

注意：使用volumes挂载的方式是可以更新configMap的，但是使用env方式导给POD是更新不了的。

5、使用ConfigMap挂载redis配置

YAML 1、相关的配置文件 [root@k8s-master configmap-redis]# cat kustomization.yaml configMapGenerator: - name: test-redis-config   files:   - redis-config resources: - redis-pod.yaml [root@k8s-master configmap-redis]# cat redis-config maxmemory 2mb maxmemory-policy allkeys-lru [root@k8s-master configmap-redis]# cat redis-pod.yaml apiVersion: v1 kind: Pod metadata:   name: redis spec:   containers:   - name: redis     image: redis:5.0.4     command:       - redis-server       - "/redis-master/redis.conf"     env:     - name: MASTER       value: "true"     ports:     - containerPort: 6379     resources:       limits:         cpu: "0.1"     volumeMounts:     - mountPath: /redis-master-data       name: data     - mountPath: /redis-master       name: config   volumes:     - name: data       emptyDir:     - name: config       configMap:         name: test-redis-config         items:         - key: redis-config           path: redis.conf           2、批量执行该文件 [root@k8s-master configmap-redis]# kubectl apply -k . configmap/test-redis-config-hfbhg9b679 created pod/redis created [root@k8s-master ~]# kubectl describe  cm/test-redis-config-hfbhg9b679 Name:         test-redis-config-hfbhg9b679 Namespace:    default Labels:       <none> Annotations:  <none> Data ==== redis-config: ---- maxmemory 2mb maxmemory-policy allkeys-lru Events:  <none>  3、查看相关的配置  [root@k8s-master ~]# kubectl exec -it redis redis-cli kubectl exec [POD] [COMMAND] is DEPRECATED and will be removed in a future version. Use kubectl exec [POD] -- [COMMAND] instead. 127.0.0.1:6379> CONFIG GET maxmemory 1) "maxmemory" 2) "2097152" 127.0.0.1:6379> CONFIG GET maxmemory-policy 1) "maxmemory-policy" 2) "allkeys-lru" 127.0.0.1:6379> exit [root@k8s-master ~]# kubectl exec -it redis /bin/bash kubectl exec [POD] [COMMAND] is DEPRECATED and will be removed in a future version. Use kubectl exec [POD] -- [COMMAND] instead. root@redis:/data# cat /redis-master/redis.conf maxmemory 2mb maxmemory-policy allkeys-lru

二、Secret

2.1、简介

Secret 解决了密码、token、密钥等敏感数据的配置问题，而不需要把这些敏感数据暴露到镜像或者 Pod Spec 中。Secret 可以以 Volume 或者环境变量的方式使用。

Secret 有三种类型：

• Service Account ：用来访问 Kubernetes API，由 Kubernetes 自动创建，并且会自动挂载到 Pod 的 /run/secrets/kubernetes.io/serviceaccount 目录中；

• Opaque ：base64 编码格式的 Secret，用来存储密码、密钥等；

• kubernetes.io/dockerconfigjson ：用来存储私有 docker registry 的认证信息。

2.2、Secret类型

 

2.2.1、Opaque类型

Opaque类型的数据是一个map类型，要求value是base64编码格式，如果您使用的密码具有特殊字符，则需要使用 \\\\ 字符对其进行转义。

文件创建

SQL [root@k8s-master secret]# echo -n admin > ./username.txt [root@k8s-master secret]# echo -n 1f2d1e2e67df > ./password.txt [root@k8s-master secret]# kubectl create secret generic db-user-pass --from-file=username.txt --from-file=password.txt secret/db-user-pass created [root@k8s-master secret]# kubectl create secret generic db-user-pass --from-file=username.txt --from-file=password.txt -o yaml --dry-run W0509 16:44:01.992251    9057 helpers.go:557] --dry-run is deprecated and can be replaced with --dry-run=client. apiVersion: v1 data:   password.txt: MWYyZDFlMmU2N2Rm   username.txt: YWRtaW4= kind: Secret metadata:   creationTimestamp: null   name: db-user-pass

默认情况下，kubectl get 和 kubectl describe 是不会显示密码的内容。 这是为了防止机密被意外地暴露给旁观者或存储在终端日志中。

手工创建

Makefile [root@k8s-master secret]# echo  -n admin|base64 YWRtaW4= [root@k8s-master secret]# echo -n 1f2d1e2e3e567f|base64 MWYyZDFlMmUzZTU2N2Y= [root@k8s-master secret]# cat sg-secret.yaml apiVersion: v1 kind: Secret metadata:   name: mysecret type: Opaque data:   username: YWRtaW4=   password: MWYyZDF 以上是关于K8S-ConfigMap与Secret的主要内容，如果未能解决你的问题，请参考以下文章 k8s-ConfigMap 几种同源关系：直系同源旁系同源和异同源 OpenWrt旁路由设置教程 人坐在圆桌旁有多少种不同的可能方式？ Rails 6 secret_key_base 与 secret_token 主旁路由hdcp都打开,如何设置手机的ip由旁路由分配？