Secret

https://kubernetes.io/docs/concepts/configuration/secret/

Secret解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。

使用kubectl创建secret

[root@k8s-master1 secret]# echo -n 'admin' > ./username.txt

[root@k8s-master1 secret]# echo -n '1f2d1e2e67df' > ./password.txt

[root@k8s-master1 secret]# kubectl create secret generic db-user-pass --from-file=./username.txt --from-file=./password.txt

secret/db-user-pass created

查看secret信息

[root@k8s-master1 secret]# kubectl get secret

NAME                   TYPE                                  DATA   AGE

db-user-pass           Opaque                                      15s

default-token-7vs6s    kubernetes.io/service-account-token         6d23h

registry-pull-secret   kubernetes.io/dockerconfigjson              5d3h

sslexample-foo-com     kubernetes.io/tls                           66m

[root@k8s-master1 secret]# kubectl describe secret/db-user-pass

Name:         db-user-pass

Namespace:    default

Labels:       <none>

Annotations:  <none>

Type:  Opaque

Data

====

password.txt:   bytes

username.txt:   bytes

使用yaml文件创建secret

[root@k8s-master1 secret]# echo -n 'admin' | base64

YWRtaW4=

[root@k8s-master1 secret]# echo -n '1f2d1e2e67df' | base64

MWYyZDFlMmU2N2Rm

[root@k8s-master1 secret]# vim secret.yaml

apiVersion: v1

kind: Secret

metadata:

  name: mysecret

type: Opaque

data:

  username: YWRtaW4=

  password: MWYyZDFlMmU2N2Rm

[root@k8s-master1 secret]# kubectl create -f secret.yaml

secret/mysecret created
Pod 可以通过 Volume 的方式使用 Secret
[root@k8s-master1 secret]# vim secret-vol.yaml

apiVersion: v1

kind: Pod

metadata:

  name: pod-secret

spec:

  containers:

  - name: pod-secret

    image: busybox

    args:

      - /bin/sh

      - -c

      - sleep ;touch /tmp/healthy;sleep

    volumeMounts:

    - name: foo

      mountPath: "/etc/foo"

      readOnly: true

  volumes:

  - name: foo

    secret:

      secretName: mysecret

[root@k8s-master1 secret]# kubectl apply -f secret-vol.yaml

pod/pod-secret created

进入容器查看

[root@k8s-master1 secret]# kubectl exec -it pod-secret sh

/ # ls /etc/foo/

password  username/ # cat /etc/foo/username

admin/ #

/ # cat /etc/foo/password

1f2d1e2e67df/ #

以 Volume 方式使用的 Secret 支持动态更新:Secret 更新后,容器中的数据也会更新。

[root@k8s-master1 secret]# vim secret.yaml

apiVersion: v1

kind: Secret

metadata:

  name: mysecret

type: Opaque

data:

  username: YWRtaW4=

  password: MWt3OG4zbDQ4Yg==

[root@k8s-master1 secret]# kubectl apply -f secret.yaml

Warning: kubectl apply should be used on resource created by either kubectl create --save-config or kubectl apply

secret/mysecret configured

[root@k8s-master1 secret]# kubectl exec -it pod-secret sh/ # cat /etc/foo/password

1kw8n3l48b/ #

/ #
Pod 可以通过 环境变量 的方式使用 Secret
[root@k8s-master1 secret]# vim secret-env.yaml

apiVersion: v1

kind: Pod

metadata:

  name: pod-secret-env

spec:

  containers:

  - name: pod-secret-env

    image: busybox

    args:

      - /bin/sh

      - -c

      - sleep ;touch /tmp/healthy;sleep

    env:

      - name: SECRET_USERNAME

        valueFrom:

          secretKeyRef:

            name: mysecret

            key: username

      - name: SECRET_PASSWORD

        valueFrom:

          secretKeyRef:

            name: mysecret

            key: password

[root@k8s-master1 secret]# kubectl apply -f secret-env.yaml

pod/pod-secret-env created

[root@k8s-master1 secret]# kubectl exec -it pod-secret-env sh

/ # echo $SECRET_USERNAME

admin

/ # echo $SECRET_PASSWORD

1kw8n3l48b

通过环境变量 SECRET_USERNAME 和 SECRET_PASSWORD 成功读取到 Secret 的数据。
需要注意的是,环境变量读取 Secret 很方便,但无法支撑 Secret 动态更新。
Secret 可以为 Pod 提供密码、Token、私钥等敏感数据;对于一些非敏感数据,比如应用的配置信息,则可以用 ConfigMap

ConfigMap

https://kubernetes.io/docs/tasks/configure-pod-container/configure-pod-configmap/

configmap是让配置文件从镜像中解耦,让镜像的可移植性和可复制性。许多应用程序会从配置文件、命令行参数或环境变量中读取配置信息。这些配置信息需要与docker image解耦,你总不能每修改一个配置就重做一个image吧?ConfigMap API给我们提供了向容器中注入配置信息的机制,ConfigMap可以被用来保存单个属性,也可以用来保存整个配置文件或者JSON二进制大对象。

configmap的创建

命令创建configmap

[root@k8s-master1 configmap]# kubectl create configmap nginx-config --from-literal=nginx_port= --from-literal=server_name=myapp.magedu.com

configmap/nginx-config created

[root@k8s-master1 configmap]# kubectl get cm

NAME           DATA   AGE

nginx-config         8s

[root@k8s-master1 configmap]# kubectl describe cm nginx-config

Name:         nginx-config

Namespace:    default

Labels:       <none>

Annotations:  <none>

Data

====

nginx_port:

----

server_name:

----

myapp.magedu.com

Events:  <none>

通过 --from-file:每个文件内容对应一个信息条目。

[root@k8s-master1 configmap]# vim www.conf

server {

    server_name myapp.magedu.com;

    listen ;

    root /data/web/html;

}

[root@k8s-master1 configmap]# kubectl create configmap nginx-www --from-file=./www.conf

configmap/nginx-www created

[root@k8s-master1 configmap]# kubectl get cm

NAME           DATA   AGE

nginx-config         16m

nginx-www            8s

[root@k8s-master1 configmap]# kubectl get cm nginx-www -o yaml

apiVersion: v1

data:

  www.conf: |

    server {

        server_name myapp.magedu.com;

        listen ;

        root /data/web/html;

    }

kind: ConfigMap

metadata:

  creationTimestamp: "2018-12-26T03:49:22Z"

  name: nginx-www

  namespace: default

  resourceVersion: ""

  selfLink: /api/v1/namespaces/default/configmaps/nginx-www

  uid: 3add1507-08c1-11e9-ad5d-000c2977dc9c
使用configmap

环境变量方式注入到pod

[root@k8s-master1 configmap]# vim pod-configmap.yaml

apiVersion: v1

kind: Pod

metadata:

  name: pod-cm-

  namespace: default

  labels:

    app: myapp

    tier: frontend

  annotations:

    magedu.com/created-by: "cluster admin"

spec:

  containers:

  - name: myapp

    image: ikubernetes/myapp:v1

    ports:

    - name: http

      containerPort:

    env:

    - name: NGINX_SERVER_PORT

      valueFrom:

        configMapKeyRef:

          name: nginx-config

          key: nginx_port

    - name: NGINX_SERVER_NAME

      valueFrom:

        configMapKeyRef:

          name: nginx-config

          key: server_name

[root@k8s-master1 configmap]# kubectl apply -f pod-configmap.yaml

pod/pod-cm- created

[root@k8s-master1 configmap]# kubectl exec -it pod-cm- -- /bin/sh

/ # echo $NGINX_SERVER_PORT

/ # echo $NGINX_SERVER_NAME

myapp.magedu.com

修改端口,可以发现使用环境变化注入pod中的端口不会根据配置的更改而变化

[root@k8s-master1 configmap]# kubectl edit cm nginx-config

configmap/nginx-config edited

[root@k8s-master1 configmap]# kubectl exec -it pod-cm- -- /bin/sh

/ # echo $NGINX_SERVER_PORT

存储卷方式挂载configmap:
Volume 形式的 ConfigMap 也支持动态更新

[root@k8s-master1 configmap]# vim pod-configmap-vol.yaml

apiVersion: v1

kind: Pod

metadata:

  name: pod-cm-

  namespace: default

  labels:

    app: myapp

    tier: frontend

  annotations:

    magedu.com/created-by: "cluster admin"

spec:

  containers:

  - name: myapp

    image: ikubernetes/myapp:v1

    ports:

    - name: http

      containerPort:

    volumeMounts:

    - name: nginxconf

      mountPath: /etc/nginx/config.d/

      readOnly: true

  volumes:

  - name: nginxconf

    configMap:

      name: nginx-config

[root@k8s-master1 configmap]# kubectl apply -f pod-configmap-vol.yaml

pod/pod-cm- created

[root@k8s-master1 configmap]# kubectl exec -it pod-cm- -- /bin/sh

# cd /etc/nginx/config.d/

# ls

nginx_port   server_name

# cat server_name

myapp.magedu.com

以nginx-www配置nginx

[root@k8s-master1 configmap]# vim pod-configmap-ngx.yaml

apiVersion: v1

kind: Pod

metadata:

  name: pod-cm-

  namespace: default

  labels:

    app: myapp

    tier: frontend

  annotations:

    magedu.com/created-by: "cluster admin"

spec:

  containers:

  - name: myapp

    image: ikubernetes/myapp:v1

    ports:

    - name: http

      containerPort:

    volumeMounts:

    - name: nginxconf

      mountPath: /etc/nginx/conf.d/

      readOnly: true

  volumes:

  - name: nginxconf

    configMap:

      name: nginx-www

[root@k8s-master1 configmap]# kubectl apply -f pod-configmap-ngx.yaml

pod/pod-cm- created

[root@k8s-master1 configmap]# kubectl exec -it pod-cm- -- /bin/sh

/ # cd /etc/nginx/conf.d/

/etc/nginx/conf.d # ls

www.conf

/etc/nginx/conf.d # cat www.conf

server {

    server_name myapp.magedu.com;

    listen ;

    root /data/web/html;

}

kubernetes-配置管理(十一)的更多相关文章

  1. K8S学习笔记之Kubernetes 配置管理 ConfigMap

    0x00 概述 很多情况下我们为某一应用做好镜像,当我们想修改其中的一些参数的时候,就变得比较麻烦,又要重新制作镜像,我们是不是有一种方式,让镜像根据不同的场景调用我们不同的配置文件呢,那我们就需要用 ...

  2. Kapitan 通用terraform&& kubernetes 配置管理工具

    Kapitan 是一个通用的配置管理工具,可以帮助我们管理terraform .kubernetes 以及其他的配置. Kapitan 自生基于jsonnet 开发,对于我们日常进行软件的部署(tf以 ...

  3. Kubernetes 配置管理 ConfigMap(十二)

    目录 一.背景 二.创建 ConfigMap 2.1.通过 --from-literal 2.2.通过 --from-file 2.3.通过--from-env-file 2.4.YAML 配置文件 ...

  4. Kubernetes 配置管理

    ConfigMap(可变配置管理) 对于应用的可变配置在 Kubernetes 中是通过一个 ConfigMap 资源对象来实现的,我们知道许多应用经常会有从配置文件.命令行参数或者环境变量中读取一些 ...

  5. kubernetes实战(十一):k8s使用openLDAP统一认证

    1.基本概念 为了方便管理和集成jenkins,k8s.harbor.jenkins均使用openLDAP统一认证. 2.部署openLDAP 此处将openLDAP部署在k8s上,openLDAP可 ...

  6. Kubernetes 配置管理 Dashboard(十三)

    目录 一.安装配置 1.1 下载 镜像 1.2.安装 1.3.修改 NodePort 二.配置授权 Kubernetes 所有的操作我们都是通过命令行工具 kubectl 完成的.为了提供更丰富的用户 ...

  7. Kubernetes第十一章--部署微服务电商平台

  8. kubernetes 学习资料

    谷歌大神详解 Kubernetes 配置管理最佳方法 https://www.kubernetes.org.cn/3031.html all in on kubernetes https://gith ...

  9. 026.[转] 基于Docker及Kubernetes技术构建容器云平台 (PaaS)

    [编者的话] 目前很多的容器云平台通过Docker及Kubernetes等技术提供应用运行平台,从而实现运维自动化,快速部署应用.弹性伸缩和动态调整应用环境资源,提高研发运营效率. 本文简要介绍了与容 ...

  10. k8s API sample

    Declarative API k8s: cluster-api Introduction to Kubernetes Cluster-API Project Declarative Manageme ...

随机推荐

  1. 洛谷P4762 [CERC2014]Virus synthesis(回文自动机+dp)

    传送门 回文自动机的好题啊 先建一个回文自动机,然后记$dp[i]$表示转移到$i$节点代表的回文串的最少的需要次数 首先肯定2操作越多越好,经过2操作之后的串必定是一个回文串,所以最后的答案肯定是由 ...

  2. ios json转model的简单现实

    在android开发中,可用第三方的转换库如gson等.当然在ios也有一些库如MJExtensiond等.在这里,我简单实现一下. 一.先建一个model并且继承NSObject,代码如下: cla ...

  3. NYOJ247 虚拟城市之旅 (spfa)

    题目链接:点击打开链接 虚拟的城市之旅 时间限制: ms  |  内存限制: KB 难度: 描述 展馆是未来城市的缩影,个人体验和互动是不变的主题.在A国展馆通过多维模式和高科技手段,引领参观者在展示 ...

  4. Mysql常见问题集锦

    缺少libstdc++.so.6库的原因及解决办法 https://blog.csdn.net/u010417185/article/details/69951312 https://www.cnbl ...

  5. MacOS下,Python2和Python3完美兼容使用(转)

    问题阐述: MacOS默认Python版本是2.7.10,随着Python3的进一步占有市场,Python2.7也将在2020年结束维护,所以在同一台电脑上安装多个Python版本势在必行. 一.py ...

  6. JS——面向对象、继承

    创建对象的方式: 1)单体 <!DOCTYPE html> <html lang="en"> <head> <meta charset=& ...

  7. 010 Regular Expression Matching 正则表达式匹配

    Implement regular expression matching with support for '.' and '*'.'.' Matches any single character. ...

  8. Processes and Application Life Cycle

    进程的生命期 Android系统会尽量维持一个进程的生命,直到最终需要为新的更重要的进程腾出内存空间.为了决定哪个该杀哪个该留,系统会跟据运行于进程内的组件的和组件的状态把进程置于不同的重要性等级.当 ...

  9. jquery调用asp.net 页面后台的实现代码

    先创建一个aspx页面编写一个客户端控件<input type="button" id="AjaxDemo" value="AjaxDemo&q ...

  10. Spring Cloud config中,使用数据库存储配置信息

    主要内容 在springcloud config中,使用数据库存储配置信息. 系统默认采用git的方式,此处我们介绍使用jdbc的方式存储配置信息 准备数据库 数据库我们使用mysql. 新建库 p- ...