应用配置管理|学习笔记-阿里云开发者社区

应用配置管理|学习笔记

2022-11-12 101

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

本文涉及的产品

容器服务 Serverless 版 ACK Serverless，952元额度多规格

容器服务 Serverless 版 ACK Serverless，317元额度多规格

容器镜像服务 ACR，镜像仓库100个不限时长

简介： 快速学习应用配置管理

开发者学堂课程【Kubernetes 入门：应用配置管理】学习笔记，与课程紧密联系，让用户快速学习知识。

课程地址：https://developer.aliyun.com/learning/course/51/detail/1014

应用配置管理

内容介绍

一、需求来源

二、ConfigMap

三、Secret

四、ServiceAccount

五、Resource

六、SecurityContext

七、InitContainer

一、需求来源

背景问题

除了依托容器镜像来定义运行的 Container，Pod还需要解决如下问题

1．不可变基础设施(容器)的可变配置

2．敏感信息的存储和使用(如:密码, token 等)

3．集群中 Pod 自我的身份认证

4．容器运行资源的配置管理

5.容器的运行安全管控

6.容器启动前置条件校验等

Pod 的配置管理

二、ConfigMap

1、ConfigMap 介绍

主要管理容器运行所需的配置文件，环境变量，命令行参数等可变配置。用于解耦容器镜像和可变配置，从而保障工作负载(Pod)的可移植性。

2、ConfigMap 创建

创建命令: kubectl create configmap [NAME] [DATA]

其中 DATA:

-指定文件或者目录

-指定键值对

3、ConfigMap 使用

ConfigMap 主要被 Pod 使用，一般用于挂载 Pod 用的配置文件，环境变量，命令行参数等。

4、ConfigMap 使用注意点

l ConfigMap 文件大小限制:1MB (ETCD 的要求)2. Pod 只能引用相同 Namespace 中的 ConfigMap

l Pod 引用的 ConfigMap 不存在时，Pod 无法创建成功。即 Pod 创建前需要先创建好 ConfigMap。

l 使用 envFrom 从 ConfigMap 来配置环境变量时，如果 ContigMap 中的某些 Kéy 放认为无效(比如 key 名称中带有数字)，该环境变量将不会注入容器，但是 Pod 口]以正常创建。

l 只有通过 k8s api 创建的 pod 才能使用 ConfigMap，其他方式创建的 pod (如manifest 创建的 static pod)不能使 ConfigMap

三、Secret

1、Secret 介绍

Secret 是在集群中用于存储密码,token 等敏感信息用的资源对象。其中的敏感数据采用 base-64 编码保存，相比存储在明文的 ConfigMap 中更规范，更安全。

Secret 主要有如下类型:

type=Opaque

type=kubernetes.io/service-account-token

type=kubernetes.io/dockerconfigjson

type=bootstrap.kubernetes.io/token

2、Secret 创建

n Secret 创建可以是用户自己创建，也有 Secret 是系统自动创建

n -比如:K8S 为每个 namespace 的默认用户(default ServiceAccount)创建的 Secret

n 手动创建命令: kubectl create secret generic [NAME] [DATA] [TYPE]

n 其中 DATA:可以指定文件/键值对

n 另外 TYPE:默认为 Opaque

3、Secret 使用

Secret 主要被 Pod 使用，一般通过 volume 挂载到指定容器目录，供容器中业务使用。另外在需要访问私有镜像仓库时，也可以引用 Secret 来实现。

4、使用私有镜像库

私有镜像仓库的信息可以通过 Secret(kubernetes.io/dockerconfigjson)存储在集群中，Pod 如果需要使用私有镜像仓库，可以通过如下两种方式来配置

l Pod.spec.imagePullSecrets 来指定 secret

l ServiceAccount 中设置 imagePullSecrets，然后自动为使用该 SA 的 Pod 注入 imagePullSecrets 信息。

5、Secret 使用的注意点

l Secret 文件大小限制:1MB

l Secret 虽然采用 base-64编码，但是可以简单解码查看原始信息。因此机密信息采用 Secret 存储仍需要慎重考虑或者 Secret 访问者进行控制。对 Secret 加密有较强需求，可以考虑结合 Kubernetes + Vault 来解决敏感信息的加密和权限管理。

l Secret 最佳实践:因为 list/watch 的一般处理将获取到 namespace 下所有 secret,因此不建议采取 list/watch 方式获取 Secret 信息。而推荐使用 GET 来获取需要的 Secret，从而减少更多 Secret 暴露的可能性。

四、ServiceAccount

1、ServiceAccount 介绍

ServiceAccount 主要用于解决 Pod 在集群中的身份认证问题。其中认证使用的授权信息，则利用前面讲到 Secret(type=kubernetes.io/service-account-token) 进行管理.

2、举例:Pod 里的应用访问它所属的 K8s 集群

实现原理:

1.Pod 创建时 Admission Controller 会根据指定的 ServiceAccount(默认为 default)把对应的 Secret 挂载到容器中固定的目录下(/var/run/secrets/kubernetes.io/serviceaccount)。(*k8s 自动实现)

2.当 Pod 访问集群时，可以默认利用 Secret 其中的 token 文件来认证 Pod 的身份。(ca.crt 用于校验服务端)参照右边代码)

3.默认 token 的认证信息为:

- Group: system:serviceaccounts:[namespace-name]

- User: system:serviceaccount:[namespace-name]:[pod-name]

五、Resource

1、容器资源配置管理支持资源类型:

-CPU:单位: millicore (1 Core=1000millicore)

- Memory:单位: Byte

- ephemeral storage(临时存储):单位: Byte

-自定义资源:配置时必须为整数

配置方法:

资源配置分为 request/limit 两种类型

- CPU:

lspec.containers[].resources.limits.cpu

spec.containers[].resources.requests.cpu

- Memory:

l spec.containers[].resources.limits.memory

spec.containers[].resources.requests.memory

- ephemeral storage(临时存储):

l spec.containers[].resources.limits.ephemeral-storage

l spec.containers[].resources.requests.ephemeral-storage

2、Pod 服务质量(QoS)配置

l 依据容器对 CPU,Memory 资源的 request/limit 需求，Pod 服务质量分类:

- Guaranteed

- Burstable

- BestEffort

l Guaranteed 定义:

- Pod 里的每个容器都必须有内存限制和请求，而且必须是一样的

- Pod 里的每个容器都必须有 CPU 限制和请求，而且必须是一样的

l Burstable 定义:

-非 Guaranteed

- Pod 里至少有一个容器有内存或者 CPU 请求

l BestEffort 定义:

-非 Guaranteed

-非 Burstable

六、Security Context

1、Security Context 介绍

Security Context 主要用于限制容器的行为，从而保障系统和其他容器的安全。

l 容器级别的 Security Context:仅对指定容器生效

l Pod 级别的 Security Context:对指定 Pod 中的所有容器生效

l Pod Security Policies(PSP):对集群内所有 Pod 生效

权限和访问控制设置项:

l Discretionary Access Control:根据用户 id 和组 id 来控制文件访问权限

l SELinux:通过 SELinux 的策略配置控制用户，进程等对文件等访问控制

l privileged:容器是否为特权模式

l Linux Capabilities:给特定进程配置 privileged 能力

l AppArmor:控制可执行文件的访问控制权限(读写文件/目录，网络端口读写等)

l Seccomp:控制进程可以操作的系统调用

l AllowPrivilegeEscalation:控制一个进程是否能比其父进程获取更多的权限

七、initContainer

1、initContainer 介绍

InitContainer 和普通 Container 的区别:

l lnitContainer 会先于普通 Container 启动执行，直到所有 InitContainer 执行成功后，普通 Container 才会被启动

l Pod 中多个 InitContainer 之间是按次序依次启动执行，而 Pod 中多个普通 Container 是并行启动

l InitContainer 执行成功后就结束退出了，而普通容器可能会一直执行或者重启(restartPolicy!=Never)

2、lnitContainer 用途:

基于 InitContainer 和普通 Container 的区别，一般 InitContainer 用于普通 Container 启动前的初始化(如配置文件准备)或者普通 Container 启动的前置条件检验(如网络连通检验)。