【云原生】k8s存儲管理中ConfigMap Secret的使用

1 ConfigMap

1.1 簡介

1.2 優點

1.3 定義 ConfigMap

1.4 使用

2 Secret

2.1 簡介

2.1 定義 Secret

2.2 使用

1 ConfigMap

1.1 簡介

在 Kubernetes 中，ConfigMap 是一種用于存儲非敏感信息的 Kubernetes 對象。它用于存儲配置數據，如鍵值對、整個配置文件或 JSON 數據等。ConfigMap 通常用于容器鏡像中的配置文件、命令行參數和環境變量等。

ConfigMap 可以通過三種方式進行配置數據的注入：

環境變量注入：將配置數據注入到 Pod 中的容器環境變量中。
配置文件注入：將配置數據注入到 Pod 中的容器文件系統中，容器可以讀取這些文件。
命令行參數注入：將配置數據注入到容器的命令行參數中。

1.2 優點

避免了硬編碼，將配置數據與應用代碼分離。
便于維護和更新，可以單獨修改 ConfigMap 而不需要重新構建鏡像。
可以通過多種方式注入配置數據，更加靈活。
可以通過 Kubernetes 的自動化機制對 ConfigMap 進行版本控制和回滾。
ConfigMap 可以被多個 Pod 共享，減少了配置數據的重復存儲。

1.3 定義 ConfigMap

基本操作

# 查看 configmap
$ kubectl get configmap/cm ?
?
# 查看詳細
$ kubectl describe configmap/cm my-config
?
# 刪除 cm
$ kubectl delete cm my-config

命令行創建：
- 可以使用kubectl create configmap命令來創建configmap，具體命令如下：
- ```
$ kubectl create configmap my-config --from-literal=key1=value1 --from-literal=key2=value2
```

通過配置文件創建：推薦

可以通過創建YAML文件的方式來定義configmap的內容。例如，創建一個名為my-config的configmap，內容如下：

apiVersion: v1
kind: ConfigMap
metadata:name: my-config
data:key1: value1key2: value2

apiVersion: v1
kind: ConfigMap
metadata:name: app-config
data:application.yml: |name: xiaochen

然后使用kubectl apply -f命令來創建con

$ kubectl create configmap my-config --from-file=config-files/

figmap。

通過文件創建:

$ echo -n admin >./username
$ echo -n 123456 > ./password
$ kubectl create configmap myconfigmap --from-file=./username --from-file=./password

通過文件夾創建：
- 可以將多個配置文件放在同一個文件夾下，然后使用kubectl create configmap命令來創建configmap，例如：
- 這將創建一個名為my-config的configmap，其中包含config-files/文件夾下所有的文件內容作為鍵值對。
通過環境變量創建：
- 可以將環境變量的值轉換為configmap。例如，使用以下命令將當前環境變量的值轉換為configmap：
- ```
$ kubectl create configmap my-config --from-env-file=<(env)
```

1.4 使用

環境變量中使用

apiVersion: v1
kind: Pod
metadata:name: my-pod
spec:containers:- name: my-containerimage: busyboxcommand: ["/bin/sh", "-c", "echo $BUSY_NAME ; sleep 3600;"]env:# name: 是容器需要環境變量名稱- name: BUSY_NAME# valueForm: value 來源與什么valueFrom:configMapKeyRef: ?# 值來源與 configmap  來源與哪個 configmap 來源與哪個 configmap 中 keyname: app-cmkey: name# 一次性注入這個 configmapenvFrom:- configMapRef:name: my-config

注意: env 是指定 configmap 中某個 key 進行注入 envForm 將 configmap 中內容全部注入

通過 Volume 使用配置

apiVersion: v1
kind: Pod
metadata:name: myapp-pod
spec:containers:- name: myapp-containerimage: busyboxcommand: ["/bin/sh","-c","sleep 3600"]volumeMounts:- name: data-volumemountPath: /datavolumes:- name: data-volumeconfigMap:name: application-cm

2 Secret

2.1 簡介

在 Kubernetes 中，Secret 是一種用于存儲和管理敏感信息的對象類型，如密碼、API密鑰、證書等等。它們與 ConfigMap 相似，但在處理敏感信息時，Secret 會提供更高的安全性和保密性。

Secret 可以用于將這些敏感信息注入到容器中，并確保這些信息在運行時不會被意外泄漏或暴露給其他人。Secret 可以通過多種方式定義和使用，例如直接定義、從文件中加載、從環境變量中加載等。

在 Kubernetes 中，Secrets 通常被用于以下場景：

作為卷掛載到 Pod 中，用于存儲證書、密鑰等敏感文件
在 Pod 中使用環境變量，用于存儲用戶名和密碼等敏感信息
用于存儲 Docker 鏡像倉庫的登錄信息
用于存儲外部服務的 API 密鑰

Secrets 可以在 Pod 的 spec 中通過 volume 和環境變量的方式引用。當容器使用 volume 來引用 Secret 時，Secret 會以文件的形式掛載到容器中。當容器使用環境變量來引用 Secret 時，Secret 中的數據會以 base64 編碼后，以鍵值對的形式注入到容器的環境變量中。

需要注意的是，Secret 并不提供強大的安全保證，只是簡單地將數據存儲在 base64 編碼的形式下，并不提供加密或其他安全措施，因此不要將高度敏感的信息存儲在 Secret 中。在處理高度敏感的信息時，需要使用更高級別的保護機制，如使用加密數據的 Volume 類型，或者使用第三方加密解決方案等。

2.1 定義 Secret

使用命令行創建：

可以使用 kubectl create secret 命令來創建 secret，例如：

$ kubectl create secret generic my-secret --from-literal=username=admin --from-literal=password=admin123

使用 YAML 文件定義：
- 可以創建一個 YAML 文件來定義 Secret 對象，例如：
- ```
apiVersion: v1
kind: Secret
metadata:name: my-secret
type: Opaque
data:username: YWRtaW4= # base64 編碼后的用戶名 adminpassword: MWYyZDFlMmU2N2Rm # base64 編碼后的密碼 1f2d1e2e67df
```
- 注意: 這個 YAML 文件定義了一個名為 my-secret 的 Secret 對象，其中包含了兩個 base64 編碼后的 key-value 對：username 和 password。

使用文件創建:

$ echo -n admin >./username
$ echo -n 123456 > ./password
$ kubectl create secret generic mysecret --from-file=./username --from-file=./password

通過環境變量創建：
- 可以將環境變量的值轉換為secret。例如，使用以下命令將當前環境變量的值轉換為secret：
- ```
$ kubectl create secret generic  my-config --from-env-file=<(env)
```

2.2 使用

環境變量,命令行參數使用 Secret

apiVersion: v1
kind: Pod
metadata:name: my-pod
spec:containers:- name: myapp-containerimage: busyboxcommand: ["/bin/sh","-c","sleep 3600"]env:- name: USERNAMEvalueFrom:secretKeyRef:name: my-secretkey: username- name: PASSWORDvalueFrom:secretKeyRef:name: my-secretkey: password# 一次性注入這個 secretenvFrom:- secretRef:name: my-secretrestartPolicy: Never

volume 使用

apiVersion: v1
kind: Pod
metadata:name: myapp-pod
spec:containers:- name: myapp-containerimage: busyboxcommand: ["/bin/sh","-c","sleep 3600"]volumeMounts:- name: secret-volumemountPath: /datavolumes:- name: secret-volumesecret:secretName: aaa

本文來自互聯網用戶投稿，該文觀點僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務，不擁有所有權，不承擔相關法律責任。
如若轉載，請注明出處：http://www.pswp.cn/news/42800.shtml
繁體地址，請注明出處：http://hk.pswp.cn/news/42800.shtml
英文地址，請注明出處：http://en.pswp.cn/news/42800.shtml

如若內容造成侵權/違法違規/事實不符，請聯系多彩編程網進行投訴反饋email:809451989@qq.com，一經查實，立即刪除！