configMap和secret
Posted zjz20
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了configMap和secret相关的知识,希望对你有一定的参考价值。
给容器内应用程序传递参数的实现方式:
1. 将配置文件直接打包到镜像中,但这种方式不推荐使用,因为修改配置不够灵活。
2. 通过定义Pod清单时,指定自定义命令行参数,即设定 args:["命令参数"],这种也
可在启动Pod时,传参来修改Pod的应用程序的配置文件.
3. 使用环境变量来给Pod中应用传参修改配置
但要使用此种方式,必须符合以下前提之一:
1) Pod中的应用程序必须是Cloud Native的应用程序,即支持直接通过环境变量来加载配置信息。
2) 通过定义Entrypoint脚本的预处理变量来修改Pod中应用程序的配置文件,这些Entrypoint脚本
可以使用set,sed,grep等工具来实现修改,但也要确保容器中有这些工具。
4.存储卷: 我们可将配置信息直接放到存储卷中,如PV中,Pod启动时,自动挂载存储卷到配置文件目录,
来实现给Pod中应用提供不同的配置。
5. configMap 或 secret
configMap的主要作用:
就是为了让镜像 和
配置文件解耦,以便实现镜像的可移植性和可复用性,因为一个configMap其实就是一系列配置信息的集合,将来可直接注入到Pod中的容器使用,而注入方式有两种,一种将configMap做为存储卷,一种是将configMap通过env中configMapKeyRef注入到容器中;
configMap是KeyValve形式来保存数据的,如: name=zhangsan 或
nginx.conf="http{server{...}}"
对于configMap的Value的长度是没有限制的,所以它可以是一整个配置文件的信息。
configMap: 它是K8s中的标准组件,它通过两种方式实现给Pod传递配置参数:
A. 将环境变量直接定义在configMap中,当Pod启动时,通过env来引用configMap中定义的环境变量。
B. 将一个完整配置文件封装到configMap中,然后通过共享卷的方式挂载到Pod中,实现给应用传参。
secret: 它时一种相对安全的configMap,因为它将configMap通过base64做了编码,
让数据不是明文直接存储在configMap中,起到了一定的保护作用,但对Base64进行反编码,对专业人士来说,没有任何难度,因此它只是相对安全。
对于configMap中第一种,让Pod引用configMap中的环境变量的方式:
kubectl explain pods.spec.containers.env #env也可直接定义传递给Pod中容器的环境变量,这点需要记住。
env.valueFrom
configMapKeyRef: 可用于定义Pod启动时引用的configMapKey是哪个。
fieldRef: 也可引用一个字段,为Pod中容器内应用程序的每个环境变量值,如:
metadata.name: 引用Pod的名称
metadata.namespace: 引用Pod所在的名称空间名
metadata.labels: 引用Pod的标签
status.hostIP: 引用Pod所在节点的IP
status.podIP: 引用Pod的IP
resourceFieldRef: 引用一个资源需求 或 资源限制
secretKeyRef: 引用一个secretKey来为Pod传参
在定义configMap时,通常仅需要定义它的data 或 binaryData(二进制数据),它俩都是map[string]类型的,
所以它们的值都是以hash列表方式存储的,即key和value没有直接关系,key就是hash码。
创建configmap示例:
#命令创建:
kubectl create configmap nginx-config --from-literal=nginx_port=80 --from-literal=server_name=myapp.test.com
kubectl get configmap
kubectl describe cm nginx-config
#使用文件内容来做key的值
vim w3c.conf
server {
server_name bbs.test.com;
listen 80;
root /data/nginx/bbs/
}
#注意:configmap的名称中不支持下划线!
#这个是定义了一个key叫www, 其值为www.conf的内容.
kubectl create configmap nginx-www --from-file=www=./www.conf
#这是定义了一个key叫www.conf,其值为www.conf的内容
kubectl create configmap nginx-www --from-file=./www.conf
kubectl get cm nginx-www -o yaml
kubectl describe cm nginx-www
#给Pod中的容器传递configMap定义的变量的示例: vim pod-configmap.yaml apiVersion: v1 kind: Pod metadata: name: pod-cm-1 namespace: default labels: app: myapp tier: frontend annotations: test.com/created-by: “cluster admin” spec: containers: - name: myapp image: ikubernetes/myapp:v1 ports: - name: http containerPort:80 env: - name: NGINX_SERVER_PORT valueFrom: configMapKeyRef: name: nginx-config key: nginx_port - name:NGINX_SERVER_NAME valueFrom: configMapKeyRef: name: nginx-config key: server_name
#应用这个使用configMap的Pod
kubectl apply -f pod-configmap.yaml
#进入Pod查看configMap传入的变量
kubectl exec -it pod-cm-1 -- /bin/sh
/ # printenv #查看我们定义的变量有没有传递进来.
#接着我们来修改configmap中可以的值,看能否在Pod马上生效:
kubectl edit cm nginx-config #将nginx-config这个configmap中的值修改一下.
kubectl describe cm nginx-config #确认edit已经修改了configmap中key的值.
#接着在登陆pod-cm-1 这个Pod中,查看容器中变量的值是否改变了。
#可以看到值是不会改变的,它仅会在创建Pod时,加载一次configmap中的数据.
#通过共享卷的方式来挂载configmap: vim pod-configmap-2.yaml apiVersion: v1 kind: Pod metadata: name: pod-cm-2 namespace: default labels: app: myapp tier: frontend annotations: test.com/created-by: “cluster admin” spec: containers: - name: myapp image: ikubernetes/myapp:v1 ports: - name: http containerPort: 80 volumeMounts: - name: nginxconf mountPath: /etc/nginx/config.d/ #挂载点不存在,Pod会自动创建. readOnly: true #不能让容器修改配置的内容。 volumes: - name: nginxconf #定义存储卷的名字为nginxconf configMap: name: nginx-config #要挂载nginx-config这个configMap
#创建Pod
kubectl apply -f pod-configmap-2.yaml
kubectl exec -it pod-cm-2 -- /bin/sh
/ # ls -l /etc/nginx/config.d/
total 0
lrwxrwxrwx 1 root root 17 Jul 21 13:48 nginx_port -> ..data/nginx_port
lrwxrwxrwx 1 root root 18 Jul 21 13:48 server_name -> ..data/server_name
注:
你将可以看到config.d下面创建了两个连接文件,它们的内容就时nginx-config这个configMap中定义的变量值,连接文件名为key的名字,
连接文件指向的文件其实是新版本的configmap文件,即当configmap文件被修改时,它就会将改变同步到API
Server,APIServer在将改变通告给所有引用者,之后引用者的内容也将变成新版本的内容,这样就可以实现动态更新配置文件了。
#测试动态更新configmap的变量值
kubectl edit cm nginx-config
#修改nginx-config的中server_port为8888 查看Pod中的变化.
不过要有点耐心,因为APIServer通告完成是需要时间的。
通常若非敏感数据,均可使用明文存储的configMap来做,若涉及到密码,私钥等数据时,一定要使用secret类型.
而secret类型有三种:
generic: 通用类型,通常用于存储密码数据。
tls:此类型仅用于存储私钥和证书。
docker-registry: 若要保存docker仓库的认证信息的话,就必须使用此种类型来创建。
#创建一个mysql-root-password的secret:
kubectl create secret generic mysql-root-password --from-literal=password=MyP@ss.8*9
注: 这就定义了一个generic类型的secret, 名字是mysql-root-password, key是password,值是MyP@ss.8*9
kubectl get secret
kubectl describe secret mysql-root-password
kubectl get secret mysql-root-password -o yaml #可看到password这个key的值是加密的.
#但secret的加密是一种伪加密,它仅仅是将数据做了base64的编码.
echo password这个Key的值 | base64 -d #-d:是解码, 这样就可以看到base64加码后的明文密码了。
#创建一个引用secret的Pod清单: vim pod-secret-1.yaml apiVersion: v1 kind: Pod metadata: name: pod-secret-1 namespace: default labels: app: myapp tier: frontend annotations: test.com/created-by: “cluster admin” spec: containers: - name: myapp image: ikubernetes/myapp:v1 ports: - name: http containerPort:80 env: - name: MYSQL_ROOT_PASSWORD #它是Pod启动成功后,Pod中容器的环境变量名. valueFrom: secretKeyRef: name: mysql-root-password #这是secret的对象名 key: password #它是secret中的key名
#创建导入secret内容的Pod:
kubectl apply -f pod-secret.yaml
kubectl exec pod-secret-1 -- printenv |grep ‘MYSQL_ROOT_PASSWORD’ #可以看到注入到容器中的secret是明文存储的.
原文出处:https://www.cnblogs.com/wn1m/p/11288860.html
以上是关于configMap和secret的主要内容,如果未能解决你的问题,请参考以下文章
如何跨 Namespace 同步 Secret 和 ConfigMap?
如何优雅的跨 Namespace 同步 Secret 和 ConfigMap?