配置管理中心Configmap和Secret
Configmap参考文献:https://www.qikqiak.com/k8strain/config/configmap/Configmap概述什么是Configmap?Configmap是k8s中的资源对象,用于保存非机密性的配置的,数据可以用key/value键值对的形式保存,也可通过文件的形式保存。Configmap能解决哪些问题?我们在部署服务的时候,每个服务都有自己的配置文件,如果
Configmap参考文献:
https://www.qikqiak.com/k8strain/config/configmap/
Configmap概述
什么是Configmap?
Configmap是k8s中的资源对象,用于保存非机密性的配置的,数据可以用key/value键值对的形式保存,也可通过文件的形式保存。
Configmap能解决哪些问题?
我们在部署服务的时候,每个服务都有自己的配置文件,如果一台服务器上部署多个服务:nginx、tomcat、apache等,那么这些配置都存在这个节点上,假如一台服务器不能满足线上高并发的要求,需要对服务器扩容,扩容之后的服务器还是需要部署多个服务:nginx、tomcat、apache,新增加的服务器上还是要管理这些服务的配置,如果有一个服务出现问题,需要修改配置文件,每台物理节点上的配置都需要修改,这种方式肯定满足不了线上大批量的配置变更要求。 所以,k8s中引入了Configmap资源对象,可以当成volume挂载到pod中,实现统一的配置管理。
1、Configmap是k8s中的资源, 相当于配置文件,可以有一个或者多个Configmap;
2、Configmap可以做成Volume,k8s pod启动之后,通过 volume 形式映射到容器内部指定目录上;
3、容器中应用程序按照原有方式读取容器特定目录上的配置文件。
4、在容器看来,配置文件就像是打包在容器内部特定目录,整个过程对应用没有任何侵入。
Configmap应用场景
1、使用k8s部署应用,当你将应用配置写进代码中,更新配置时也需要打包镜像,configmap可以将配置信息和docker镜像解耦,以便实现镜像的可移植性和可复用性,因为一个configMap其实就是一系列配置信息的集合,可直接注入到Pod中给容器使用。configmap注入方式有两种,一种将configMap做为存储卷,一种是将configMap通过env中configMapKeyRef注入到容器中。
2、使用微服务架构的话,存在多个服务共用配置的情况,如果每个服务中单独一份配置的话,那么更新配置就很麻烦,使用configmap可以友好的进行配置共享。
局限性
ConfigMap在设计上不是用来保存大量数据的。在ConfigMap中保存的数据不可超过1 MiB。如果你需要保存超出此尺寸限制的数据,可以考虑挂载存储卷或者使用独立的数据库或者文件服务。
Configmap创建方法
命令行直接创建
直接在命令行中指定configmap参数创建,通过–from-literal指定参数
[root@kaivimaster1 ~]# kubectl create configmap tomcat-config --from-literal=tomcat_port=8080 --from-literal=server_name=myapp.tomcat.com
[root@kaivimaster1 ~]# kubectl describe configmap tomcat-config
Name: tomcat-config
Namespace: default
Labels: <none>
Annotations: <none>
Data
====
server_name:
----
myapp.tomcat.com
tomcat_port:
----
8080
Events: <none>
通过文件创建
通过指定文件创建一个configmap,–from-file=<文件>
[root@kaivimaster1 ~]# vim nginx.conf
server {
server_name www.nginx.com;
listen 80;
root /home/nginx/www/
}
#定义一个key是www,值是nginx.conf中的内容
[root@kaivimaster1 ~]# kubectl create configmap www-nginx --from-file=www=./nginx.conf
[root@kaivimaster1 ~]# kubectl describe configmap www-nginx
Name: www-nginx
Namespace: default
Labels: <none>
Annotations: <none>
Data
====
www:
----
server {
server_name www.nginx.com;
listen 80;
root /home/nginx/www/
}
指定目录创建configmap
[root@kaivimaster1 ~]# mkdir test-a
[root@kaivimaster1 ~]# cd test-a/
[root@kaivimaster1 test-a]# cat my-server.cnf
server-id=1
[root@kaivimaster1 test-a]# cat my-slave.cnf
server-id=2
#指定目录创建configmap
[root@kaivimaster1 test-a]# kubectl create configmap mysql-config --from-file=/root/test-a/
#查看configmap详细信息
[root@kaivimaster1 test-a]# kubectl describe configmap mysql-config
Name: mysql-config
Namespace: default
Labels: <none>
Annotations: <none>
Data
====
my-server.cnf:
----
server-id=1
my-slave.cnf:
----
server-id=2
Events: <none>
编写configmap资源清单YAML文件
[root@kaivimaster1 mysql]# cat mysql-configmap.yaml
apiVersion: v1
kind: ConfigMap
metadata:
name: mysql
labels:
app: mysql
data:
master.cnf: |
[mysqld]
log-bin
log_bin_trust_function_creators=1
lower_case_table_names=1
slave.cnf: |
[mysqld]
super-read-only
log_bin_trust_function_creators=1
使用Configmap
通过环境变量引入:使用configMapKeyRef
创建一个存储mysql配置的configmap
[root@kaivimaster1 ~]# cat mysql-configmap.yaml
apiVersion: v1
kind: ConfigMap
metadata:
name: mysql
labels:
app: mysql
data:
log: "1"
lower: "1"
[root@kaivimaster1 ~]# kubectl apply -f mysql-configmap.yaml
创建pod,引用Configmap中的内容
[root@kaivimaster1 ~]# cat mysql-pod.yaml
apiVersion: v1
kind: Pod
metadata:
name: mysql-pod
spec:
containers:
- name: mysql
image: busybox
command: [ "/bin/sh", "-c", "sleep 3600" ]
env:
- name: log_bin #定义环境变量log_bin
valueFrom:
configMapKeyRef:
name: mysql #指定configmap的名字
key: log #指定configmap中的key
- name: lower #定义环境变量lower
valueFrom:
configMapKeyRef:
name: mysql
key: lower
restartPolicy: Never
更新资源清单文件
[root@kaivimaster1 ~]# kubectl apply -f mysql-pod.yaml
[root@kaivimaster1 ~]# kubectl exec -it mysql-pod -- /bin/sh
/ # printenv
log_bin=1
lower=1
通过环境变量引入:使用envfrom
[root@kaivimaster1 ~]# cat mysql-pod-envfrom.yaml
apiVersion: v1
kind: Pod
metadata:
name: mysql-pod-envfrom
spec:
containers:
- name: mysql
image: busybox
imagePullPolicy: IfNotPresent
command: [ "/bin/sh", "-c", "sleep 3600" ]
envFrom:
- configMapRef:
name: mysql #指定configmap的名字
restartPolicy: Never
更新资源清单文件
[root@kaivimaster1 ~]# kubectl apply -f mysql-pod-envfrom.yaml
[root@kaivimaster1 ~]# kubectl exec -it mysql-pod-envfrom -- /bin/sh
/ # printenv
lower=1
log=1
把configmap做成volume,挂载到pod
[root@kaivimaster1 ~]# cat mysql-configmap.yaml
apiVersion: v1
kind: ConfigMap
metadata:
name: mysql
labels:
app: mysql
data:
log: "1"
lower: "1"
my.cnf: |
[mysqld]
Welcome=kaivi
[root@kaivimaster1 ~]# kubectl apply -f mysql-configmap.yaml
[root@kaivimaster1 ~]# cat mysql-pod-volume.yaml
apiVersion: v1
kind: Pod
metadata:
name: mysql-pod-volume
spec:
containers:
- name: mysql
image: busybox
command: [ "/bin/sh","-c","sleep 3600" ]
volumeMounts:
- name: mysql-config
mountPath: /tmp/config
volumes:
- name: mysql-config
configMap:
name: mysql
restartPolicy: Never
[root@kaivimaster1 ~]# kubectl apply -f mysql-pod-volume.yaml
[root@kaivimaster1 ~]# kubectl exec -it mysql-pod-volume -- /bin/sh
/ # cd /tmp/config/
/tmp/config # ls
log lower my.cnf
Configmap热更新
[root@kaivimaster1~]# kubectl edit configmap mysql
把logs: “1”变成log: “2”
保存退出
[root@kaivimaster1~]# kubectl exec -it mysql-pod-volume -- /bin/sh
/ # cat /tmp/config/log
2
发现log值变成了2,更新生效了
注意:
更新 ConfigMap 后:
使用该 ConfigMap 挂载的 Env 不会同步更新
使用该 ConfigMap 挂载的 Volume 中的数据需要一段时间(实测大概10秒)才能同步更新
只有通过 Kubernetes API 创建的 Pod 才能使用 ConfigMap,其他方式创建的(比如静态 Pod)不能使用;ConfigMap 文件大小限制为 1MB(ETCD 的要求)
配置管理中心Secret
Secret参考文献:
https://www.qikqiak.com/k8strain/config/secret/
Secret概述
Secret是什么?
上面我们学习的Configmap一般是用来存放明文数据的,如配置文件,对于一些敏感数据,如密码、私钥等数据时,要用secret类型。
Secret解决了密码、token、秘钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。
要使用 secret,pod 需要引用 secret。Pod 可以用两种方式使用 secret:作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里,或者当 kubelet 为 pod 拉取镜像时使用。
secret可选参数有三种:
generic: 通用类型,通常用于存储密码数据。
tls:此类型仅用于存储私钥和证书。
docker-registry:若要保存docker仓库的认证信息的话,就必须使用此种类型来创建。
Secret类型:
Service Account:用于被 serviceaccount 引用。serviceaccout 创建时 Kubernetes会默认创建对应的 secret。Pod 如果使用了 serviceaccount,对应的 secret 会自动挂载到 Pod 的/run/secrets/kubernetes.io/serviceaccount 目录中。
Opaque:base64编码格式的Secret,用来存储密码、秘钥等。可以通过base64 --decode解码获得原始数据,因此安全性弱
kubernetes.io/dockerconfigjson:用来存储私有docker registry的认证信息。
使用Secret
通过环境变量引入Secret
把mysql的root用户的password创建成secret
[root@kaivimaster1 ~]# kubectl create secret generic mysql-password --from-literal=password=kaivi57268
[root@kaivimaster1 ~]# kubectl get secret
NAME TYPE DATA AGE
mysql-password Opaque 1 30s
[root@kaivimaster1 ~]# kubectl describe secret mysql-password
Name: mysql-password
Namespace: default
Labels: <none>
Annotations: <none>
Type: Opaque
Data
====
password: 20bytes
#password的值是加密的,
#但secret的加密是一种伪加密,它仅仅是将数据做了base64的编码.
创建pod,引用secret
[root@kaivimaster1 ~]# cat pod-secret.yaml
apiVersion: v1
kind: Pod
metadata:
name: pod-secret
labels:
app: myapp
spec:
containers:
- name: myapp
image: ikubernetes/myapp:v1
ports:
- name: http
containerPort: 80
env:
- name: MYSQL_ROOT_PASSWORD #它是Pod启动成功后,Pod中容器的环境变量名.
valueFrom:
secretKeyRef:
name: mysql-password #这是secret的对象名
key: password #它是secret中的key名
[root@kaivimaster1 ~]# kubectl apply -f pod-secret.yaml
[root@kaivimaster1 ~]# kubectl exec -it pod-secret -- /bin/sh
/ # printenv
MYSQL_ROOT_PASSWORD=kaivi57268
通过volume挂载Secret
1)创建Secret
手动加密,基于base64加密
[root@kaivimaster1 ~]# echo -n 'admin' | base64
YWRtaW4=
[root@kaivimaster1 ~]# echo -n 'kaivi123456f' | base64
a2FpdmkxMjM0NTZm
解码:
[root@kaivimaster1 ~]# echo a2FpdmkxMjM0NTZm |base64 -d
kaivi123456f
2)创建yaml文件
[root@kaivimaster1 ~]# vim secret.yaml
apiVersion: v1
kind: Secret
metadata:
name: mysecret
type: Opaque
data:
username: YWRtaW4=
password: a2FpdmkxMjM0NTZm
[root@kaivimaster1 ~]# kubectl apply -f secret.yaml
[root@kaivimaster1]# kubectl describe secret mysecret
Name: mysecret
Namespace: default
Labels: <none>
Annotations: <none>
Type: Opaque
Data
====
password: 15 bytes
username: 5 bytes
3)将Secret挂载到Volume中
[root@kaivimaster1 ~]# vim pod_secret_volume.yaml
apiVersion: v1
kind: Pod
metadata:
name: pod-secret-volume
spec:
containers:
- name: myapp
image: registry.cn-beijing.aliyuncs.com/google_registry/myapp:v1
volumeMounts:
- name: secret-volume
mountPath: /etc/secret
readOnly: true
volumes:
- name: secret-volume
secret:
secretName: mysecret
[root@kaivimaster1 ~]# kubectl apply -f pod_secret_volume.yaml
[root@kaivimaster1 ~]# kubectl exec -it pod-secret-volume -- /bin/sh
/ # ls /etc/secret
password username
/ #
/ # cat /etc/secret/username
admin/ #
/ #
/ # cat /etc/secret/password
kaivi123456f/ #
由上可见,在pod中的secret信息实际已经被解密。
Configmap和Secret对比
相同点
key/value的形式
属于某个特定的命名空间
可以导出到环境变量
可以通过目录/文件形式挂载 通过 volume
挂载的配置信息均可热更新
不同点
Secret 可以被 ServerAccount关联
Secret 可以存储 docker register 的鉴权信息,用在 ImagePullSecret 参数中,用于拉取私有仓库的镜像
Secret 支持 Base64 加密
Secret 分为kubernetes.io/service-account-token、kubernetes.io/dockerconfigjson、Opaque 三种类型,而 Configmap 不区分类型
注意:
同样 Secret 文件大小限制为 1MB(ETCD 的要求);Secret 虽然采用 Base64 编码,但是我们还是可以很方便解码获取到原始信息,所以对于非常重要的数据还是需要慎重考虑,可以考虑使用 Vault 来进行加密管理。
K8S/Kubernetes社区为您提供最前沿的新闻资讯和知识内容
更多推荐
0
0- 0
已为社区贡献12条内容
所有评论(0)