K8s configMap原理介绍

给容器内应用程序传递参数的实现方式:
　　1. 将配置文件直接打包到镜像中，但这种方式不推荐使用，因为修改配置不够灵活。
　　2. 通过定义Pod清单时，指定自定义命令行参数，即设定 args:["命令参数"]，这种也
　　    可在启动Pod时，传参来修改Pod的应用程序的配置文件.
　　3. 使用环境变量来给Pod中应用传参修改配置
　　   但要使用此种方式，必须符合以下前提之一:
　　    1) Pod中的应用程序必须是Cloud Native的应用程序，即支持直接通过环境变量来加载配置信息。
　　    2) 通过定义Entrypoint脚本的预处理变量来修改Pod中应用程序的配置文件，这些Entrypoint脚本
　　　    可以使用set，sed，grep等工具来实现修改，但也要确保容器中有这些工具。
　　4.存储卷: 我们可将配置信息直接放到存储卷中，如PV中,Pod启动时，自动挂载存储卷到配置文件目录，
　　    来实现给Pod中应用提供不同的配置。
　　5. configMap 或 secret
　　　　

configMap的主要作用:
　　就是为了让镜像 和 配置文件解耦，以便实现镜像的可移植性和可复用性，因为一个configMap其实就是一系列配置信息的集合，将来可直接注入到Pod中的容器使用，而注入方式有两种，一种将configMap做为存储卷，一种是将configMap通过env中configMapKeyRef注入到容器中； configMap是KeyValve形式来保存数据的，如: name=zhangsan 或 nginx.conf="http{server{...}}" 对于configMap的Value的长度是没有限制的，所以它可以是一整个配置文件的信息。
configMap: 它是K8s中的标准组件,它通过两种方式实现给Pod传递配置参数:
　　A. 将环境变量直接定义在configMap中，当Pod启动时,通过env来引用configMap中定义的环境变量。
　　B. 将一个完整配置文件封装到configMap中,然后通过共享卷的方式挂载到Pod中,实现给应用传参。
secret: 它时一种相对安全的configMap，因为它将configMap通过base64做了编码, 让数据不是明文直接存储在configMap中，起到了一定的保护作用，但对Base64进行反编码，对专业人士来说，没有任何难度，因此它只是相对安全。

对于configMap中第一种，让Pod引用configMap中的环境变量的方式:
　　kubectl explain pods.spec.containers.env 　　 #env也可直接定义传递给Pod中容器的环境变量，这点需要记住。
　　　　env.valueFrom
　　　　   configMapKeyRef： 可用于定义Pod启动时引用的configMapKey是哪个。
　　　　   fieldRef: 也可引用一个字段，为Pod中容器内应用程序的每个环境变量值,如:
　　　　   metadata.name: 引用Pod的名称
　　　　   metadata.namespace: 引用Pod所在的名称空间名
　　　　   metadata.labels: 引用Pod的标签
　　　　   status.hostIP: 引用Pod所在节点的IP
　　　　   status.podIP: 引用Pod的IP
　　　　   resourceFieldRef: 引用一个资源需求 或 资源限制
　　　　   secretKeyRef: 引用一个secretKey来为Pod传参

在定义configMap时，通常仅需要定义它的data 或 binaryData(二进制数据)，它俩都是map[string]类型的，
所以它们的值都是以hash列表方式存储的，即key和value没有直接关系，key就是hash码。

创建configmap示例:
　　#命令创建:
　　kubectl create configmap nginx-config --from-literal=nginx_port=80 --from-literal=server_name=myapp.test.com

　　kubectl get configmap

　　kubectl describe cm nginx-config

　　#使用文件内容来做key的值
　　vim w3c.conf
　　　　server {
　　　　    server_name bbs.test.com;
　　　　    listen 80;
　　　　　root /data/nginx/bbs/
　　　}

#注意：configmap的名称中不支持下划线！
　　#这个是定义了一个key叫www, 其值为www.conf的内容.
　　kubectl create configmap nginx-www --from-file=www=./www.conf

　　#这是定义了一个key叫www.conf,其值为www.conf的内容
　　kubectl create configmap nginx-www --from-file=./www.conf

　　kubectl get cm nginx-www -o yaml
　　kubectl describe cm nginx-www

#给Pod中的容器传递configMap定义的变量的示例:
vim  pod-configmap.yaml
apiVersion: v1
kind: Pod
metadata:
  name: pod-cm-
  namespace: default
  labels:
     app: myapp
     tier: frontend
  annotations:
     test.com/created-by: “cluster admin”
spec:
  containers:
  -  name: myapp
     image: ikubernetes/myapp:v1
     ports:
     -   name: http
         containerPort:
     env:
     - name: NGINX_SERVER_PORT
       valueFrom:
         configMapKeyRef:
            name: nginx-config
            key: nginx_port
     -  name:NGINX_SERVER_NAME
        valueFrom:
          configMapKeyRef:
            name: nginx-config
            key: server_name

#应用这个使用configMap的Pod

　　kubectl apply -f pod-configmap.yaml

#进入Pod查看configMap传入的变量
　　kubectl exec -it pod-cm-1 -- /bin/sh
　　/ # printenv　　 #查看我们定义的变量有没有传递进来.

#接着我们来修改configmap中可以的值，看能否在Pod马上生效:
　　kubectl edit cm nginx-config 　　   #将nginx-config这个configmap中的值修改一下.
　　kubectl describe cm nginx-config   #确认edit已经修改了configmap中key的值.

#接着在登陆pod-cm-1 这个Pod中，查看容器中变量的值是否改变了。
#可以看到值是不会改变的，它仅会在创建Pod时，加载一次configmap中的数据.

#通过共享卷的方式来挂载configmap:
vim  pod-configmap-.yaml
apiVersion: v1
kind: Pod
metadata:
  name: pod-cm-
  namespace: default
  labels:
    app: myapp
    tier: frontend
  annotations:
    test.com/created-by: “cluster admin”
spec:
 containers:
 - name: myapp
   image: ikubernetes/myapp:v1
   ports:
   - name: http
     containerPort:
   volumeMounts:
   - name: nginxconf
     mountPath: /etc/nginx/config.d/   #挂载点不存在,Pod会自动创建.
     readOnly: true       #不能让容器修改配置的内容。
volumes:
-  name: nginxconf        #定义存储卷的名字为nginxconf
   configMap:
     name: nginx-config   #要挂载nginx-config这个configMap

#创建Pod
　　kubectl apply -f pod-configmap-2.yaml

　　kubectl exec -it pod-cm-2 -- /bin/sh
　　/ # ls -l /etc/nginx/config.d/
　　　　total 0
　　　　lrwxrwxrwx 1 root root 17 Jul 21 13:48 nginx_port -> ..data/nginx_port
　　　　lrwxrwxrwx 1 root root 18 Jul 21 13:48 server_name -> ..data/server_name

注: 你将可以看到config.d下面创建了两个连接文件，它们的内容就时nginx-config这个configMap中定义的变量值，连接文件名为key的名字， 连接文件指向的文件其实是新版本的configmap文件，即当configmap文件被修改时，它就会将改变同步到API Server，APIServer在将改变通告给所有引用者，之后引用者的内容也将变成新版本的内容，这样就可以实现动态更新配置文件了。

#测试动态更新configmap的变量值
　　kubectl edit cm nginx-config 　　
　　　　 #修改nginx-config的中server_port为8888 查看Pod中的变化.
　　　　  不过要有点耐心，因为APIServer通告完成是需要时间的。

通常若非敏感数据，均可使用明文存储的configMap来做，若涉及到密码，私钥等数据时,一定要使用secret类型.

而secret类型有三种:

　　generic: 通用类型，通常用于存储密码数据。
　　tls：此类型仅用于存储私钥和证书。
　　docker-registry: 若要保存docker仓库的认证信息的话，就必须使用此种类型来创建。

#创建一个mysql-root-password的secret:
　　kubectl create secret generic mysql-root-password --from-literal=password=MyP@ss.8*9
　　　　注: 这就定义了一个generic类型的secret, 名字是mysql-root-password, key是password,值是MyP@ss.8*9

　　kubectl get secret
　　kubectl describe secret mysql-root-password
　　kubectl get secret mysql-root-password -o yaml 　　 #可看到password这个key的值是加密的.

#但secret的加密是一种伪加密，它仅仅是将数据做了base64的编码.
　　echo  password这个Key的值  | base64 -d 　　 #-d:是解码, 这样就可以看到base64加码后的明文密码了。

#创建一个引用secret的Pod清单:
vim  pod-secret-.yaml
apiVersion: v1
kind: Pod
metadata:
  name: pod-secret-
  namespace: default
  labels:
     app: myapp
     tier: frontend
 annotations:
     test.com/created-by: “cluster admin”
spec:
  containers:
  -  name: myapp
     image: ikubernetes/myapp:v1
     ports:
     -  name: http
        containerPort:
     env:
     -  name: MYSQL_ROOT_PASSWORD   #它是Pod启动成功后,Pod中容器的环境变量名.
        valueFrom:
          secretKeyRef:
            name: mysql-root-password  #这是secret的对象名
            key: password      #它是secret中的key名

#创建导入secret内容的Pod:
　　kubectl apply -f pod-secret.yaml
　　kubectl exec pod-secret-1 -- printenv |grep ‘MYSQL_ROOT_PASSWORD’ 　　 #可以看到注入到容器中的secret是明文存储的.

扩展：
　　CoreOS:
　　　　这个组织开发了一个K8s组件，叫Operator(运维工程师)，它可以让运维工程师将一些更加复杂的处理逻辑封装在Operator中,这样Operator就可以帮我们完成更加复杂的任务了。