k8s--配置存储 ConfigMap、Secret

简介: k8s--配置存储 ConfigMap、Secret

介绍


ConfigMap 是一种 API 对象,用来将非机密性的数据保存到健值对中。使用时可以用作环境变量、命令行参数或者存储卷中的配置文件。

ConfigMap 将环境配置信息和容器镜像解耦,便于应用配置的修改。当你需要储存机密信息时可以使用 Secret 对象。

备注:ConfigMap 并不提供保密或者加密功能。如果你想存储的数据是机密的,请使用 Secret;或者使用其他第三方工具来保证数据的私密性,而不是用 ConfigMap

有三种创建方式

  • 使用目录创建
  • 使用文件创建
  • 使用字面值创建


使用目录创建


文件内容如下

执行下面命令生成

kubectl create configmap game-config --from-file=/root/config
  • —from-file:指定在目录下的所有文件都会被用在 ConfigMap 里面创建一个键值对,键的名字就是文件名,值就是文件的内容
  • game-config:自定义的名称

也可以通过下面命令查看有多少个 ConfigMap

kubectl get cm # cm 是  ConfigMap 的缩写

查看详细信息

kubectl describe cm game-config  # cm 是 ConfigMap 的缩写,game-config 是创建时候起的名字

使用文件创建

使用文件创建和使用目录创建的方式是一样的,只是把目录改为具体的文件即可,例如我们需要把上面的 game.file 使用文件创建,执行下面命令

kubectl create configmap game-config2 --from-file=/root/config/game.file # 这里起的名称叫 game-config2

--from-file 这个参数可以使用多次,你可以使用两次分别指定上个实例中的那两个配置文件,效果就跟指定整个目录是一样的

使用字面值创建

使用文字值创建,利用 —from-literal 参数传递配置信息,该参数可以使用多次,格式如下

# literal-config 为名称,name 和 password 是 key,dave 和 pass 是 value
kubectl create configmap literal-config --from-literal=name=dave --from-literal=password=pass


Pod 中使用 ConfigMap 对象


创建 configmap.yaml,内容如下:

apiVersion: v1
kind: ConfigMap # 类型为 ConfigMap
metadata:
  name: configmap # ConfigMap 的名称
  namespace: zouzou
data:
  info: |  # 挂载到容器里 | 前的是文件名,后面的是文件里的内容
    username:admin
    password:123456

接下来,使用此配置文件创建 configmap

# 创建 configmap
[root@dce-10-6-215-215 pod-dir]# kubectl create -f configmap.yaml
configmap/configmap created

查看 configmap

# cm 是 configmap 的缩写
[root@dce-10-6-215-215 pod-dir]# kubectl get cm -n zouzou -o wide
NAME        DATA   AGE
configmap   1      47s

查看 configmap 的详情

# 查看 configmap 的详情
[root@dce-10-6-215-215 pod-dir]# kubectl describe cm -n zouzou
Name:         configmap
Namespace:    zouzou
Labels:       <none>
Annotations:  <none>
Data
====
info:
----
username:admin
password:123456
Events:  <none>

接下来创建一个 pod-configmap.yaml,将上面创建的  configmap 挂载进去

apiVersion: v1
kind: Pod # 类型为 pod
metadata:
  name: pod-configmap # pod 的名称
  namespace: zouzou
spec:
  containers:
  - name: nginx
    image: nginx:1.14
    volumeMounts: # 将 configmap 挂载到目录
    - name: config # 名称要和下面 volumes 里的 name 的值一样
      mountPath: /configmap/config # 挂载到容器里的这个路径下
  volumes: # 引用configmap
  - name: config  # 名称要和上面 volumeMounts 里的 name 的值一样
    configMap:
      name: configmap # 这个名称要和 configmap.yaml 文件里的 name 的名称对应

创建 pod

# 创建 pod
[root@dce-10-6-215-215 pod-dir]# kubectl create -f pod-configmap.yaml
pod/pod-configmap created

查看 pod

# 查看 pod,pod 正常运行
[root@dce-10-6-215-215 pod-dir]# kubectl get pod -n zouzou -o wide
NAME            READY   STATUS    RESTARTS   AGE   IP             NODE               NOMINATED NODE   READINESS GATES
pod-configmap   1/1     Running   0          43s   172.29.35.62   dce-10-6-215-200   <none>           <none>

进入到 pod 容器里面,查看挂载的文件是否在容器里面

[root@dce-10-6-215-215 pod-dir]# kubectl exec -it pod-configmap -n zouzou /bin/sh
kubectl exec [POD] [COMMAND] is DEPRECATED and will be removed in a future version. Use kubectl kubectl exec [POD] -- [COMMAND] instead.
# cd /configmap/config/
# ls
info
# cat info
username:admin
password:123456

可以看到映射已经成功,每个 configmap 都映射成了一个目录

key--->文件 value---->文件中的内容

此时如果更新 configmap 的内容, 容器中的值也会动态更新(需要点时间才会更新过去)


Secret


在 kubernetes 中,还存在一种和 ConfigMap 非常类似的对象,称为 Secret 对象。它主要用于存储敏感信息,例如密码、秘钥、证书等等

首先使用 base64 对数据进行编码

[root@dce-10-6-215-215 pod-dir]# echo -n admin | base64
YWRtaW4=
[root@dce-10-6-215-215 pod-dir]# echo -n 123456 | base64
MTIzNDU2

接下来编写 secret.yaml,并创建 Secret

apiVersion: v1
kind: Secret # 类型为Secret
metadata:
  name: secret # Secret 的名称
  namespace: zouzou
type: Opaque
data:
  username: YWRtaW4=  #  上面 base64 加密后的数据
  password: MTIzNDU2 #  上面 base64 加密后的数据

创建 secret

# 创建 secret
[root@dce-10-6-215-215 pod-dir]# kubectl create -f secret.yaml
secret/secret created

查看 secret

# 查看 secret
[root@dce-10-6-215-215 pod-dir]# kubectl get secret -n zouzou
NAME                  TYPE                                  DATA   AGE
default-token-cvq85   kubernetes.io/service-account-token   3      2d1h
secret                Opaque                                2      96s
[root@dce-10-6-215-215 pod-di

查看 secret 详情

# 查看详情
[root@dce-10-6-215-215 pod-dir]# kubectl describe secret secret -n zouzou
Name:         secret
Namespace:    zouzou
Labels:       <none>
Annotations:  <none>
Type:  Opaque
Data
====
password:  6 bytes
username:  5 bytes

创建 pod-secret.yaml,将上面创建的 secret 挂载进去

apiVersion: v1
kind: Pod # 类型为 pod
metadata:
  name: pod-secret # pod 的名称
  namespace: zouzou
spec:
  containers:
  - name: nginx
    image: nginx:1.14
    volumeMounts: # 将 secret 挂载到目录
    - name: config
      mountPath: /secret/config # 容器里的路径
  volumes:
  - name: config
    secret: # secret
      secretName: secret

创建 pod

# 创建 pod
[root@dce-10-6-215-215 pod-dir]# kubectl create -f pod-secret.yaml
pod/pod-secret created

查看 pod

# 查看 pod
[root@dce-10-6-215-215 pod-dir]# kubectl get pod -n zouzou -o wide
NAME         READY   STATUS    RESTARTS   AGE   IP             NODE               NOMINATED NODE   READINESS GATES
pod-secret   1/1     Running   0          29s   172.29.35.63   dce-10-6-215-200   <none>           <none>

进入容器,查看 secret 信息,发现已经自动解码了

至此,已经实现了利用 secret 实现了信息的编码。


相关实践学习
通过Ingress进行灰度发布
本场景您将运行一个简单的应用,部署一个新的应用用于新的发布,并通过Ingress能力实现灰度发布。
容器应用与集群管理
欢迎来到《容器应用与集群管理》课程,本课程是“云原生容器Clouder认证“系列中的第二阶段。课程将向您介绍与容器集群相关的概念和技术,这些概念和技术可以帮助您了解阿里云容器服务ACK/ACK Serverless的使用。同时,本课程也会向您介绍可以采取的工具、方法和可操作步骤,以帮助您了解如何基于容器服务ACK Serverless构建和管理企业级应用。 学习完本课程后,您将能够: 掌握容器集群、容器编排的基本概念 掌握Kubernetes的基础概念及核心思想 掌握阿里云容器服务ACK/ACK Serverless概念及使用方法 基于容器服务ACK Serverless搭建和管理企业级网站应用
相关文章
|
3月前
|
JSON Kubernetes API
深入理解Kubernetes配置:编写高效的YAML文件
深入理解Kubernetes配置:编写高效的YAML文件
|
4月前
|
存储 Kubernetes 容器
Kubernetes 存储选项:持久化卷与存储类
【8月更文第29天】随着容器化的普及,越来越多的应用程序需要持久化数据以保持状态信息。Kubernetes 提供了一套完整的解决方案来管理和配置持久化存储,包括持久卷 (Persistent Volume, PV)、持久卷声明 (Persistent Volume Claim, PVC) 和存储类 (StorageClass)。本文将详细介绍这些概念,并通过实际示例来演示如何在 Kubernetes 中配置存储。
367 1
|
1月前
|
Kubernetes 监控 Java
如何在Kubernetes中配置镜像和容器的定期垃圾回收
如何在Kubernetes中配置镜像和容器的定期垃圾回收
|
2月前
|
Kubernetes 关系型数据库 MySQL
|
2月前
|
存储 Kubernetes 开发工具
k8s学习--ConfigMap详细解释与应用
ConfigMap 是 Kubernetes 中用于管理非机密配置数据的 API 对象,可将应用配置与容器分离,便于动态管理和更新。它支持四种创建方式:命令行参数、多个文件、文件内的键值对以及 YAML 资源清单文件。ConfigMap 可通过环境变量或挂载为卷的方式传递给 Pod,并且当通过卷挂载时支持热更新。这使得配置管理更加灵活和安全,无需重新部署应用即可更新配置。
110 0
|
2月前
|
存储 Kubernetes 数据安全/隐私保护
k8s学习--Secret详细解释与应用
Secret 支持四种类型: - **Opaque Secrets**:存储任意类型机密数据,需自行加密。 - **Service Account Token Secrets**:自动管理 API 访问令牌。 - **Docker Registry Secrets**:存储 Docker 私有仓库认证信息。 - **TLS Secrets**:存储 TLS 证书和私钥,用于加密通信。
219 0
|
4月前
|
存储 Kubernetes 数据安全/隐私保护
k8s学习笔记之ConfigMap和Secret
k8s学习笔记之ConfigMap和Secret
|
4月前
|
存储 Kubernetes 容器
k8s创建NFS动态存储
k8s创建NFS动态存储
|
Kubernetes 数据安全/隐私保护 容器
Kubernetes(六) - Secret和私有仓库认证
对一个公司来说安全也是最为重要的因为可能一旦出现安全问题可能这个公司就完了,所以对密码管理是一个长久不变的话题,Kubernetes对密码管理提供了Secret组件进行管理,最终映射成环境变量,文件等方式提供使用,统一进行了管理更换方便,并且开发人员并不需要关心密码降低了密码的受众范围从而保障了安全.
1407 0
|
9天前
|
存储 Kubernetes 关系型数据库
阿里云ACK备份中心,K8s集群业务应用数据的一站式灾备方案
本文源自2024云栖大会苏雅诗的演讲,探讨了K8s集群业务为何需要灾备及其重要性。文中强调了集群与业务高可用配置对稳定性的重要性,并指出人为误操作等风险,建议实施周期性和特定情况下的灾备措施。针对容器化业务,提出了灾备的新特性与需求,包括工作负载为核心、云资源信息的备份,以及有状态应用的数据保护。介绍了ACK推出的备份中心解决方案,支持命名空间、标签、资源类型等维度的备份,并具备存储卷数据保护功能,能够满足GitOps流程企业的特定需求。此外,还详细描述了备份中心的使用流程、控制台展示、灾备难点及解决方案等内容,展示了备份中心如何有效应对K8s集群资源和存储卷数据的灾备挑战。