标签:Configmap name ConfigMap ---- Secret kubectl config special
文章目录
一. Configmap
ConfigMap 功能在 Kubernetes1.2 版本中引入,许多应用程序会从配置文件、命令行参数或环境变量中读取配置信息。ConfigMap API 给我们提供了向容器中注入配置信息的机制,ConfigMap 可以被用来保存单个属性,也可以用来保存整个配置文件或者 JSON 二进制大对象
将配置信息放到configmap对象中,然后在pod的对象中导入configmap对象,实现导入配置的操作
资源清单创建
1. 创建 ConfigMap 的资源清单
apiVersion: v1 # 版本,通过 kubectl explain cm 可以查看
kind: ConfigMap
metadata:
name: special-config # ConfigMap 的名字
namespace: default # 名称空间
data: # key: value 结构,配置数据
special.how: very
special.type: charm
kubectl apply -f comfigmap.yaml
2. 使用目录创建
- 创建
/root/k8s/yaml/configmap/game.properties文件:
enemies=aliens
lives=3
enemies.cheat=true
enemies.cheat.level=noGoodRotten
secret.code.passphrase=UUDDLRLRBABAS
secret.code.allowed=true
secret.code.lives=30
- 创建
/root/k8s/yaml/configmap/ui.properties文件
color.good=purple
color.bad=yellow
allow.textmode=true
how.nice.to.look=fairlyNice
- 创建 configmap ,
--from-file指定在目录下的所有文件都会被用在 ConfigMap 里面创建一个键值对,键的名字就是文件名,值就是文件的内容
kubectl create configmap game-config --from-file=../configmap/
- 查看创建的
configmap(可简写为 cm):
$ kubectl get cm
NAME DATA AGE
game-config 2 6m40s
# 查看详细信息
kubectl get cm game-config -o yaml
kubectl describe cm game-config
3. 使用文件创建
通过 --from-file 参数只要指定为一个文件就可以从单个文件中创建 ConfigMap
–from-file 这个参数可以使用多次,你可以使用两次分别指定上个实例中的那两个配置文件,效果就跟指定整个目录是一样的
kubectl create configmap game-config-2 --fromfile=game.properties
kubectl get configmaps game-config-2 -o yaml
4. 使用字面值创建
使用文字值创建,利用 --from-literal 参数传递配置信息,该参数可以使用多次,格式如下
kubectl create configmap special-config --from-literal=special.how=very --fromliteral=special.type=charm
kubectl get configmaps special-config -o yaml
Pod 中使用 ConfigMap
1. 使用 ConfigMap 来替代环境变量
- 创建两个 ConfigMap(configmap.yaml):
apiVersion: v1
kind: ConfigMap
metadata:
name: special-config
namespace: default
data:
special.how: very
special.type: charm
---
apiVersion: v1
kind: ConfigMap
metadata:
name: env-config
namespace: default
data:
log_level: INFO
- 创建pod
apiVersion: v1
kind: Pod
metadata:
name: dapi-test-pod
spec:
containers:
- name: test-container
image: wangyanglinux/myapp:v1
command: [ "/bin/sh", "-c", "env" ] # 打印 env
env: # 从 ConfigMap 中选择读取的键,并起个别名
- name: SPECIAL_LEVEL_KEY # 键别名,在这值应该是 very
valueFrom:
configMapKeyRef:
name: special-config # ComfigMap 的名称
key: special.how # 上句指定 ConfigMap 中的键名
- name: SPECIAL_TYPE_KEY # 键别名,在这值应该是 charm
valueFrom:
configMapKeyRef:
name: special-config # ComfigMap 的名称
key: special.type # 上句指定 ConfigMap 中的键名
envFrom: # 直接从 ConfigMap 中读取全部配置
- configMapRef:
name: env-config # ComfigMap 的名称
restartPolicy: Never
- 查看日志,可以看到 ConfigMap 中的配置已经注入到了容器中
2. 使用 ConfigMap 设置命令行参数
- 创建 ConfigMap
apiVersion: v1
kind: ConfigMap
metadata:
name: special-config
namespace: default
data:
special.how: very
special.type: charm
- 创建pod
apiVersion: v1
kind: Pod
metadata:
name: dapi-test-pod
spec:
containers:
- name: test-container
image: wangyanglinux/myapp:v1
command: [ "/bin/sh", "-c", "echo $(SPECIAL_LEVEL_KEY) $(SPECIAL_TYPE_KEY)" ] #可以调整启动Pod时的命令
env: # 从 ConfigMap 中选择读取的键,并起个别名
- name: SPECIAL_LEVEL_KEY # 键别名,在这值应该是 very
valueFrom:
configMapKeyRef:
name: special-config # ComfigMap 的名称
key: special.how # 上句指定 ConfigMap 中的键名
- name: SPECIAL_TYPE_KEY # 键别名,在这值应该是 charm
valueFrom:
configMapKeyRef:
name: special-config # ComfigMap 的名称
key: special.type
restartPolicy: Never
- 查看日志
$ kubectl logs dapi-test-pod
very charm
3. 通过数据卷插件使用ConfigMap
通过 Volume 方式挂载,ConfigMap 中的键名就是 文件名,键值就是 文件内容
创建 ConfigMap
apiVersion: v1
kind: ConfigMap
metadata:
name: special-config
namespace: default
data:
special.how: very
special.type: charm
创建pod
apiVersion: v1
kind: Pod
metadata:
name: dapi-test-pod
spec:
containers:
- name: test-container
image: wangyanglinux/myapp:v1
command: ["/bin/sh", "-c", "cat /etc/config/special.how"] # 打印挂载目录下的文件内容
volumeMounts: # volume 挂载
- name: config-volume # 挂载下面指定的 volume
mountPath: /etc/config # 挂载到的目录(容器内路径,该目录下,文件名就里键名,文件内容就是键值)
volumes:
- name: config-volume # volume 名称
configMap: # 来自 ConfigMap
name: special-config # ConfigMap 名字
restartPolicy: Never
看日志
$ kubectl logs dapi-test-pod
very
4. ConfigMap 的热更新
创建一个 ConfigMap 和 Deployment:
apiVersion: v1
kind: ConfigMap
metadata:
name: log-config
namespace: default
data:
log_level: INFO
---
apiVersion: extensions/v1beta1
kind: Deployment
metadata:
name: my-nginx
spec:
replicas: 1
template:
metadata:
labels:
run: my-nginx
spec:
containers:
- name: my-nginx
image: wangyanglinux/myapp:v1
ports:
- containerPort: 80
volumeMounts: # 这块儿不懂看上一节《通过数据卷插件使用ConfigMap》
- name: config-volume
mountPath: /etc/config # 容器内这个目录下会有 log_level 这个文件,内容为 INFO
volumes:
- name: config-volume
configMap:
name: log-config
查看 /etc/config/log_level 文件的内容
$ kubectl exec my-nginx-c484b98b4-sbls9 -it -- cat /etc/config/log_level
INFO
修改 ConfigMap
kubectl edit configmap log-config
再次查看 /etc/config/log_level 文件的内容,可以看到,Pod 中的配置也改了
注意:更新 ConfigMap 后:
使用该 ConfigMap 挂载的 Env 不会同步更新
使用该 ConfigMap 挂载的 Volume 中的数据需要一段时间(实测大概10秒)才能同步更新
让 Pod 滚动更新
ConfigMap 更新后,并不会让相应的文件重载。例如,Nginx 在启动时,会加载一次配置文件(配置文件中有 ConfigMap 的相关参数),加载完成后,无论这个配置文件再怎么变化,Nginx 都不会再加载它。因此需要 ConfigMap 更新后滚动更新 Pod。
- 可以通过修改
pod annotations的方式强制触发滚动更新 - 这里我们在
.spec.template.metadata.annotations 中添加 version/config,每次通过修改 version/config 的时间来触发滚动更新
kubectl patch deployment my-nginx --patch \
'{"spec": {"template": {"metadata": {"annotations":{"version/config": "20211110" }}}}}'
二. Secret
Secret 解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Spec 中。Secret 可以以 Volume 或者环境变量的方式使用
用户可以创建 secret,同时系统也创建了一些 secret。
Secret 有三种类型:
Service Account:用来访问Kubernetes API,由 Kubernetes 自动创建,并且会自动挂载到 Pod 的/run/secrets/kubernetes.io/serviceaccount目录中Opaque:base64 编码格式的Secret,用来存储密码、密钥等。加密程度不高kubernetes.io/dockerconfigjson:用来存储私有docker registry的认证信息
要使用 secret,pod 需要引用 secret。Pod 可以用两种方式使用 secret:
- 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里,
- 当 kubelet 为 pod 拉取镜像时使用。
1. Service Account(不常用)
Service Account 用来访问 Kubernetes API,由 Kubernetes 自动创建,并且会自动挂载到 Pod 的 /run/secrets/kubernetes.io/serviceaccount 目录中
# 1. 随便找一个需要访问 Kubernetes API 的 Pod
$ kubectl get pod -n kube-system
NAME READY STATUS RESTARTS AGE
kube-proxy-2pqkk 1/1 Running 6 40d
# 2. 查看该 Pod 中 /run/secrets/kubernetes.io/serviceaccount 目录下的文件
$ kubectl exec kube-proxy-2pqkk -n kube-system -it -- ls /run/secrets/kubernetes.io/serviceaccount
ca.crt:访问 API Service 时的证书
namespace:名称空间
token:认证的密钥信息
2. Opaque Secret
Opaque 类型的数据是一个 map 类型,要求 value 是 base64 编码格式:
(1)创建 Opaque Secret
- 给用户名和密码用 base64 加密
$ echo -n admin | base64
YWRtaW4=
$ echo -n 123 | base64
MTIz
base64编码
$ echo -n YWRtaW4= | base64 -d
admin
- 使用加密后的用户名和密码创建 Secret
apiVersion: v1 # kubectl explain secret 查看
kind: Secret
metadata:
name: mysecret # Secret 名称
type: Opaque # Secret 的类型
data:
password: MTIz # 密码
username: YWRtaW4= # 用户名
- 查看Secret
default-token-xxxxx:k8s 默认会在每个名称空间下都创建一个,用于 Pod 的挂载
$ kubectl get secret
NAME TYPE DATA AGE
default-token-fm46c kubernetes.io/service-account-token 3 40d
mysecret Opaque 2 12s
(2)将 Secret 挂载到 Volume 中
创建 Pod
apiVersion: v1
kind: Pod
metadata:
labels:
name: secret-test
name: secret-test
spec:
volumes: # 创建一个卷
- name: secrets # 卷名
secret: # 卷使用的方案
secretName: mysecret # 来自于上一节创建的 mysecret
containers:
- image: wangyanglinux/myapp:v1
name: db
volumeMounts: # 卷挂载
- name: secrets # 挂载的是上面声明的 secrets
mountPath: "/etc/secrets" # 挂载的目录(容器内目录)
readOnly: true # 只读
查看
# Opaque Secret 中的用户名和密码都已经挂载进来了
$ kubectl exec secret-test -it -- ls /etc/secrets
password username
# 查看内容,发现内容已经自动被解密
$ kubectl exec secret-test -it -- cat /etc/secrets/password
123
$ kubectl exec secret-test -it -- cat /etc/secrets/username
admin
(3)将 Secret 导出到环境变量中
创建 Deployment
apiVersion: extensions/v1beta1
kind: Deployment
metadata:
name: pod-deployment
spec:
replicas: 2
template:
metadata:
labels:
app: pod-deployment
spec:
containers:
- name: pod-1
image: wangyanglinux/myapp:v1
ports:
- containerPort: 80
env:
- name: TEST_USER # 环境变量名
valueFrom:
secretKeyRef: # 从 Secret 中获取
name: mysecret # Secret 的名字
key: username # Secret 中的键名
- name: TEST_PASSWORD # 环境变量名
valueFrom:
secretKeyRef: # 从 Secret 中获取
name: mysecret # Secret 的名字
key: password # Secret 中的键名(相比 configmap,Secret 在这儿不需要使用明文,稍微安全一点)
查看环境变量
# 进入容器
$ kubectl exec pod-deployment-747f78bc67-2w9wk -it -- /bin/sh
# 查看环境变量
$ echo $TEST_USER
admin
$ echo $TEST_PASSWORD
123
3. kubernetes.io/dockerconfigjson
使用 Kuberctl 创建 docker registry 认证的 secret
# kubectl create secret docker-registry \ # 创建 Secret 的类型
# myregistrykey \ # Secret 的名称
# --docker-server=hub.zyx.com \ # docker server 的地址
# --docker-username=admin \ # docker 用户名
# --docker-password=Harbor12345 \ # docker 密码
# --docker-email=aa@qq.com # docker 邮箱
kubectl create secret docker-registry \
myregistrykey \
--docker-server=hub.zyx.com \
--docker-username=admin \
--docker-password=Harbor12345 \
--docker-email=aa@qq.com
在创建 Pod 的时候,通过 imagePullSecrets 来引用刚创建的 myregistrykey,来拉取私有仓库的镜像
apiVersion: v1
kind: Pod
metadata:
name: foo
spec:
containers:
- name: foo
image: hub.zyx.com/zyx/myapp:v1
imagePullSecrets: # 当去私有仓库拉取时的认证信息
- name: myregistrykey # 认证信息,上一步创建的 docker registry
标签:Configmap,name,ConfigMap,----,Secret,kubectl,config,special 来源: https://blog.csdn.net/weixin_45697293/article/details/120112609
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。