pod配置资源管理

secret

保存密码,token,敏感的k8s资源

configmap(重点)

1.2加入的新特征

这类数据可以存放在镜像当中,但是放在secret当中可以更方便的控制,减少暴露的风险,保存加密的信息

secret的类型

docker-registry

存储docker仓库的认证信息,以及docker组件认证信息(私有)

generic

是secret的默认模式,Opaque base64加密编码的secret.用户自定义的密码,密钥等等

tls

TLS/SSL 用于存储证书和私钥,https

还有一种系统自建的:kubernetes.io/service-account-token用来访问系统的apiserver.pod会默认使用这个kubernetes.io/service-account-token创建的secret和apiserver通信自动挂载到

pod的/run/secret/kubernets.io/serviceaccount.             

[root@master01 k8s]# kubectl get secret
NAME                                 TYPE                                  DATA   AGE
default-token-zf8fj                  kubernetes.io/service-account-token   3      18d
nfs-client-provisioner-token-b5z8s   kubernetes.io/service-account-token   3      3d21h
#查看secret中的加密信息

pod引用secret:三种方式

1

挂载的方式,secret挂载到pod当中的一个或者多个容器上的卷里面

2

把secret作为容器的环境变量

3

Docker-registry 可以作为集群拉取镜像时的使用,使用secret可以实现免密登录

secret创建方式

陈述式
[root@master01 opt]# kubectl create secret generic mysecret --from-file=/opt/username.txt --from-file=/opt/password.txt
secret/mysecret created
#指定文件提取信息,generic:默认类型,opaque加密类型 ,--from-file=/opt/username.txt 从指定文件获取需要加密的信息
[root@master01 k8s]# kubectl get secrets
NAME                                 TYPE                                  DATA   AGE
default-token-zf8fj                  kubernetes.io/service-account-token   3      19d
mysecret                             Opaque                                2      80m
mysecret1                            Opaque                                2      7m22s
nfs-client-provisioner-token-b5z8s   kubernetes.io/service-account-token   3      4d1h
#查看有哪些secrets
[root@master01 k8s]# kubectl describe secrets mysecret
Name:         mysecret
Namespace:    default
Labels:       <none>
Annotations:  <none>Type:  OpaqueData
====
password.txt:  4 bytes
username.txt:  3 bytes
#查看secret详细信息[root@master01 k8s]# echo username.txt | base64
dXNlcm5hbWUudHh0Cg==
[root@master01 k8s]# echo password.txt | base64
cGFzc3dvcmQudHh0Cg==
#以64加密方式加密声明式
[root@master01 opt]# echo passwd.txt | base64
cGFzc3dkLnR4dAo=
[root@master01 opt]# echo username.txt | base64
dXNlcm5hbWUudHh0Cg==
#将格式转换为64加密方式[root@master01 k8s]# kubectl explain secret
KIND:     Secret
VERSION:  v1
#看一下secret的格式apiVersion: v1
kind: Secret
metadata:name: mysecret1
type:Opaque
data:username: dXNlcm5hbWUudHh0Cg==password: cGFzc3dkLnR4dAo=
#先要创建secret#挂载的方式实现
apiVersion: v1
kind: Pod
metadata:name: mypod
spec:containers:- name: nginximage: nginx:1.22volumeMounts:- name: secretsmountPath: "/etc/secrets"readOnly: falsevolumes:- name: secretssecret:secretName: mysecret1[root@master01 k8s]# kubectl exec -it mypod bash
root@mypod:/etc/secrets# cd /etc/secrets/
root@mypod:/etc/secrets# ls
password  username
root@mypod:/etc/secrets# cat password
passwd.txt
保存的内容是加密内容,容器内部可以解密直接引用例2[root@master01 k8s]# kubectl create secret generic mysecret2 --from-file=/etc/passwd --from-file=/etc/shadowapiVersion: v1
kind: Secret
metadata:name: mysecret1
type:Opaque
data:username: MTIzCg==password: NDU2Cg==apiVersion: v1
kind: Pod
metadata:name: mypod
spec:containers:- name: nginximage: nginx:1.22volumeMounts:- name: secretsmountPath: "/etc/secrets"readOnly: falsevolumes:- name: secretssecret:secretName: mysecret2[root@master01 k8s]# kubectl exec -it mypod bash
root@mypod:/# cd /etc/secrets/
root@mypod:/etc/secrets# ls
passwd  shadow
root@mypod:/etc/secrets# cat passwd

把secret作为容器的环境变量

[root@master01 k8s]# echo 123 | base64
MTIzCg==
[root@master01 k8s]# echo 456 | base64
NDU2Cg==#创建secret
apiVersion: v1
kind: Secret
metadata:name: mysecret1
type:Opaque
data:username: MTIzCg==password: NDU2Cg==创建podapiVersion: v1
kind: Pod
metadata:name: mypod1
spec:containers:- name: nginximage: nginx:1.22env:- name: USERvalueFrom:secretKeyRef:name: mysecret1
#这里的name指的是secret的名称。
#表示需要用哪个secret来赋值给USERkey: username- name: USER1valueFrom:secretKeyRef:name: mysecret1key: username1
#给nginx:1.22这个容器里面传了两个环境变量。这两个变量的值从secret来。分别是两条mysecret1的加密信息

docker-registry

kubectl create secret docker-registry myharbor --docker-server=20.0.0.36 --docker-username=admin --docker-password=123456
#创建docker-registry。指向harbur仓库的IP主机以及账号密码kubectl describe secrets myharbor
#查看docker-registry的详细信息apiVersion: v1
kind: Pod
metadata:name: mypod2
spec:containers:- name: nginx2image: hub.test.com/library/nginx:v1imagePullSecrets:- name: myharbornodeName: node01
#指定node不走调度策略

ConfigMap

保存的是不需要加密的信息,configmap是1.2引入的功能,应用程序会从配置文件,命令行参数,以及环境变量中读取配置信息,通过configmap在创建容器中,给它注入我们需要的配置信息,既可以是单个的属性,也可以使整个容器的配置文件

configmap的创建方式

1.陈述式

2.声明式

kubectl create configmap game --from-file=/opt/configmap/123.txt --from-file=/opt/configmap/456.txt
#创建configmapkubectl get cm
#查看configmap有多少个
kubectl describe cm game
#查看指定configmap的详细信息
#指定文件创建,可以是一个,也可以是多个

声明式

apiVersion: v1
kind: ConfigMap
metadata:name: bqb
data:gq: shuaiwdf: shua
#configmap是键值对形式。一个键对应一个值kubectl describe cm game
#查看详细信息

引用方式

apiVersion: v1
kind: Pod
metadata:name: mypod2
spec:containers:- name: nginx2image: nginx:1.22env:- name: USER1valueFrom:configMapKeyRef:name: et
#这里的name是configmap的名称key: tyu- name: USER2valueFrom:conigfMapKeyRef:name: etkey: tyu

挂载的方式

数据卷使用comfigmapkubectl create configmap nginx-con --from-file=/opt/configmap/nginx.conf
#创建yaml文件

使用version/config触发滚动更新机制

kubectl patch deployment nginx1 --patch '{"spec": {"template":{"metadata": {"annotations": {"version/config": "20240116"}}}}}'

数据卷使用configMap

  1. 我们通过数据卷的形式,把配置文件传给了pod内部容器
  2. Config的热更新,zaipod运行的情况下,对config的配置信息进行修改,直接生效(反应到容器当中)
  3. Configmap的热更新不会触发pod的滚动更新机制(deployment)

可以通过命令verion

Secret:主要是用来保存加密文件,主要的使用方式就是挂载

ConfigMap:主要作用是把配置信息传给容器,主要方式也是挂载方式

ConfigMap的热更新:热更新可以直接反映到容器的内部,也不会触发pod的更新机制,如果不是需要重启的配置,都可以直接生效

Version/config来触发滚动更新

kubectl patch deployments.apps nginx1 --patch '{"spec": {"template": {"metadata": {"annotations": {"version/confgi": "20240116"}}}}}'

Config和20240116可以自定义

需要重启,可以重启pod

更新: 就是把配置信息重新传到容器内,重启也是一样

ConfigMap:就是把配置信息传给容器,键值对形式保存的,非加密的信息,为什么重要?

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/628046.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Vulnhub-tr0ll-1

一、信息收集 端口收集 PORT STATE SERVICE VERSION 21/tcp open ftp vsftpd 3.0.2 | ftp-anon: Anonymous FTP login allowed (FTP code 230) |_-rwxrwxrwx 1 1000 0 8068 Aug 09 2014 lol.pcap [NSE: writeable] | ftp-syst: | STAT: | FTP …

Java使用Quartz做定时任务并持久化

一、导包 <dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-quartz</artifactId></dependency> 二、创建定时任务 创建一个定时任务如下&#xff0c;需要传入定时任务执行的class、定时任务名字…

【PostgreSQL】函数与操作符-比较函数和操作符

PostgreSQL函数与操作符-比较函数和操作符 PostgreSQL中的比较函数和操作符 PostgreSQL中的比较函数和操作符用于比较两个表达式的值。它们的作用是确定表达式的值是否满足某种条件&#xff0c;例如等于、大于、小于等。 比较函数是一个接受两个参数的函数&#xff0c;返回一…

leetcode-2719统计证书数目

题目链接 2719. 统计整数数目 - 力扣&#xff08;LeetCode&#xff09; 解题思路 题目实际上求的是[num1,...num2]中&#xff0c;数位和在[min_sum,...max_sum]的数的个数。对于这种区间[l,...r]的问题&#xff0c;我们可以考虑转化为求[1,...r]和[1,...l-1]的答案&#xff…

分布式搜索——Elasticsearch

Elasticsearch 文章目录 Elasticsearch简介ELK技术栈Elasticsearch和Lucene 倒排索引正向索引倒排索引正向和倒排 ES概念文档和字段索引和映射Mysql与Elasticsearch 安装ES、Kibana安装单点ES创建网络拉取镜像运行 部署kibana拉取镜像部署 安装Ik插件扩展词词典停用词词典 索引…

Linux 内核大转变:是否将迈入现代 C++ 的时代?

Linux开发者 H. Peter Anvin 在邮件列表中重启了关于 Linux内核C代码转换为C的讨论&#xff0c;并陈述了自己的观点。说之前先看一下这个话题的历史背景。 早在2018年4月1日&#xff0c;Andrew Pinski提议将 Linux 内核源码转为 C&#xff0c;在文中写道之所以引入是由于以下优…

centos7配置时间同步网络时间

centos7配置时间同步网络时间 1、安装 NTP 工具。 sudo yum install -y ntp2启动 NTP 服务。 sudo systemctl start ntpd3、将 NTP 服务设置为开机自启动。 sudo systemctl enable ntpd4、验证 date

50-Js控制元素显示隐藏

1.使用style样式,两个按钮:显示按钮,隐藏按钮 <style>div{width: 300px;height: 300px;background-color: red;transition: .4s;}</style></head><body><button>显示</button><button>隐藏</button><div></div>…

Xmind 网页端登录及多端同步

好久没用 Xmind 了&#xff0c;前几天登录网页端突然发现没办法登录了&#xff0c;总是跳转到 Xmind AI 页面。本以为他们不再支持网页端了&#xff0c;后来看提示才知道只是迁移到了新的网址&#xff0c;由原来的 xmind.works 现在改成了的 xmind.ai。又花费好长时间才重新登录…

WiFi7: MLO操作之AP MLD的发现—ML probe request和response的使用

原文:ML probe request能够让non-AP MLD下的non-AP请求AP MLD下的某AP,要求在response 帧中包含AP MLD下的AP的完整或者部分的capabilities, parameters, operation elements列表。被请求的完整或者部分的AP profile在35.3.3.3(Advertisement of complete or partial per-lin…

JAVAEE——request对象(三)

1. request对象 1.1 知识点 &#xff08;1&#xff09;乱码问题的两种解决方式 &#xff08;2&#xff09;post和get提交的区别 &#xff08;3&#xff09;request接收同名参数的问题 1.2 具体内容 使用request接收参数 <%page contentType"text/html; charsetut…

探索2023年大模型与AIGC峰会:程序员的学习之旅与未来展望

在2023年的技术前沿&#xff0c;大模型与AIGC峰会无疑是一个备受瞩目的盛会。 作为程序员&#xff0c;你将从这次大会中学到什么&#xff1f;这次峰会将为你揭示哪些前沿科技趋势&#xff1f;让我们一起来探讨这个问题。 一、理解大模型与AIGC 大模型和AIGC是人工智能领域中两…

离线数据仓库-关于增量和全量

数据同步策略 数据仓库同步策略概述一、数据的全量同步二、数据的增量同步三、数据同步策略的选择 数据仓库同步策略概述 应用系统所产生的业务数据是数据仓库的重要数据来源&#xff0c;我们需要每日定时从业务数据库中抽取数据&#xff0c;传输到数据仓库中&#xff0c;之后…

x-cmd pkg | mermaid - 流程图、时序图等图表绘制工具

简介 mermaid-cli 是由 Mermaid 官方提供的命令行工具&#xff0c;用于将 Mermaid 语法的文本转换为 SVG / PNG / PDF。 Mermaid 是一个基于 JavaScript 的图表绘制工具&#xff0c;它使用简单的文本描述语法&#xff0c;就可以绘制出流程图、时序图、甘特图等多种图表。 首次…

C++标准学习--智能指针

shared_ptr和weak_ptr的配合使用是个问题。unique_ptr的使用场合似乎比较局限。 文章C 智能指针详解&#xff08;一&#xff09;——unique_ptr - 知乎 (zhihu.com) 介绍了unique_ptr的使用。它可以由shared_ptr转来&#xff0c;主要用到了std::move。 主要场景其中提到&#…

100天精通Python(实用脚本篇)——第112天:图像处理批量给图片添加水印,防盗必备建议收藏!!!(附上脚本代码)

文章目录 专栏导读1. 图片设置水印的意义?2. 需求3. 实现效果4. 添加全屏水印4.1 单张图片添加全屏水印4.2 批量给多张图片添加全屏水印5. 添加指定位置水印5.1 模块介绍5.2 批量添加脚本实现专栏导读 🔥🔥本文已收录于《100天精通Python从入门到就业》:本专栏专门针对零…

ES数据聚合

1.数据聚合 聚合&#xff08;aggregations&#xff09;可以让我们极其方便的实现对数据的统计、分析、运算。例如&#xff1a; 什么品牌的手机最受欢迎&#xff1f; 这些手机的平均价格、最高价格、最低价格&#xff1f; 这些手机每月的销售情况如何&#xff1f; 实现这些…

【JaveWeb教程】(24) Mybatis入门之Mybatis配置与SQL语句编写 详细代码示例讲解(最全面)

目录 Mybatis入门前言1. 快速入门1.1 入门程序分析1.2 入门程序实现1.2.1 准备工作1.2.1.1 创建springboot工程1.2.1.2 数据准备 1.2.2 配置Mybatis1.2.3 编写SQL语句1.2.4 单元测试 1.3 解决SQL警告与提示 Mybatis入门 前言 在前面我们学习MySQL数据库时&#xff0c;都是利用…

解决文库系统 本地转码 libreoffice中文乱码的问题(mkfontscale mkfontdir fc-cache -fv命令)

安装搭建好的文库系统在使用Linux系统libreoffice时&#xff0c;如果系统安装时没有安装中文字体库或者中文字体字库不全&#xff0c;将会导致无法正常生成和显示中文 文库系统中文乱码 转码问题处理好之后的效果&#xff1a; 现在中文显示就正常了 1、要查看系统中已经安…

Vue学习笔记3--全局事件总线

Vue学习笔记3—全局事件总线 1.全局事件总线可以实现任意组件间通信 X需具备的条件&#xff1a; 所有的组件都要能看见X可以调用$on $off $emitVue.prototype.x {a:1, b:2} 可以被所有组件看见VueComponent.protoype.proto Vue.prototype组件实例对象(vc)可以访问到Vue原型上…