目录
(1)用kubectl create secret命令创建Secret
一、Secret
Secret 是用来保存密码、token、密钥等敏感数据的 k8s 资源,这类数据虽然也可以存放在 Pod 或者镜像中,但是放在 Secret 中是为了更方便的控制如何使用数据,并减少暴露的风险。
1.Secret 类型
1)kubernetes.io/service-account-token:由 Kubernetes 自动创建,用来访问 APIServer 的 Secret,Pod 会默认使用这个 Secret 与 APIServer 通信, 并且会自动挂载到 Pod 的 /run/secrets/kubernetes.io/serviceaccount 目录中;
2)Opaque :base64 编码格式的 Secret,用来存储用户自定义的密码、密钥等,默认的 Secret 类型;
3)kubernetes.io/dockerconfigjson :用来存储私有 docker registry 的认证信息。
Pod 需要先引用才能使用某个 secret,Pod 有 3 种方式来使用 secret:
1)作为挂载到一个或多个容器上的卷 中的文件。
2)作为容器的环境变量。
3)由 kubelet 在为 Pod 拉取镜像时使用。
应用场景:凭据
https://kubernetes.io/docs/concepts/configuration/secret/
2.创建 Secret
(1)用kubectl create secret命令创建Secret
-
echo
-n
'zhangsan'
> username.txt
-
echo
-n
'abc1234'
> password.txt
-
-
kubectl
create secret generic mysecret
--from-file=username.txt --from-file=password.txt
-
-
kubectl
get secrets
-
-
kubectl
describe secret mysecret
get或describe指令都不会展示secret的实际内容,这是出于对数据的保护的考虑
(2)内容用 base64 编码,创建Secret
-
echo -n zhangsan | base64
-
-
echo -n abc1234 | base64
-
-
vim secret.yaml
-
apiVersion: v1
-
kind: Secret
-
metadata:
-
name: mysecret1
-
type: Opaque
-
data:
-
username:
-
password:
-
-
kubectl create -f secret.yaml
-
-
kubectl
get secrets
-
-
kubectl
get secret mysecret1 -o yaml
3.使用方式
1)将 Secret 挂载到 Volume 中,以 Volume 的形式挂载到 Pod 的某个目录下
-
vim secret-test.yaml
-
apiVersion: v1
-
kind: Pod
-
metadata:
-
name: mypod
-
spec:
-
containers:
-
- name: nginx
-
image: nginx
-
volumeMounts:
-
- name: secrets
-
mountPath:
"/etc/secrets"
-
readOnly:
true
-
volumes:
-
- name: secrets
-
secret:
-
secretName: mysecret
-
-
kubectl create -f secret-test.yaml
-
-
kubectl
get pods
-
-
kubectl exec -it seret-test bash
-
# cd /etc/secrets/
-
# ls
-
-
# vi password.txt
-
# vi username.txt
2)将 Secret 导出到环境变量中
-
vim secret-test1.yaml
-
apiVersion: v1
-
kind: Pod
-
metadata:
-
name: mypod1
-
spec:
-
containers:
-
- name: nginx
-
image: nginx
-
env:
-
- name: TEST_USER
-
valueFrom:
-
secretKeyRef:
-
name: mysecret1
-
key: username
-
- name: TEST_PASSWORD
-
valueFrom:
-
secretKeyRef:
-
name: mysecret1
-
key: password
-
-
kubectl apply -f secret-test1.yaml
-
-
kubectl
get pods
-
-
kubectl exec -it mypod bash
-
# echo $TEST_USER
-
-
# echo $TEST_PASSWORD
二、ConfigMap
与Secret类似,区别在于ConfigMap保存的是不需要加密配置的信息。
ConfigMap 功能在 Kubernetes1.2 版本中引入,许多应用程序会从配置文件、命令行参数或环境变量中读取配置信息。ConfigMap API 给我们提供了向容器中注入配置信息的机制,ConfigMap 可以被用来保存单个属性,也可以用来保存整个配置文件或者JSON二进制大对象。
1.创建 ConfigMap
-
mkdir /opt/configmap/
-
-
vim /opt/configmap/game.properties
-
enemies=aliens
-
lives=3
-
enemies.cheat=
true
-
enemies.cheat.level=noGoodRotten
-
secret.code.passphrase=UUDDLRLRBABAS
-
secret.code.allowed=
true
-
secret.code.lives=30
-
-
vim /opt/configmap/ui.properties
-
color.good=purple
-
color.bad=yellow
-
allow.textmode=
true
-
how.nice.to.look=fairlyNice
-
-
ls /opt/configmap/
-
game.properties
-
ui.properties
-
-
kubectl create configmap game-config --from-file=/opt/configmap/
-
--from-file 指定在目录下的所有文件都会被用在 ConfigMap 里面创建一个键值对,键的名字就是文件名,值就是文件的内容
-
-
kubectl get cm
-
-
kubectl get cm game-config -o yaml
(1)使用文件创建
只要指定为一个文件就可以从单个文件中创建 ConfigMap
--from-file 这个参数可以使用多次,即可以使用两次分别指定上个实例中的那两个配置文件,效果就跟指定整个目录是一样的
-
kubectl create configmap game-config-
2 --
from-file=
/opt/configmap/game.
properties --
from-file=
/opt/configmap/ui.
properties
-
-
kubectl get configmaps game-config-
2 -o yaml
-
-
kubectl describe cm game-config-
2
(2)使用字面值创建
-
使用文字值创建,利用
--from-literal 参数传递配置信息,该参数可以使用多次,格式如下
-
kubectl
create configmap special-
config
--from-literal=special.how=very --from-literal=special.type=good
-
kubectl
get configmaps special
-config
-o yaml
-
-
kubectl
delete cm
--all
-
kubectl
delete pod
--all
2.Pod 中使用 ConfigMap
(1)使用 ConfigMap 来替代环境变量
-
vim env.yaml
-
apiVersion: v1
-
kind: ConfigMap
-
metadata:
-
name: special-config
-
namespace:
default
-
data:
-
special.how: very
-
special.type: good
-
---
-
apiVersion: v1
-
kind: ConfigMap
-
metadata:
-
name: env-config
-
namespace:
default
-
data:
-
log_level: INFO
-
-
-
kubectl create -f env.yaml
-
-
kubectl
get cm
(2)Pod的创建
-
vim test-pod.yaml
-
apiVersion: v1
-
kind: Pod
-
metadata:
-
name: test-pod
-
spec:
-
containers:
-
- name: busybox
-
image: busybox:
1.28.
4
-
command: [
"/bin/sh",
"-c",
"env" ]
-
env:
-
- name: SPECIAL_HOW_KEY
-
valueFrom:
-
configMapKeyRef:
-
name: special-config
-
key: special.how
-
- name: SPECIAL_TYPE_KEY
-
valueFrom:
-
configMapKeyRef:
-
name: special-config
-
key: special.type
-
envFrom:
-
- configMapRef:
-
name: env-config
-
restartPolicy: Never
-
-
-
kubectl create -f test-pod.yaml
-
-
kubectl
get pods
-
kubectl logs pod-test
-
KUBERNETES_SERVICE_PORT=
443
-
KUBERNETES_PORT=
tcp:
//
-
HOSTNAME=pod-test
-
SHLVL=
1
-
SPECIAL_HOW_KEY=very 赋值变量
SPECIAL_HOW_KEY 的值为 special-config 的 special.
how: very
-
HOME=/root
-
SPECIAL_TYPE_KEY=good 赋值变量
SPECIAL_TYPE_KEY 的值为 special-config 的 special.
type: good
-
KUBERNETES_PORT_443_TCP_ADDR=
10.0
.0
.1
-
PATH=
/usr/local/
sbin:
/usr/local/
bin:
/usr/
sbin:
/usr/
bin:
/sbin:/bin
-
KUBERNETES_PORT_443_TCP_PORT=
443
-
KUBERNETES_PORT_443_TCP_PROTO=tcp
-
log_level=
INFO 引入 env-config 的变量
log_level:
INFO
-
KUBERNETES_PORT_443_TCP=
tcp:
//
-
KUBERNETES_SERVICE_PORT_HTTPS=
443
-
KUBERNETES_SERVICE_HOST=
-
PWD=/
3.用 ConfigMap 设置命令行参数
-
vim test-pod2.yaml
-
apiVersion: v1
-
kind: Pod
-
metadata:
-
name: test-pod2
-
spec:
-
containers:
-
- name: busybox
-
image: busybox:
1.28.
4
-
command:
-
- /bin/sh
-
- -c
-
- echo
"$(SPECIAL_HOW_KEY) $(SPECIAL_TYPE_KEY)"
-
env:
-
- name: SPECIAL_HOW_KEY
-
valueFrom:
-
configMapKeyRef:
-
name: special-config
-
key: special.how
-
- name: SPECIAL_TYPE_KEY
-
valueFrom:
-
configMapKeyRef:
-
name: special-config
-
key: special.type
-
envFrom:
-
- configMapRef:
-
name: env-config
-
restartPolicy: Never
-
-
-
kubectl create -f test-pod2.yaml
-
-
kubectl
get pods
-
-
kubectl logs test-pod2
4.通过数据卷插件使用ConfigMap
在数据卷里面使用 ConfigMap,就是将文件填入数据卷,在这个文件中,键就是文件名,键值就是文件内容
-
vim test-pod3.yaml
-
apiVersion: v1
-
kind: Pod
-
metadata:
-
name: test-pod3
-
spec:
-
containers:
-
- name: busybox
-
image: busybox:1.28.4
-
command: [
"/bin/sh",
"-c",
"sleep 36000" ]
-
volumeMounts:
-
- name: config-volume
-
mountPath: /etc/config
-
volumes:
-
- name: config-volume
-
configMap:
-
name: special-config
-
restartPolicy: Never
-
-
-
kubectl create -f test-pod3.yaml
-
-
kubectl get pods
-
-
kubectl
exec -it test-pod3 sh
-
# cd /etc/config/
-
# ls
-
-
# vi special.how
-
# vi special.type
(1)ConfigMap 的热更新
-
vim test-pod4.yaml
-
apiVersion: v1
-
kind: ConfigMap
-
metadata:
-
name:
log-
config
-
namespace: default
-
data:
-
log_level: INFO
-
---
-
apiVersion: extensions/v1beta1
-
kind: Deployment
-
metadata:
-
name: my-nginx
-
spec:
-
replicas:
1
-
template:
-
metadata:
-
labels:
-
run: my-nginx
-
spec:
-
containers:
-
- name: my-nginx
-
image: nginx
-
ports:
-
- containerPort:
80
-
volumeMounts:
-
- name:
config-volume
-
mountPath: /etc/
config
-
volumes:
-
- name:
config-volume
-
configMap:
-
name:
log-
config
-
-
-
kubectl apply -f test-pod5.yaml
-
-
kubectl get pods
-
-
kubectl exec -it my-nginx
-76b6489f44
-6dwxh
-- cat /etc/config/log_level
-
INFO
-
-
kubectl edit configmap
log-
config
等大概10秒左右,使用该 ConfigMap 挂载的 Volume 中的数据同步更新
kubectl exec -it my-nginx-76b6489f44-6dwxh -- cat /etc/config/log_level(2)ConfigMap 更新后滚动更新 Pod
更新 ConfigMap 目前并不会触发相关 Pod 的滚动更新,可以通过在 .spec.template.metadata.annotations 中添加 version/config ,每次通过修改 version/config 来触发滚动更新
-
kubectl patch deployment my
-nginx
--patch '{
"spec": {
"template": {
"metadata": {
"annotations": {
"version/config":
"20210525" }}}}}'
-
-
kubectl
get pods
更新 ConfigMap 后:
使用该 ConfigMap 挂载的 Env 不会同步更新。
使用该 ConfigMap 挂载的 Volume 中的数据需要一段时间(实测大概10秒)才能同步更新。
转载:https://blog.csdn.net/Drw_Dcm/article/details/127791654
查看评论