目录
一、ConfigMap
1、概念:
2、作用:
3、ConfigMap使用
4、如何将这些configmap对象与 Pod 一起使用。
5、把configMap挂载到容器中充当配置文件
二、Secret
1、创建Secret
2、如何使用Secret
三、总结:
一、ConfigMap
1、概念:
是k8s的一种资源对象,可以将配置一key-value的形式传递,用来保存不需要加密的配置信息,使用时,Pod可以将其用作环境变量、命令行参数或者存储卷中的配置文件,如果想保存需要加密的数据,使用Secret
2、作用:
使用ConfigMap将配置数据和应用程序代码分开
3、ConfigMap使用
官网示例:k8s-configMap
创建方式:可以使用kuberctl create configmap 命令基于目录、文件、或者键值对来创建ConfigMap
- 基于键值对创建ConfigMap,即命令行指定ConfigMap参数。使用 --from-liternal
- 基于指定文件创建,即将一个配置文件创建为一个ConfigMap,使用 --from-file=(file)
- 基于指定目录创建,即将一个目录下所有配置文件创建为一个ConfigMap,使用 --from-file=(Directory)
- 基于指定写好的ConfigMap资源的yaml文件,使用 kubectl create -f 创建
1、通过目录,创建configMap,先创建目录
[root@k8s-master-1 test]# mkdir -p configmap/configure-pod-container/configmap/将示例文件下载到目录下
wget https://kubernetes.io/examples/configmap/game.properties --no-check-certificate -O /k8s/kubernetes/cfg/test/configmap/configure-pod-container/configmap/game.properties
wget https://kubernetes.io/examples/configmap/ui.properties --no-check-certificate -O /k8s/kubernetes/cfg/test/configmap/configure-pod-container/configmap/ui.properties#创建ConfigMap
[root@k8s-master-1 configmap]# kubectl create configmap game-config --from-file=/k8s/kubernetes/cfg/test/configmap/configure-pod-container/configmap/
\configmap/game-config created[root@k8s-master-1 configmap]# kubectl get cm
NAME DATA AGE
game-config 2 11s可以看到刚才两个文件的内容被写到configmap里,就可以把configmap挂在到容器里使用[root@k8s-master-1 configmap]# kubectl describe cm game-config
Name: game-config
Namespace: default
Labels: <none>
Annotations: <none>Data
====
game.properties:
----
enemies=aliens
lives=3
enemies.cheat=true
enemies.cheat.level=noGoodRotten
secret.code.passphrase=UUDDLRLRBABAS
secret.code.allowed=true
secret.code.lives=30
ui.properties:
----
color.good=purple
color.bad=yellow
allow.textmode=true
how.nice.to.look=fairlyNiceEvents: <none>2、------通过单个文件创建configMap-----[root@k8s-master-1 configmap]# kubectl create cm game-ui-cm --from-file=/k8s/kubernetes/cfg/test/configmap/configure-pod-container/configmap/ui.properties
configmap/game-ui-cm created[root@k8s-master-1 configmap]# kubectl get cm
NAME DATA AGE
game-config 2 10m
game-ui-cm 1 12s#创建成功,可以看到configmap里只有ui的配置内容
[root@k8s-master-1 configmap]# kubectl describe cm game-ui-cm 也可以使用[root@k8s-master-1 configmap]# kubectl get cm game-config -oyaml查看
Name: game-ui-cm
Namespace: default
Labels: <none>
Annotations: <none>Data
====
ui.properties:
----
color.good=purple
color.bad=yellow
allow.textmode=true
how.nice.to.look=fairlyNice可以修改data部分的键名:--from-file=<我的键名>=<文件路径>,如果不指定名称是按照文件名来命名的。kubectl create cm game-ui-cm --from-file=ui-pro=/k8s/kubernetes/cfg/test/configmap/configure-pod-container/configmap/ui.properties3、----也可以通过env环境变量来创建,使用 --from-env-file 创建 在k8s1.23版本之前使用多指定--from-env-file 创建的话,第二个文件会把第一个文件的env替换调,
1.23版本之后,就会叠加到一起,不在被替换调。再此不做演示可以查看官网示例4、------基于写好的ConfigMao文件创建configmap------# 创建包含 ConfigMapGenerator 的 kustomization.yaml 文件[root@k8s-master-1 configmap]# vim kustomization.yaml
configMapGenerator:
- name: game-config-4labels:game-config: config-4files:- configure-pod-container/configmap/game.properties或者指定一个键名:比如名为 asd-asd=configure-pod-container/configmap/game.properties
使用 kubectl apply -f . 来创建5、------ 基于字面创建configmap ------
[root@k8s-master-1 configmap]# vim kustomization.yamlconfigMapGenerator:- name: special-config-2literals:- special.how=very- special.type=charm6、基于键值对创建 :使用--from-literal参数,指定键值对内容,可以有多个
语法:
kubectl create cm cm_name --from-literal=key1=valus1 --from-literal=key2=value2
示例:kubectl create cm cm_name --from-literal=prot=3306 --from-literal=hostname=root7、清理configmap
[root@k8s-master-1 configmap]# kubectl delete configmap game-config-env-file
4、如何将这些configmap对象与 Pod 一起使用。
1、#示例:
#通过命令行方式先创建一个configmap,使用参数:--from-literal
[root@k8s-master-1 configmap]# kubectl create configmap special-config --from-literal=special.how=very
configmap/special-config created2、#创建一个包含多个键值对的 ConfigMap。
apiVersion: v1kind: ConfigMapmetadata:name: special-confignamespace: defaultdata:SPECIAL_LEVEL: verySPECIAL_TYPE: charm------------使用envFrom 将所有 ConfigMap 的数据定义为容器环境变量,ConfigMap 中的键成为 Pod 中的环境变量名称
apiVersion: v1kind: Podmetadata:name: dapi-test-podspec:nodeName: k8s-node-2 #指定到node-2节点containers:- name: test-containerimage: busyboximagePullPolicy: IfNotPresentcommand: [ "/bin/sh", "-c", "env" ]envFrom:- configMapRef:name: special-config #configMap 名称env: - - - #或者在pod中直接定义环境变量
- - - - name: testvalue: test-value- name: mysqlHostvalue: 10.10.10.10- name: portvalue: "3306"restartPolicy: Never创建完成查看日志就可以看到输出一下环境变量[root@k8s-master-1 configmap]# kubectl logs -f dapi-test-pod
SPECIAL_LEVEL=very
SPECIAL_TYPE=charm
test=test-value
mysqlHost=10.10.10.10
port=3306
5、把configMap挂载到容器中充当配置文件
在 Pod 规约的 volumes 部分下添加 ConfigMap 名称。 这会将 ConfigMap 数据添加到 volumeMounts.mountPath 所指定的目录 (在本例中为 /etc/config)。 command 部分列出了名称与 ConfigMap 中的键匹配的目录文件。
1、使用上边的configMap2、创建pod env的多种编写方式[root@k8s-master-1 configmap]# vim pod-config-volume.yaml
apiVersion: v1
kind: Pod
metadata:name: dapi-test-pod
spec:nodeName: k8s-node-2containers:- name: test-containerimage: busybox:1.28.4imagePullPolicy: IfNotPresentcommand: [ "sleep", "3600" ]volumeMounts:- name: config-volume #这个是下边自定义的volumes的名字mountPath: /mnt- name: xxx mountPath: /mntenvFrom:- configMapRef:name: special-configenv:#定义环境变量- name: SPECIAL_LEVEL # 请注意这里和 ConfigMap 中的键名是不一样的valueFrom:configMapKeyRef:name: special-config # 这个值来自 ConfigMapkey: special_level- name: SPECIAL_TYPE # 请注意这里和 ConfigMap 中的键名是不一样的valueFrom:configMapKeyRef:name: special-config # 这个值来自 ConfigMapkey: special_type env:- name: testvalue: test-value- name: mysqlHostvalue: 10.10.10.10- name: portvalue: "3306"restartPolicy: Nevervolumes:- name: config-volume #自定义configMap:name: special-config # 提供你想要挂载的 ConfigMap 的名字#将 ConfigMap 数据添加到卷中的特定路径,在这里,ConfigMap 中键 SPECIAL_LEVEL 的内容将挂载在 config-volume 卷中 /mnt/keys 文件中。items:- key: SPECIAL_LEVELpath: keys
#可以挂载多个- name: config-volume2 #自定义configMap:name: xxx[root@k8s-master-1 configmap]# kubectl apply -f pod-config-volume.yaml
pod/dapi-test-pod created#创建完成进入容器查看
[root@k8s-master-1 configmap]# kubectl exec -it dapi-test-pod sh
/ # cd mnt/
/mnt # cat SPECIAL_TYPE
charm/mnt #显示的是SPECIAL_TYPE 的值
二、Secret
Secret:用于存储和管理一些敏感数据,它把想要访问的加密数据存放到Etcd中,然后用户就可以通过在Pod的容器里挂载Volume的方式或者环境变量的方式访问到这些Secret里保存的信息了。
类型:3种
- Opaque:使用base64编码存储信息,可以通过base64 --decode解码获得原始数据,因此安全性弱
- kubernetes.io/dockerconfigjson:用于存储docker registry的认证信息
- kubernetes.io/service-account-token:用于被serviceaccount引用,serviceaccount创建时kubernetes会默认创建对应的secret。Pod如果使用了serviceaccount,对应的secret会自动挂载到Pod的 /run/secrets/kubernetes.io/serviceaccount 目录中
Secret 特殊字符处理
特殊字符(例如 $、\、*、= 和 !)因此需要转义。在大多数 Shell 中,对密码进行转义的最简单方式是用单引号(')将其括起来,
例如:password='S!B\*d$zDsb='无需转义 或者使用转义字符\ :password="S!B\\\*d\$zDsb="
1、创建Secret
#创建Secret的几种方式 generic:通用的,一般的加密方式1、使用命令创建 --from-literal
kubectl create secret generic mysecret1 --from-literal=username=admin --from-literal=password=123456
[root@k8s-master-1 secret]# kubectl get secret
NAME TYPE DATA AGE
default-token-6xh94 kubernetes.io/service-account-token 3 41d
mysecret1 Opaque 2 7s
#查看yaml文件,可以看到已加密
[root@k8s-master-1 secret]# kubectl get secret mysecret1 -oyaml
apiVersion: v1
data:password: MTIzNDU2username: YWRtaW4=2、通过from-file(文件)创建
[root@k8s-master-1 secret]# echo -n 'admin' > ./username.txt
[root@k8s-master-1 secret]#
[root@k8s-master-1 secret]# echo -n '123456' > ./password.txt
[root@k8s-master-1 secret]# kubectl create secret generic mysecret2 --from-file=username.txt --from-file=password.txt
secret/mysecret2 created
#创建成功 结果同上3、通过--from-env-file创建
创建一个文件,写入信息
[root@master secret]#vim env.txt
username=admin
password=123456
[root@k8s-master-1 secret]# kubectl create secret generic mysecret3 --from-env-file=env.txt
secret/mysecret3 created
#创建成功,查询结果同上4、通过yaml文件创建4.1把需要保存的数据加密[root@k8s-master-1 secret]# echo admin |base64YWRtaW4K4.2编写secret 的yaml文件。如果你不希望执行 base64 编码转换,可以使用 stringData 字段代替,如果同时写了data和stringData,则stringData的优先级高,data会被忽略
[root@k8s-master-1 secret]# vim mysecret4.yaml apiVersion: v1kind: Secretmetadata:name: mysecret4data:username: YWRtaW4=password: MTIzNDU2
#或者使用stringDatastringData:username: adminpassword: "123456" #注意一定要加引号,不然报错,规范问题
2、如何使用Secret
1、以volume挂载的方式使用Secret
Secret可以作为数据卷挂载或者作为环境变量暴露给Pod中的容器使用,也可以被系统中的其他资源使用。
在Pod中以文件形式使用secret1、创建一个Secret,多个Pod可以应用一个Secret2、修改Pod的定义,在spec.volumes[]加一个volume,给这个volume起个名字,spec.volumes[].volume.secretName记录的是要引用Secret的名字3、在每个需要使用Secret的容器中添加一项spec.containers[].columeMounts[],指定spec.containers[].volumeMounts[].readOnly=true,spec.containers[].columeMounts[].mountPath要指向一个未被使用的系统路径4、修改镜像或者命令行使系统可以找到上一步指定的路径,此时Secret中data字段的每一个key都是指定路径下的一个文件名创建yaml文件
apiVersion: v1
kind: Pod
metadata:name: secret-test-pod
spec:nodeName: k8s-node-2containers:- name: test-containerimage: busybox:1.28.4imagePullPolicy: IfNotPresentcommand: [ "/bin/sh", "-c", "sleep 3600" ]volumeMounts:- name: secret-test #这个是自定义的volumes的名字mountPath: /mntreadOnly: true #是否只读restartPolicy: Nevervolumes:- name: secret-test #自定义secret:secretName: mysecret2 #要使用的Secret名字[root@k8s-master-1 secret]# kubectl apply -f secret-pod.yaml
创建完成 进入容器,在/mnt下就可以看到两个文件
/mnt # ls
password.txt username.txt#测试是否为只读
/mnt # echo admin > username.txt
sh: can't create username.txt: Read-only file system1.1 自定义容器中的目录
volumes:
- name: secret-test #自定义secret:secretName: mysecret2 #要使用的Secret名字items:- key: usernamepath: my-group/my-username #自定义的容器中的目录- key: passwordpath: my-group/my-password #自定义的容器中的目录
1.2 如果,现在将secret资源内保存的数据进行更新,那么,使用次数据的应用内,数据是否也会被更新?会实时更新示例:更新mysecret2文件,把密码改成admin然后在进入使用secret的容器secret-test-pod 中,看看密码是否被更新[root@k8s-master-1 secret]# kubectl edit secret mysecret2secret/mysecret2 edited[root@k8s-master-1 secret]# kubectl exec -it secret-test-pod -- sh/mnt # cat password.txt admin/mnt #此时密码已经被更新了
imagePullSecrets:Pod拉去私有镜像仓库时使用的账户密码,里边的账户信息,会传递给kubelet,然后kubelet就可以拉取有密码仓库里面的镜像
[root@k8s-master-1 secret]# kubectl create secret docker-registry docker-secret \
> --docker-server=hub.docker.com \
> --docker-username=DOCKER_USER \
> --docker-password=DOCKER_PASSWORD \
> --docker-email=DOCKER_EMAIL
secret/docker-secret created
[root@k8s-master-1 secret]# kubectl get secret
NAME TYPE DATA AGEdocker-secret kubernetes.io/dockerconfigjson 1 8s使用:
在pod中加入imagePullSecrets 和containers是同级
containers:
imagePullSecrets:- name: docker-secret #创建的docker-registry 名字
2、以环境变量的方式创建secret,多个Pod可以引用同一个Secret,修改Pod的定义,定义环境变量并使用env[].valueFrom.secretKeyRef指定secret和相应的KEY
[root@k8s-master-1 secret]# vim env-pod.yaml
apiVersion: v1
kind: Pod
metadata:name: env-secret-pod
spec:nodeName: k8s-node-2containers:- name: test-containerimage: busybox:1.28.4imagePullPolicy: IfNotPresentcommand: [ "/bin/sh", "-c", "sleep 3600" ]env:- name: SECRET_USERNAMEvalueFrom:secretKeyRef:name: mysecret3key: username- name: SECRET_PASSWORDvalueFrom:secretKeyRef:name: mysecret3key: passwordd
创建成功,进入容器查看环境变量
[root@k8s-master-1 secret]# kubectl exec -it env-secret-pod -- sh
/ #echo $SECRET_USERNAME
admin
/ # echo $SECRET_PASSWORD
123456
此时 修改secret文件的内容,在进入容器查看的时候,发现容器的信息并没有被更新
三、总结:
如果引用Secret数据的应用,会随着secret资源对象内保存的数据的更新,而实时更新,那么应该使用volumes挂载的方式引用资源,因为环境变量的方式引用不会实时更新数据。
ConfigMap和Secret的区别:
相同点:
- key/value的形式
- 属于某个特定的namespaces
- 可以导出到环境变量
- 可以通过目录/文件形式挂载
- 通过volume挂载的配置均可热更新
不同点:
- Secret 可以被 ServerAccount 关联
- Secret 可以存储 docker register 的鉴权信息,用在 ImagePullSecret 参数中,用于拉取私有仓库的镜像
- Secret 支持 Base64 加密
- Secret 分为 kubernetes.io/service-account-token、kubernetes.io/dockerconfigjson、Opaque 三种类型,而 Configmap 不区分类型