AI 助理
备案控制台
开发者社区 云原生 文章 正文

k8s-configmap 和 secrets

2022-08-22 190
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: configmap 使用场景configmap的定义configmap的使用secrets的使用场景secrets的定义secrets的使用


Configmap


使用场景


用来存储配置文件的 kubernetes 资源对象,配置内容都存储在 etcd 中


定义方法


  1. 通过直接在命令行中指定 configmap 参数创建,即--from-literal


  1. 通过指定文件创建,即将一个配置文件创建为一个 ConfigMap --from-file=<文件>


  1. 通过指定目录创建,即将一个目录下的所有配置文件创建为一个 ConfigMap,--from-file=< 目录>


1 通过命令行参数创建 cm

kubectl create configmap test-config1 --from-literal=db.host=10.5.10.116 --from-literal=db.port='3306’



2.指定文件创建 cm


vi configs
db.host 10.5.10.116 
db.port 3306
kubectl create configmap test-config4 --from-env-file=./configs


3 指定目录创建 


kubectl create configmap test-config4 --from-file=./configs


4 yaml 文件创建 cm



apiVersion: v1
data:  lsec1: ltop1
  lsec2: ltop2
  lsec3: ltop3
kind: ConfigMap
metadata:  creationTimestamp: null
  name: cm8




如何使用



第一种是通过环境变量的方式,直接传递给 pod  使用 configmap 中指定的 key,并 使用 configmap 中所有的 key



第二种是通过在 pod 的命令行下运行的方式(启动命令中)



第三种是作为 volume 的方式挂载到 pod 内

好处:

configmap 的热更新 更新 ConfigMap 后: 使用该 ConfigMap 挂载的 Env 不会同步更新 使用该 ConfigMap 挂载的 Volume 中的数据需要一段时间(实测大概 10 秒)才能同步更 新



参考: https://blog.csdn.net/liukuan73/article/details/79492374


通过环境变量使用


使用 valueFrom、configMapKeyRef、name、key 指定要用的 key:


apiVersion: v1
kind: Pod
metadata:  name: dapi-test-pod
spec:  containers:    - name: test-container
      image: busybox
      command: ["/bin/sh","-c","echo $(SPECIAL_LEVEL_KEY) $(SPECIAL_TYPE_KEY)"]      env:        - name: SPECIAL_LEVEL_KEY
          valueFrom:            configMapKeyRef:              name: special_level
              key: xx
        - name: SPECIAL_TYPE_KEY
          valueFrom:            configMapKeyRef:              name: special-type
              key: xx
  restartPolicy: Never



在启动命令中引用


apiVersion: v1
kind: Pod
metadata:  name: dapi-test-pod
spec:  containers:    - name: test-container
      image: busybox
      command: ["/bin/sh","-c","echo $(SPECIAL_LEVEL_KEY) $(SPECIAL_TYPE_KEY)"]      env:        - name: SPECIAL_LEVEL_KEY
          valueFrom:            configMapKeyRef:              name: special-config
              key: SPECIAL_LEVEL      # 启动参数动态设置        - name: SPECIAL_TYPE_KEY
          valueFrom:            configMapKeyRef:              name: special-config
              key: SPECIAL_TYPE      # 启动参数动态设置  restartPolicy: Never


作为 volume 挂载使用



apiVersion: v1
kind: Pod
metadata:  name: secret-test-pod
  labels:    name: secret-test
spec:  volumes:  - name: secret-volume
    secret:      secretName: ssh-key-secret
  - name: cm-volume
    configMap:      name: mycm
  containers:  - name: ssh-test-container
    image: busybox
    command: ["/bin/sh","-c","sleep 7000"]    volumeMounts:    - name: secret-volume
      mountPath: /etc/secret-volume
    - name: cm-volume
      mountPath: /etc/cm-volume




Secrets


使用场景:


Secret 解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到 镜像或者 Pod Spec 中。


Secret 可以以 Volume 或者环境变量的方式使用。



secrets的三种类型




  1. Opaque:base64 编码格式的 Secret,用来存储密码、密钥等;但数据也通过 base64 –decode 解码得到原始数据


  1. kubernetes.io/dockerconfigjson:用来存储私有 docker registry 的认证信息。


  1. kubernetes.io/service-account-token: 用于被 serviceaccount 引用。



secrets创建



yaml 文件创建 secret


对用户名和密码base64编码


echo -n 'admin' | base64  YWRtaW4=  
echo -n '1f2d1e2e67df' | base64  MWYyZDFlMmU2N2Rm




secret.yaml文件配置

apiVersion: v1
kind: Secret
metadata:  name: mysecret
type: Opaque
data:  username: YWRtaW4=
  password: MWYyZDFlMmU2N2Rm



kubectl create -f ./secret.yaml


对base64的字符串,解码

echo 'MWYyZDFlMmU2N2Rm' | base64 --decode
1f2d1e2e67df


命令行创建 secret


kubectl create secret generic test --from-literal=username=admin --from-literal=password=1f2d1e2e67df




查看命令以及验证




kubectl get cm 
kubectl describe cm test-config1
kubectl get secrets
kubectl describe secrets test-config1





configmap和secrets使用


通过 envFrom 使用 CM 和 Secret

apiVersion: v1
kind: Pod
metadata:  name: secret-env-pod
spec:  containers:  - name: mycontainer
    image: nginx
    env:    - name: SECRET_USERNAME
      valueFrom:        configMapKeyRef:          name: mycm
          key: username
    - name: SECRET_password
      valueFrom:        secretKeyRef:           name: mysecret
           key: password




通过 Volume 使用 CM 和 Secrets

apiVersion: v1
kind: Pod
metadata:  name: secret-test-pod
  labels:    name: secret-test
spec:  volumes:  - name: secret-volume
    secret:      secretName: ssh-key-secret
  - name: cm-volume
    configMap:      name: mycm
  containers:  - name: ssh-test-container
    image: busybox
    command: ["/bin/sh","-c","sleep 7000"]    volumeMounts:    - name: secret-volume
      mountPath: /etc/secret-volume
    - name: cm-volume
      mountPath: /etc/cm-volume







文章标签:
容器服务Kubernetes版
Perl
容器
数据安全/隐私保护
Docker
Kubernetes
存储
关键词:
容器服务Kubernetes版secrets
相关实践学习
通过Ingress进行灰度发布
本场景您将运行一个简单的应用,部署一个新的应用用于新的发布,并通过Ingress能力实现灰度发布。
容器应用与集群管理
欢迎来到《容器应用与集群管理》课程,本课程是“云原生容器Clouder认证“系列中的第二阶段。课程将向您介绍与容器集群相关的概念和技术,这些概念和技术可以帮助您了解阿里云容器服务ACK/ACK Serverless的使用。同时,本课程也会向您介绍可以采取的工具、方法和可操作步骤,以帮助您了解如何基于容器服务ACK Serverless构建和管理企业级应用。 学习完本课程后,您将能够: 掌握容器集群、容器编排的基本概念 掌握Kubernetes的基础概念及核心思想 掌握阿里云容器服务ACK/ACK Serverless概念及使用方法 基于容器服务ACK Serverless搭建和管理企业级网站应用
游客tehculasawvxq
目录
相关文章
1288912195458132
|
4月前
|
Kubernetes 容器
查看k8s secrets证书有效期
查看k8s secrets证书有效期
1288912195458132
79 0
东风微鸣技术博客
|
7月前
|
存储 Kubernetes 安全
加密 K8s Secrets 的几种方案
加密 K8s Secrets 的几种方案
东风微鸣技术博客
236 0
运维开发故事
|
存储 编解码 弹性计算
在K8S中,如何安全管理Secrets?
在K8S中,如何安全管理Secrets?
运维开发故事
349 0
在K8S中,如何安全管理Secrets?
俊朴
|
存储 运维 Kubernetes
云上数据安全实践:一键加密K8s集群Secrets,防止高危机密信息泄露
在Kubernetes集群中,我们通常使用Secrets模型存储和管理业务应用涉及的敏感信息,比如应用密码、TLS证书、Docker镜像下载凭据等敏感信息。Kubernetes会将所有的这些Secrets对象数据存储在集群对应的etcd中。阿里云容器服务Kubernetes版(简称ACK)通过用户指定的KMS主密钥,对K8s集群Secrets进行落盘加密,用户只需要一键配置就可以实现对K8s集群的纵深安全保护。
俊朴
4825 0
云上数据安全实践:一键加密K8s集群Secrets,防止高危机密信息泄露
弹性计算-百晓生
|
1天前
|
存储 Kubernetes 关系型数据库
阿里云ACK备份中心,K8s集群业务应用数据的一站式灾备方案
本文源自2024云栖大会苏雅诗的演讲,探讨了K8s集群业务为何需要灾备及其重要性。文中强调了集群与业务高可用配置对稳定性的重要性,并指出人为误操作等风险,建议实施周期性和特定情况下的灾备措施。针对容器化业务,提出了灾备的新特性与需求,包括工作负载为核心、云资源信息的备份,以及有状态应用的数据保护。介绍了ACK推出的备份中心解决方案,支持命名空间、标签、资源类型等维度的备份,并具备存储卷数据保护功能,能够满足GitOps流程企业的特定需求。此外,还详细描述了备份中心的使用流程、控制台展示、灾备难点及解决方案等内容,展示了备份中心如何有效应对K8s集群资源和存储卷数据的灾备挑战。
弹性计算-百晓生
16 5
Java时光
|
22天前
|
Kubernetes 监控 Cloud Native
Kubernetes集群的高可用性与伸缩性实践
Kubernetes集群的高可用性与伸缩性实践
Java时光
56 1
阿里云基础设施.
|
2月前
|
JSON Kubernetes 容灾
ACK One应用分发上线:高效管理多集群应用
ACK One应用分发上线,主要介绍了新能力的使用场景
阿里云基础设施.
50 9
阿里云基础设施.
|
2月前
|
Kubernetes 持续交付 开发工具
ACK One GitOps:ApplicationSet UI简化多集群GitOps应用管理
ACK One GitOps新发布了多集群应用控制台,支持管理Argo CD ApplicationSet,提升大规模应用和集群的多集群GitOps应用分发管理体验。
阿里云基础设施.
55 1
明弟有理想
|
2月前
|
Kubernetes Ubuntu Linux
Centos7 搭建 kubernetes集群
本文介绍了如何搭建一个三节点的Kubernetes集群,包括一个主节点和两个工作节点。各节点运行CentOS 7系统,最低配置为2核CPU、2GB内存和15GB硬盘。详细步骤包括环境配置、安装Docker、关闭防火墙和SELinux、禁用交换分区、安装kubeadm、kubelet、kubectl,以及初始化Kubernetes集群和安装网络插件Calico或Flannel。
明弟有理想
194 4
君子世无双~
|
2月前
|
Kubernetes Cloud Native 云计算
云原生之旅:Kubernetes 集群的搭建与实践
【8月更文挑战第67天】在云原生技术日益成为IT行业焦点的今天,掌握Kubernetes已成为每个软件工程师必备的技能。本文将通过浅显易懂的语言和实际代码示例,引导你从零开始搭建一个Kubernetes集群,并探索其核心概念。无论你是初学者还是希望巩固知识的开发者,这篇文章都将为你打开一扇通往云原生世界的大门。
君子世无双~
131 17

热门文章

最新文章

  • 1
    Kubernetes上的服务网格 Istio - 分布式追踪篇
  • 2
    Kubernetes Master节点 灾备恢复操作指南
  • 3
    【kubernetes】解决k8s1.28.4:NotReady message:Network plugin returns error: cni plugin not initia...
  • 4
    Kubernetes1.25.6 cri-docker 部署文档
  • 5
    如何利用Docker进行PHP应用程序的容器化部署?
  • 6
    【K8S系列】深入解析K8S调度
  • 7
    k8s-服务(clusterIP/NodePort/LoadBanlance)
  • 8
    [面试题~k8s] 云原生必问基础篇
  • 9
    Kubernetes容器运行时接口-CRI
  • 10
    服务网格实施周期缩短 50%,丽迅物流基于阿里云 ACK 和 ASM 的云原生应用管理实践
  • 1
    Kubernetes 集群的持续监控与性能优化策略
    125
  • 2
    Kubernetes详解(六)——Pod对象部署和应用
    121
  • 3
    Kubernetes详解(五)——Kubernetes核心对象
    95
  • 4
    Kubernetes详解(四)——基于kubeadm的Kubernetes部署
    187
  • 5
    构建高效自动化运维体系:Ansible与Kubernetes的融合实践
    221
  • 6
    构建高效云原生运维体系:Kubernetes最佳实践
    292
  • 7
    Kubernetes详解(三)——Kubernetes集群组件
    92
  • 8
    Kubernetes详解(二)——Kubernetes结构与资源对象
    113
  • 9
    Java容器技术:Docker与Kubernetes
    278
  • 10
    如何将 NFS 配置为 Kubernetes 持久卷存储?
    134

    • 相关课程

    更多
  • 阿里云 EMR on ACK 实战
  • 阿里云K8S微服务部署案例
  • Kubernetes极速入门
  • Serverless 容器从入门到精通: - Serverless Kubernetes
  • Kubernetes云原生管理实践
  • Kubernetes入门

    • 相关电子书

    更多
  • ACK 云原生弹性方案—云原生时代的加速器
  • ACK集群类型选择最佳实践
  • 企业运维之云原生和Kubernetes 实战

    • 相关实验场景

    更多
  • 在ACK Serverless中部署Stable Diffusion应用
  • 使用ACK Serverless容器化部署大语言模型FastChat
  • 通过EDAS实现K8s微服务应用的金丝雀发布
  • 基于ACK Serverless轻松部署企业级Stable Diffusion
  • 通过Helm CLI部署wordpress到ACK集群
  • 基于MSE实现K8s集群内多服务的灰度发布

    • 推荐镜像

    更多
  • kubernetes
  • pouch
  • docker-ce
    • 下一篇
    阿里云无影云电脑免费试用,最长可试用3个月