3.k8s存储之ConfigMap、Secret
1、ConfigMap
- ConfigMap 功能在 Kubernetes1.2 版本中引入,许多应用程序会从配置文件、命令行参数或环境变量中读取配置信息。ConfigMap API 给我们提供了向容器中注入配置信息的机制,ConfigMap 可以被用来保存单个属性,也可以用来保存整个配置文件或者 JSON 二进制大对象
- 相当于一个配置文件的注册中心,将数据保存在etcd中,让Pod以变量和volume挂载
- 应用场景
- 比如好几个Pod共用一个配置文件
1.1、目录创建
—from-file 指定在目录下的所有文件都会被用在 ConfigMap 里面创建一个键值对,键的名字就是文件名,值就是文件的内容 (—from-file 指定目录)
# 创建game.properties 和 ui.properties 文件[root@k8smaster configmap]# cat properties/game.propertiesenemies=alienslives=3enemies.cheat=trueenemies.cheat.level=noGoodRottensecret.code.passphrase=UUDDLRLRBABASsecret.code.allowed=truesecret.code.lives=30[root@k8smaster configmap]# cat properties/ui.propertiescolor.good=purplecolor.bad=yellowallow.textmode=truehow.nice.to.look=fairlyNice# 使用命令创建 并且查看 DATA 表示键的数量[root@k8smaster configmap]# kubectl create configmap game-config --from-file=/root/configmap/propertiesconfigmap/game-config created[root@k8smaster configmap]# kubectl get configmapNAME DATA AGEgame-config 2 11s# 查看详细信息[root@k8smaster configmap]# kubectl get configmap game-config -o yamlapiVersion: v1data:game.properties: |enemies=alienslives=3enemies.cheat=trueenemies.cheat.level=noGoodRottensecret.code.passphrase=UUDDLRLRBABASsecret.code.allowed=truesecret.code.lives=30ui.properties: |color.good=purplecolor.bad=yellowallow.textmode=truehow.nice.to.look=fairlyNicekind: ConfigMapmetadata:creationTimestamp: "2020-12-17T03:31:25Z"managedFields:- apiVersion: v1fieldsType: FieldsV1fieldsV1:f:data:.: {}f:game.properties: {}f:ui.properties: {}manager: kubectloperation: Updatetime: "2020-12-17T03:31:25Z"name: game-confignamespace: defaultresourceVersion: "1357422"selfLink: /api/v1/namespaces/default/configmaps/game-configuid: 2085e855-4bf9-4cdb-9ee8-30f1385ae2c5
1.2、文件创建
只要指定为一个文件就可以从单个文件中创建 ConfigMap
—from-file 这个参数可以使用多次,你可以使用两次分别指定上个实例中的那两个配置文件,效果就跟指定整个目录是一样的 (—from-file 指定文件)
# 创建configmap 并查看[root@k8smaster configmap]# kubectl create configmap game-config1 --from-file=/root/configmap/properties/ui.propertiesconfigmap/game-config1 created[root@k8smaster configmap]# kubectl get configmap game-config1NAME DATA AGEgame-config1 1 22s# 查看详细信息 和目录创建效果一样[root@k8smaster configmap]# kubectl get configmap game-config1 -o yamlapiVersion: v1data:ui.properties: |color.good=purplecolor.bad=yellowallow.textmode=truehow.nice.to.look=fairlyNicekind: ConfigMapmetadata:creationTimestamp: "2020-12-17T03:37:30Z"managedFields:- apiVersion: v1fieldsType: FieldsV1fieldsV1:f:data:.: {}f:ui.properties: {}manager: kubectloperation: Updatetime: "2020-12-17T03:37:30Z"name: game-config1namespace: defaultresourceVersion: "1358296"selfLink: /api/v1/namespaces/default/configmaps/game-config1uid: 46e88eb8-1377-4710-abf6-a1d92273d5bf[root@k8smaster configmap]# kubectl describe configmap game-config1Name: game-config1Namespace: defaultLabels: <none>Annotations: <none>Data====ui.properties:----color.good=purplecolor.bad=yellowallow.textmode=truehow.nice.to.look=fairlyNice
1.3、字面值创建
使用文字值创建,利用 —from-literal 参数传递配置信息,该参数可以使用多次
# 创建configmap并查看[root@k8smaster configmap]# kubectl create configmap special-config --from-literal=special.how=very --from-literal=special.type=charmconfigmap/special-config created[root@k8smaster configmap]# kubectl describe configmap special-configName: special-configNamespace: defaultLabels: <none>Annotations: <none>Data====special.how:----veryspecial.type:----charmEvents: <none># 查看详细信息 用cm也可以[root@k8smaster configmap]# kubectl get cm special-config -o yamlapiVersion: v1data:special.how: veryspecial.type: charmkind: ConfigMapmetadata:creationTimestamp: "2020-12-17T03:43:34Z"managedFields:- apiVersion: v1fieldsType: FieldsV1fieldsV1:f:data:.: {}f:special.how: {}f:special.type: {}manager: kubectloperation: Updatetime: "2020-12-17T03:43:34Z"name: special-confignamespace: defaultresourceVersion: "1359169"selfLink: /api/v1/namespaces/default/configmaps/special-configuid: 96b10ac7-964d-4c49-8dec-9dfd1697be72
1.4、Pod中使用
使用 ConfigMap 来替代环境变量
资源清单示例
如果创建ConfigMap是对应的name已经存在,则会更新其中的键值对,不会删除或创建失败
如果使用不存在的configmap 会出现失败等错误
apiVersion: v1kind: ConfigMapmetadata:name: special-confignamespace: default# ConfigMap 中的键值对data:special.how: veryspecial.type: charm
apiVersion: v1kind: ConfigMapmetadata:name: log-confignamespace: default# ConfigMap 中的键值对data:log_level: INFO
apiVersion: v1kind: Podmetadata:name: env-test-podspec:containers:- name: test-containerimage: nginx# 打出环境变量command: [ "/bin/sh", "-c", "env" ]# 设置容器的环境变量 多个env:# 环境变量名称为 SPECIAL_LEVEL_KEY- name: SPECIAL_LEVEL_KEY# 对应的值从configmap中取 configmap的名称为special-config 取得是key为special.how的值 做为 环境变量的值valueFrom:configMapKeyRef:name: special-configkey: special.how- name: SPECIAL_TYPE_KEYvalueFrom:configMapKeyRef:name: special-configkey: special.type- name: UI_PROPERTIESvalueFrom:configMapKeyRef:name: game-configkey: ui.properties# 将configmap所有的键值对作为 环境变量 key为名称 value为值envFrom:- configMapRef:name: log-configrestartPolicy: Never
# 创建Pod 并查看日志[root@k8smaster configmap]# kubectl apply -f env-test-pod.yamlpod/env-test-pod created[root@k8smaster configmap]# kubectl get podNAME READY STATUS RESTARTS AGEenv-test-pod 0/1 Completed 0 54s# 查看日志后发现输出了我们设置的环境变量[root@k8smaster configmap]# kubectl logs env-test-podSPECIAL_TYPE_KEY=charmUI_PROPERTIES=color.good=purplecolor.bad=yellowallow.textmode=truehow.nice.to.look=fairlyNiceSPECIAL_LEVEL_KEY=verylog_level=INFO
用 ConfigMap 设置命令行参数
资源清单示例
apiVersion: v1kind: Podmetadata:name: linecommand-test-podspec:containers:- name: test-containerimage: nginx# 在命令参数中 使用环境变量 用$(环境变量名)command: [ "/bin/sh", "-c", "echo $(SPECIAL_LEVEL_KEY) $(SPECIAL_TYPE_KEY)" ]env:- name: SPECIAL_LEVEL_KEYvalueFrom:configMapKeyRef:name: special-configkey: special.how- name: SPECIAL_TYPE_KEYvalueFrom:configMapKeyRef:name: special-configkey: special.typerestartPolicy: Never
# 创建 Pod 并查看[root@k8smaster configmap]# kubectl apply -f linecommand-test-pod.yamlpod/linecommand-test-pod created[root@k8smaster configmap]# vim linecommand-test-pod.yaml[root@k8smaster configmap]# kubectl get podNAME READY STATUS RESTARTS AGElinecommand-test-pod 0/1 Completed 0 65s# 创建日志 发现输出了 环境变量[root@k8smaster configmap]# kubectl logs linecommand-test-podvery charm
通过数据卷插件使用ConfigMap
在数据卷里面使用这个 ConfigMap,有不同的选项。最基本的就是将文件填入数据卷,在这个文件中,键就是文件名,键值就是文件内容
资源清单示例
apiVersion: v1kind: Podmetadata:name: volume-test-podspec:containers:- name: test-containerimage: nginxcommand: [ "/bin/sh", "-c", "cat /etc/config/special.how" ]# 容器挂载的数据卷volumeMounts:# 数据卷的名称 在Pod声明的数据卷中选择- name: config-volume# 挂载到容器内部的路径mountPath: /etc/config# Pod的数据卷volumes:# 数据卷的名称- name: config-volume# 数据卷挂载的地方 此处是来源configMap 名称是special-config# 也就是说哪个容器使用的数据卷 会在容器挂载的路径下生成多个文件(取决于configmap中key的数量) key为文件名,value为文件内容configMap:name: special-configrestartPolicy: Never
# 创建Pod并查看[root@k8smaster configmap]# kubectl apply -f volume-test-pod.yamlpod/vloume-test-pod created[root@k8smaster configmap]# kubectl get podvolume-test-pod 0/1 Completed 0 24s# 查看日志 输出了文件内容[root@k8smaster configmap]# kubectl logs vloume-test-podvery
1.5、ConfigMap热更新
更新 ConfigMap 后
使用该 ConfigMap 挂载的 Env 不会同步更新
使用该 ConfigMap 挂载的 Volume 中的数据需要一段时间(实测大概10秒)才能同步更新 (这样就可以实时修改配置文件,比如nginx的)
虽然配置文件可以热更新,但是能不能起作用还要看具体情况,比如nginx,启动之后,就不会再去看配置文件了,我们需要手动重启nginx,来达到重新读取配置文件的目的,如果有的服务可以一直监测配置文件,我们则不用手动处理(这种情况很少)
更新 ConfigMap 目前并不会触发相关 Pod 的滚动更新,可以通过修改 pod annotations 的方式强制触发滚动更新
$ kubectl patch deployment hot-update-test --patch '{"spec": {"template": {"metadata": {"annotations":{"version/config": "20201010" }}}}}'
这个例子里我们在 .spec.template.metadata.annotations 中添加 version/config ,每次通过修改version/config 来触发滚动更新
资源清单示例
apiVersion: apps/v1kind: Deploymentmetadata:name: hot-update-testspec:replicas: 1selector:matchLabels:app: nginxtemplate:metadata:labels:app: nginxspec:containers:- name: my-nginximage: nginxports:- containerPort: 80# 容器使用Pod的容器卷 并挂载在自己内部volumeMounts:- name: config-volumemountPath: /etc/config# 声明Pod的容器卷volumes:- name: config-volumeconfigMap:name: log-config
# 创建Pod 并查看挂载目录下的文件 和文件内容[root@k8smaster configmap]# kubectl apply -f hot-update-test.yamldeployment.apps/hot-update-test created[root@k8smaster configmap]# kubectl get podNAME READY STATUS RESTARTS AGEhot-update-test-6fd96995b6-jfw2w 1/1 Running 0 100s# 查看挂载目录下的文件 和文件内容[root@k8smaster configmap]# kubectl exec -it hot-update-test-6fd96995b6-jfw2w -- ls /etc/configlog_level[root@k8smaster configmap]# kubectl exec -it hot-update-test-6fd96995b6-jfw2w -- cat /etc/config/log_levelINFO
修改 ConfigMap(log-config)中的内容 (将INFO改成DEBUD)
[root@k8smaster configmap]# kubectl edit configmap log-configconfigmap/log-config edited[root@k8smaster configmap]# kubectl describe configmap log-configName: log-configNamespace: defaultLabels: <none>Annotations:Data====log_level:----DEBUGEvents: <none>
# 查看log_level 文件内容发生了改变[root@k8smaster configmap]# kubectl exec -it hot-update-test-6fd96995b6-jfw2w -- cat /etc/config/log_levelDEBUG
2、Secret
- ConfigMap将数据以明文的方式存放,不太安全,Secret可以用Base64编码存放,比较安全
- Secret 解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Spec中。Secret 可以以 Volume 或者环境变量的方式使用
- Secret 有三种类型
- Service Account :用来访问Kubernetes API,由Kubernetes自动创建,并且会自动挂载到Pod的/run/secrets/kubernetes.io/serviceaccount目录中,比如coredns、kube-proxy可以访问(不是什么都可以访问Kubernetes API)
- Opaque :base64编码格式的Secret,用来存储密码、密钥等
- kubernetes.io/dockerconfigjson :用来存储私有 docker registry 的认证信息
2.1、Service Account
# 查找系统的Pod[root@k8smaster secret]# kubectl get pod -n kube-systemNAME READY STATUS RESTARTS AGEcoredns-7ff77c879f-494fb 1/1 Running 2 46hcoredns-7ff77c879f-tvgrz 1/1 Running 2 46hetcd-k8smaster 1/1 Running 3 6d19hkube-apiserver-k8smaster 1/1 Running 3 6d19hkube-controller-manager-k8smaster 1/1 Running 16 6d19hkube-flannel-ds-amd64-hflj8 1/1 Running 4 6d6hkube-flannel-ds-amd64-s9xhk 1/1 Running 3 6d6hkube-flannel-ds-amd64-wp7mp 1/1 Running 4 6d6hkube-proxy-5l8kb 1/1 Running 2 47hkube-proxy-6n8vp 1/1 Running 2 47hkube-proxy-lgcxp 1/1 Running 2 47hkube-scheduler-k8smaster 1/1 Running 17 6d19h# 查看 kube-proxy/run/secrets/kubernetes.io/serviceaccount 下的文件# ca.crt 是https的证书信息 namespace 是命名空间 token 是访问时携带的token[root@k8smaster secret]# kubectl exec -it -n kube-system kube-proxy-5l8kb -- ls /run/secrets/kubernetes.io/serviceaccountca.crt namespace token
2.2、Opaque
Opaque 类型的数据是一个 map 类型,要求 value 是 base64 编码格式
[root@k8smaster secret]# echo admin | base64YWRtaW4K[root@k8smaster secret]# echo 123456 | base64MTIzNDU2Cg==# 解码[root@k8smaster secret]# echo YWRtaW4K | base64 -dadmin
资源清单示例
apiVersion: v1kind: Secretmetadata:name: mysecrettype: Opaquedata:username: YWRtaW4=password: MTIzNDU2Cg==
# 创建 secret 并查看[root@k8smaster secret]# kubectl apply -f secret-test.yamlsecret/mysecret created[root@k8smaster secret]# kubectl get secretNAME TYPE DATA AGEdefault-token-99w8n kubernetes.io/service-account-token 3 6d19hmysecret Opaque 2 8s
将 Secret 挂载到 Volume 中
Secret中的键值对会以文件的方式存在在容器挂载的目录下 key为文件名 value为文件值(自动解码)
资源清单示例
apiVersion: v1kind: Podmetadata:name: opaque-testlabels:name: opaque-testspec:volumes:- name: secrets# 使用secret secret的名称是mysecretsecret:secretName: mysecretcontainers:- image: nginxname: opaque-nginxvolumeMounts:- name: secretsmountPath: /etc/opaque# 只读readOnly: true
# 创建Pod[root@k8smaster secret]# kubectl apply -f opaque-test.yamlpod/opaque-test created[root@k8smaster secret]# kubectl get podNAME READY STATUS RESTARTS AGEhot-update-test-6fd96995b6-jfw2w 1/1 Running 0 60mopaque-test 1/1 Running 0 51s# 查看挂载目录下的文件[root@k8smaster secret]# kubectl exec -it opaque-test -- ls /etc/opaquepassword username# 查看挂载目录下的文件内容 自动解码[root@k8smaster secret]# kubectl exec -it opaque-test -- cat /etc/opaque/usernameadmin
将 Secret 导出到环境变量中
资源清单示例
apiVersion: apps/v1kind: Deploymentmetadata:name: opaque-envspec:replicas: 2# 这个版本的Deployment不能省去selectorselector:matchLabels:app: opaque-deploymenttemplate:metadata:labels:app: opaque-deploymentspec:containers:- name: pod-1image: nginxports:- containerPort: 80# 设置环境变量env:# 环境变量名称- name: TEST_USER# 环境变量值得来源为secret secret的名称是mysecret 用的是key为username的valuevalueFrom:secretKeyRef:name: mysecretkey: username- name: TEST_PASSWORDvalueFrom:secretKeyRef:name: mysecretkey: password
# 创建deployment 并查看Pod[root@k8smaster secret]# kubectl apply -f opaque-env.yamldeployment.apps/opaque-env created[root@k8smaster secret]# kubectl get podNAME READY STATUS RESTARTS AGEopaque-env-54d4fd67f4-9xrrs 1/1 Running 0 11sopaque-env-54d4fd67f4-h7689 1/1 Running 0 11s# 查看两个Pod中的环境变量 均已解码[root@k8smaster secret]# kubectl exec -it opaque-env-54d4fd67f4-9xrrs -- envTEST_USER=adminTEST_PASSWORD=123456[root@k8smaster secret]# kubectl exec -it opaque-env-54d4fd67f4-h7689 -- envTEST_USER=adminTEST_PASSWORD=123456
2.3、kubernetes.io/dockerconfigjson
用来存储私有 docker registry 的认证信息
使用命令创建(docker信息换成自己的)
kubectl create secret docker-registry myregistrykey --docker-server=DOCKER_REGISTRY_SERVER --docker-username=DOCKER_USER --docker-password=DOCKER_PASSWORD --docker-email=DOCKER_EMAIL
# 查看 myregistrykey 查看具体信息也是编码过的[root@k8smaster secret]# kubectl get secretNAME TYPE DATA AGEdefault-token-99w8n kubernetes.io/service-account-token 3 6d20hmyregistrykey kubernetes.io/dockerconfigjson 1 10smysecret Opaque 2 50m
使用docker的登录文件创建
cat ~/.docker/config.json 这个docker的登录文件登录docker的仓库后自动生成
# 将登录文件的内容进行base64编码cat ~/.docker/config.json | base64# 将编码后的结果写入资源清单中cat > myregistrykey.yaml <<EOFapiVersion: v1kind: Secretmetadata:name: myregistrykeydata:.dockerconfigjson: docker的登录文件内容的base64编码type: kubernetes.io/dockerconfigjsonEOF# 创建serretkubectl create -f myregistrykey.yaml
资源清单示例
apiVersion: v1kind: Secretmetadata:name: myregistrykeydata:.dockerconfigjson: docker的登录文件内容的base64编码type: kubernetes.io/dockerconfigjson
资源清单示例
apiVersion: v1kind: Podmetadata:name: docker-podspec:containers:- name: foo# 这个镜像需要在自己的仓库中 需要身份认证image: registry.cn-hangzhou.aliyuncs.com/******/mytomcat:8.1.0# 使用镜像拉取的secret 包含镜像仓库的地址 用户名 密码等imagePullSecrets:- name: myregistrykey
# 查看pod 已经运行[root@k8smaster secret]# kubectl get podNAME READY STATUS RESTARTS AGEdocker-pod 1/1 Running 0 6m22s
3.k8s存储之ConfigMap、Secret的更多相关文章
- k8s配置中心-configmap,Secret密码
目录 k8s配置中心-configmap,Secret 创建ConfigMap 使用ConfigMap subPath参数 Secret 官方文档 编写secret清单 使用secret 在 Pod ...
- k8s存储卷概述
pod本身具有生命周期,故其内部运行的容器及其相关数据自身均无法持久存在.docker支持配置容器使用存储卷将数据持久存储于容器自身文件系统之外的存储空间中,它们可以是节点文件系统或网络文件系统之上的 ...
- 二十、Pod的存储之Configmap
Pod 的存储之Configmap 一.Configmap介绍 ConfigMap 功能在 Kubernetes1.2 版本中引入,许多应用程序会从配置文件.命令行参数或环境变量中读取配置信息.Co ...
- 使用kubeseal加密和管理k8s集群的secret
使用kubeseal加密和管理k8s集群的secret 在k8s的管理过程中,像secret这种资源并不好维护,kubeseal提供了一种相对简单的方式来对原始secret资源进行加密,并通过控制器进 ...
- kubernetes系列12—二个特色的存储卷configmap和secret
本文收录在容器技术学习系列文章总目录 1.configmap 1.1 认识configmap ConfigMap用于保存配置数据的键值对,可以用来保存单个属性,也可以用来保存配置文件.ConfigMa ...
- k8s env、configmap、secret外部数据加载配置
K8s提供了多种外部数据注入容器的方式,今天我们主要学习环境变量.ConfigMap以及Secret的使用和配置. 环境变量 在docker项目中,对一个容器添加环境变量可以在容器创建时通过-e EN ...
- K8S存储相关yaml
一.ConfigMap 1.使用目录创建 vim game.properties vim ui.properties 在一个文件夹下创建两个文件,通过以下命令创建 kubectl create con ...
- k8s配置集ConfigMap详解
ConfigMap介绍 ConfigMap和Secret是Kubernetes系统上两种特殊类型的存储卷,ConfigMap对象用于为容器中的应用提供配置文件等信息.但是比较敏感的数据,例如密钥.证书 ...
- 09-kubernetes configMap secret
目录 配置容器化应用配置的方式 命令创建和测试configMap 创建一个Pod 挂在测试 命令行文件类创建方式 创建Pod测试 创建后测试 贴近实际进行测试 创建后测试 secret 举例测试 ge ...
随机推荐
- Elements-of-Python_03_LanguageFeature
(内容包括Python语法概述,流程控制,条件表达式) 1 Python语法 1.1 Python的特点 Python是一种完全面向对象的.解释性的.可移植的.开源的脚本编程高级语言,具有丰富的库,允 ...
- IDM 汉化版v1.1.10 (NDM汉化版)
提升你的下载速度最多达 5 倍,安排下载时程,或续传一半的软件.Internet Download Manager 的续传功能可以恢复因为断线.网络问题.计算机当机甚至无预警的停电导致下传到一半的软件 ...
- 一些vue项目
https://segmentfault.com/a/1190000010330905
- AH/HNOI 2017 礼物
题目链接 描述 两个序列 \(x, y\),可以将一个序列每个值同时加非负整数 \(c\),其中一个序列可以循环移位,要求最小化: \[\sum_{i = 1}^{n}(x_i - y_i) ^ 2 ...
- Codeforces Edu Round 49 A-E
A. Palindromic Twist 由于必须改变.所以要使\(a[i] = a[n - i + 1]\). 要么同向走,但必须满足之前的\(a[i] = a[n - i + 1]\). 要么相遇 ...
- SpringBoot整合Swagger2详细教程
1. 简介 随着前后端分离开发模式越来越流行,编写接口文档变成了开发人员非常头疼的事.而Swagger是一个规范且完整的web框架,用于生成.描述.调用可视化的RESTful风格的在线接口文档,并 ...
- win10平衡模式、高性能模式和卓越模式三种电池模式的区别
win10在1803版本后,有了很多隐藏的功能.电池模式中的"卓越模式"就是其中之一. 互相比较一下: 节能模式:顾名思义是最省电的,此模式下会禁用一些系统特效,且CPU运行频率是 ...
- pandas的学习3-设置值
import pandas as pd import numpy as np # 我们可以根据自己的需求, 用 pandas 进行更改数据里面的值, 或者加上一些空的,或者有数值的列. # 首先建立了 ...
- Kali Linux破解wifi密码(无须外置网卡)
环境准备: 方式一(选择该方式):Kali Linux.笔记本一台.U盘(至少8G) 方式二:Kali Linux.外置网卡.笔记本一台.VM 特别说明,主要是使用方式一进行破解,如果有外置网 ...
- 一听就懂:用Python做一个超简单的小游戏
写它会用到 while 循环random 模块if 语句输入输出函数