ASP.NET Core on K8S深入学习(9)Secret Configmap

640?wx_fmt=gif

本篇已加入《.NET Core on K8S学习实践系列文章索引》,可以点击查看更多容器化技术相关系列文章。

01

Secret

关于Secret

        在应用启动过程中需要一些敏感信息,比如数据库用户名、密码,如果直接明文存储在容器镜像中是不安全的,K8S提供的方案是Secret

  640?wx_fmt=png

  Secret 会以密文的方式存储数据,避免了直接在配置文件中保存敏感信息。

  Secret 会以 Volume 的形式被 mount 到 Pod,容器可通过文件的方式使用 Secret 中的敏感数据,也可以使用环境变量的方式使用。

创建与查看Secret

        这里假设我们要创建一个包含以下信息的Secret:

  (1)用户名:Edison

  (2)密码:EDC123456*

  有4种方法来创建Secret:

  (1)通过 --from-literal:

  PS:每个 --from-literal 对应一个信息条目

  (2)通过 --from-file:

  PS:每个文件内容对应一个信息条目

  (3)通过 --from-env-file:

  PS:文件 env.txt 中每行 Key=Value 对应一个信息条目

  (4)通过YAML配置文件创建:(推荐方式

  由于配置文件中的敏感数据必须是通过base64编码后的结果,因此需要获取base64编码后的值:

  640?wx_fmt=png

  下面就是这个YAML文件的内容:

apiVersion: v1	
kind: Secret	
metadata:	name: edc-secret	
data:	username: RWRpc29u	password: RURDMTIzNDU2Kg==

  通过kubectl apply来创建Secret:

  640?wx_fmt=png

   创建成功后,验证一下,查看一下这个Secret:

  640?wx_fmt=png

   将Value进行base64反编码,如下所示,与预期一致:

  640?wx_fmt=png

在Pod中使用Secret

  K8S中Pod中使用Secret有两种方式,一是Volume方式,二是环境变量的方式。

  (1)Volume方式

  这里我们以一个示例演示一下如何通过Volume方式使用Secret,首先定义一个Pod:

  该Pod中会使用到刚刚定义的secret(edc-secret),然后volumeMounts定义了将foo mount到容器中的路径为/etc/foo的目录下,并且指定了读写权限为只读。

  通过kubectl apply创建之后,我们试着在容器中读取secret来验证一下,如下图所示:

  640?wx_fmt=png

  可以看到,K8S为每条敏感数据创建了一个文件,而且其Value是以明文存放的。

  当然,你也可以自定义存放数据的目录,如下配置所示:

  这时,该secret就会存放于/etc/foo/edc-group/username 和 /etc/foo/edc-group/password 两个目录下了。

  (2)动态更新

  以Volume方式使用Secret,其中一个优点就是支持动态更新。例如,我们将Secret更新一下,重新应用到K8S中:

  通过kubectl apply重新应用之后,等待一段时间后,再次进入容器中验证:

  640?wx_fmt=png

   已经改为了 abcdefg*,符合预期。

  (2)环境变量方式

  通过Volume使用Secret看起来稍微麻烦了一点,容器必须通过文件读取数据。K8S提供了另外一种方式,那就是环境变量方式。

  下面仍以上面的例子为例,修改配置文件:

  640?wx_fmt=png

   可以看到,可以方便地通过环境变量获取到Value。

 PS:需要注意的也是,虽然通过环境变量读取Secret比较方便,但是无法支持Secret动态更新!

02

Configmap

关于Configmap

        上面提到的Secret可以为Pod提供机密数据的存储,而对于一些非机密敏感的数据,像一些应用的配置信息啊神马的,则可以使用Configmap。

  Configmap的创建与使用方式与Secret非常类似,不同点只在于数据以明文形式存放(不过,我觉得Secret的密文形式也并不密文,只能算得上是简单编码)。

  640?wx_fmt=png

创建Configmap

        和Secret一样,可以通过 --from-literal,--from-file 和 --from-env-file来创建,这里我们跳过,直接说下我们最常用的yaml配置文件的方式。

使用Configmap

        和Secret一样,也可以通过Volume 或 环境变量两种方式来使用Configmap。

  (1)Volume方式

  (2)环境变量方式

最佳实践

        大多数情况下,大家建议的最佳实践是:

  (1)创建ConfigMap采用YAML配置方式 => 便于复用和版本管理

  (2)读取ConfigMap采用Volume方式 => 便于配置动态更新

  下面我们创建一个Configmap,其YAML内容如下:

  这里注意别忘了:后面的 | 符号,然后创建&查看Configmap:

  640?wx_fmt=png

   如果想要在Pod中使用此Configmap,可以在YAML配置如下:

  这里将Volume mount到了容器的 /etc/configmap 目录中,下面我们验证一下:

  640?wx_fmt=png

  这时我们将configmap更新一下,如下:

  通过kubectl apply更新一下configmap,然后再到pod中验证是否动态更新:

  640?wx_fmt=png

   可以看出,已经动态更新,符合预期!

03

小结

本文探索了在K8S中如何进行配置管理,如果需要密文配置,可以使用Secret,如果是一般应用配置,可以使用ConfigMap。虽然Secret和ConfigMap都定义了好几种定义方式,但是我们一般采用YAML配置创建和Volume方式读取,因为Volume方式可以支持动态更新。

参考资料:

(1)CloudMan,《每天5分钟玩转Kubernetes》

(2)李振良,《一天入门Kubernets教程》

(3)马哥(马永亮),《Kubernetes快速入门》

(4)benjamin杨,《K8S通过Secret管理敏感信息》

(5)伊凡的一天,《K8S对象之Secret》

640?wx_fmt=png

640?wx_fmt=jpeg

640?wx_fmt=png

你点的每个赞,我都认真当成了喜欢

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/313972.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

.NET Core 学习资料精选:进阶

2019.09月就要正式发布.NET 3.0了,对于前一篇博文《.NET Core 学习资料精选:入门》大家学的可还开心?这是本系列的第二篇文章:进阶篇,喜欢的园友速度学起来啊。对于还在使用传统.NET Framework 框架的园友,…

VS Code 1.38 发布!

今天(北京时间 2019 年 9 月 5 日),微软发布了 Visual Studio Code 1.38 版本。此版本主要更新的内容包括:Preserve case for global search and replace - 进行全局替换字符串时保留大小写。Settings editor string array valida…

.NET Core 收徒,有缘者,可破瓶颈

最近感悟天命,偶有所得,故而打算收徒若干,以继吾之传承。有缘者,可破瓶颈,职场巅峰指日可待。入门基本要求:1、工作经验:1年或以上。2、拜师费用:3999元(RMB)…

【全】Docker(二)-在Docker中部署Nginx实现负载均衡视频教程

一、前言在前面的文章中我们已经介绍了如何在Centos7系统中安装Docker以及利用Docker进行Asp.Net Core应用的部署。在本文中,我们将继续介绍利用Docker部署Nginx服务实现负载均衡。文章最后附有Nginx部署的视频全过程。注:查看公众号历史文章&#xff0c…

开源导入导出通用库Magicodes.ExporterAndImporter发布

导入导出通用库 Magicodes.ExporterAndImporter为心莱团队封装的导入导出通用库,并且仍在跟随项目不断地打磨。GitHub地址:https://github.com/xin-lai/Magicodes.ExporterAndImporter目录特点相关官方Nuget包导出 Demo普通导出特性导出列头处理或者多语…

netcore 中的动态代理与RPC实现(微服务专题)

一、关于RPC的调用1. 调用者(客户端Client)以本地调用的方式发起调用;  2. Client stub(客户端存根)收到调用后,负责将被调用的方法名、参数等打包编码成特定格式的能进行网络传输的消息体; …

[翻译] .NET Core 3.0 Preview 9 发布

原文: Announcing .NET Core 3.0 Preview 9今天,我们宣布推出 .NET Core 3.0 Preview 9。就像 Preview 8 一样,我们专注于打磨 .NET Core 3.0 的最终版本,而不是添加新功能。如果这些最终版本看起来不像早期预览版那么令人兴奋,我…

谈谈“学习”这件事儿

曾经有童鞋在我博客留言:楼主你是如何学习的,肿么那么牛逼(注:真不牛逼,只不过我讲的你刚好不知道,在你心中就形成了好牛逼的样子)曾经也有童鞋加我好友,开头第一句则是:…

持续集成之应用k8s自动部署

持续集成之应用k8s自动部署Intro上次我们提到了docker容器化及自动化部署[1],这仅仅适合个人项目或者开发环境部署,如果要部署到生产环境,必然就需要考虑很多因素,比如访问量大了如何调整部署,如何更好的应对大并发的情…

持续集成之应用容器化及自动化部署

通过 Azure Pipelines 实现持续集成之docker容器化及自动化部署IntroAzure DevOps Pipeline 现在对于公开的项目完全免费,这对于开源项目来讲无疑是个巨大的好消息,在 Github 的 Marketplace 里有个 Azure Pipeline,就是微软的 Azure DevOps …

持续集成之 Nuget 进阶

持续集成之 Nuget 进阶Intro之前介绍了一篇基于 Azure pipeline 的 nuget 包的持续集成配置,但是比较粗糙,这里介绍一下结合 Cake 实现更优雅的 nuget 包发布流程。实现目标:分支(除master/preview)有代码 push 或者 pr 时 自动 buildpreview…

做“是非题”的正确姿势

这里是Z哥的个人公众号每周五11:45 按时送达有时也会有感而发,来加个餐~我的第「107」篇原创敬上大家好,我是Z哥。这两天中国男篮的事,让我有感而发。不知道你有没有留意到,我们身边总有类似下面这样的事情…

依赖倒置原则(DIP)、控制反转(IoC)、依赖注入(DI)(C#)

象的控制权交由配置文件控制,然后根据配置文件中的信息(程序集类型),通过反射来获取对象,而不是直接new对象,这也是控制反转的一种体现。IoC容器会连接程序中的所有模块,模块将所需对象的控制权…

四种为HttpClient添加默认请求报头的解决方案

HttpClient在Web调用中具有广泛的应用,而为它添加默认请求头是我们经常遇到的需求,本文介绍4种为HttpClient添加默认请求头的方式。直接在创建的HttpClient对象的DefaultRequestHeaders集合中添加报头。class Program{static Task Main()> SendAsync…

【盛派内部分享资料】本期主题:使用JavaScript HTML CSS构建跨平台桌面应用

先上录制视频友情提示:如果公众号内视频无法显示高清视频,您也可以在小程序内观看高清视频,点击下方按钮观看:【盛派内部分享资料】本期主题:使用JavaScript HTML CSS构建跨平台桌面应用本次活动由盛派技术人员伏允坤主…

负载均衡及负载均衡器

负载均衡在分布式系统中,负载均衡(load balancing)是一种有效的将网络请求分配到多个服务器的过程。通过将负载进行负载均衡,可以有效地改进系统响应时间,提高系统的可用性。随着系统变的愈发复杂,用户增多…

VS Code 摸鱼插件开发小记

插件地址:https://marketplace.visualstudio.com/items?itemNamebugbreeder.vscode-readhub原文链接:https://github.com/alex-yh99/vscode-readhub/blob/master/docs/develop-note.md一、关于插件在 VSCode 中快捷查阅科技动态、开发者资讯等 Readhub …

9月数据库排行:Microsoft SQL Server分数罕见下滑

DB-Engines 数据库流行度排行榜 9 月更新已发布,排名前二十如下:明显能看出来,整体排名和上个月的保持一致。而上个月出现分数下跌的 PostgreSQL 和 MongoDB 终于“回归正道”,分数有了稍微的上升。与上个月相比,Postg…

Exceptionless使用介绍

一.Exceptionless介绍Exceptionless专注于.net平台提供实时错误和日志报告。主要包括:错误通知、智能分组异常、详细错误报告堆栈跟踪、支持离线、UI查看重要错误和确定优先级、仪表板上的统计信息和趋势、对异常标记为已修复,监视回归、将事件标记为关键…

Net Core DocXCore 实现word模板导出

实际工作中,往往有这样的需求,需要导出word,还有各种各样的样式,于是有了word模板导出。实现以下几个需求:1、表单导出2、表格导出3、表单表格混合导出4、实际用例测试解决方案:实现是基于NET Core 2.1 &am…