Secret

https://kubernetes.io/docs/concepts/configuration/secret/

Secret解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。

使用kubectl创建secret

[root@k8s-master1 secret]# echo -n 'admin' > ./username.txt

[root@k8s-master1 secret]# echo -n '1f2d1e2e67df' > ./password.txt

[root@k8s-master1 secret]# kubectl create secret generic db-user-pass --from-file=./username.txt --from-file=./password.txt

secret/db-user-pass created

查看secret信息

[root@k8s-master1 secret]# kubectl get secret

NAME                   TYPE                                  DATA   AGE

db-user-pass           Opaque                                      15s

default-token-7vs6s    kubernetes.io/service-account-token         6d23h

registry-pull-secret   kubernetes.io/dockerconfigjson              5d3h

sslexample-foo-com     kubernetes.io/tls                           66m

[root@k8s-master1 secret]# kubectl describe secret/db-user-pass

Name:         db-user-pass

Namespace:    default

Labels:       <none>

Annotations:  <none>

Type:  Opaque

Data

====

password.txt:   bytes

username.txt:   bytes

使用yaml文件创建secret

[root@k8s-master1 secret]# echo -n 'admin' | base64

YWRtaW4=

[root@k8s-master1 secret]# echo -n '1f2d1e2e67df' | base64

MWYyZDFlMmU2N2Rm

[root@k8s-master1 secret]# vim secret.yaml

apiVersion: v1

kind: Secret

metadata:

  name: mysecret

type: Opaque

data:

  username: YWRtaW4=

  password: MWYyZDFlMmU2N2Rm

[root@k8s-master1 secret]# kubectl create -f secret.yaml

secret/mysecret created
Pod 可以通过 Volume 的方式使用 Secret
[root@k8s-master1 secret]# vim secret-vol.yaml

apiVersion: v1

kind: Pod

metadata:

  name: pod-secret

spec:

  containers:

  - name: pod-secret

    image: busybox

    args:

      - /bin/sh

      - -c

      - sleep ;touch /tmp/healthy;sleep

    volumeMounts:

    - name: foo

      mountPath: "/etc/foo"

      readOnly: true

  volumes:

  - name: foo

    secret:

      secretName: mysecret

[root@k8s-master1 secret]# kubectl apply -f secret-vol.yaml

pod/pod-secret created

进入容器查看

[root@k8s-master1 secret]# kubectl exec -it pod-secret sh

/ # ls /etc/foo/

password  username/ # cat /etc/foo/username

admin/ #

/ # cat /etc/foo/password

1f2d1e2e67df/ #

以 Volume 方式使用的 Secret 支持动态更新:Secret 更新后,容器中的数据也会更新。

[root@k8s-master1 secret]# vim secret.yaml

apiVersion: v1

kind: Secret

metadata:

  name: mysecret

type: Opaque

data:

  username: YWRtaW4=

  password: MWt3OG4zbDQ4Yg==

[root@k8s-master1 secret]# kubectl apply -f secret.yaml

Warning: kubectl apply should be used on resource created by either kubectl create --save-config or kubectl apply

secret/mysecret configured

[root@k8s-master1 secret]# kubectl exec -it pod-secret sh/ # cat /etc/foo/password

1kw8n3l48b/ #

/ #
Pod 可以通过 环境变量 的方式使用 Secret
[root@k8s-master1 secret]# vim secret-env.yaml

apiVersion: v1

kind: Pod

metadata:

  name: pod-secret-env

spec:

  containers:

  - name: pod-secret-env

    image: busybox

    args:

      - /bin/sh

      - -c

      - sleep ;touch /tmp/healthy;sleep

    env:

      - name: SECRET_USERNAME

        valueFrom:

          secretKeyRef:

            name: mysecret

            key: username

      - name: SECRET_PASSWORD

        valueFrom:

          secretKeyRef:

            name: mysecret

            key: password

[root@k8s-master1 secret]# kubectl apply -f secret-env.yaml

pod/pod-secret-env created

[root@k8s-master1 secret]# kubectl exec -it pod-secret-env sh

/ # echo $SECRET_USERNAME

admin

/ # echo $SECRET_PASSWORD

1kw8n3l48b

通过环境变量 SECRET_USERNAME 和 SECRET_PASSWORD 成功读取到 Secret 的数据。
需要注意的是,环境变量读取 Secret 很方便,但无法支撑 Secret 动态更新。
Secret 可以为 Pod 提供密码、Token、私钥等敏感数据;对于一些非敏感数据,比如应用的配置信息,则可以用 ConfigMap

ConfigMap

https://kubernetes.io/docs/tasks/configure-pod-container/configure-pod-configmap/

configmap是让配置文件从镜像中解耦,让镜像的可移植性和可复制性。许多应用程序会从配置文件、命令行参数或环境变量中读取配置信息。这些配置信息需要与docker image解耦,你总不能每修改一个配置就重做一个image吧?ConfigMap API给我们提供了向容器中注入配置信息的机制,ConfigMap可以被用来保存单个属性,也可以用来保存整个配置文件或者JSON二进制大对象。

configmap的创建

命令创建configmap

[root@k8s-master1 configmap]# kubectl create configmap nginx-config --from-literal=nginx_port= --from-literal=server_name=myapp.magedu.com

configmap/nginx-config created

[root@k8s-master1 configmap]# kubectl get cm

NAME           DATA   AGE

nginx-config         8s

[root@k8s-master1 configmap]# kubectl describe cm nginx-config

Name:         nginx-config

Namespace:    default

Labels:       <none>

Annotations:  <none>

Data

====

nginx_port:

----

server_name:

----

myapp.magedu.com

Events:  <none>

通过 --from-file:每个文件内容对应一个信息条目。

[root@k8s-master1 configmap]# vim www.conf

server {

    server_name myapp.magedu.com;

    listen ;

    root /data/web/html;

}

[root@k8s-master1 configmap]# kubectl create configmap nginx-www --from-file=./www.conf

configmap/nginx-www created

[root@k8s-master1 configmap]# kubectl get cm

NAME           DATA   AGE

nginx-config         16m

nginx-www            8s

[root@k8s-master1 configmap]# kubectl get cm nginx-www -o yaml

apiVersion: v1

data:

  www.conf: |

    server {

        server_name myapp.magedu.com;

        listen ;

        root /data/web/html;

    }

kind: ConfigMap

metadata:

  creationTimestamp: "2018-12-26T03:49:22Z"

  name: nginx-www

  namespace: default

  resourceVersion: ""

  selfLink: /api/v1/namespaces/default/configmaps/nginx-www

  uid: 3add1507-08c1-11e9-ad5d-000c2977dc9c
使用configmap

环境变量方式注入到pod

[root@k8s-master1 configmap]# vim pod-configmap.yaml

apiVersion: v1

kind: Pod

metadata:

  name: pod-cm-

  namespace: default

  labels:

    app: myapp

    tier: frontend

  annotations:

    magedu.com/created-by: "cluster admin"

spec:

  containers:

  - name: myapp

    image: ikubernetes/myapp:v1

    ports:

    - name: http

      containerPort:

    env:

    - name: NGINX_SERVER_PORT

      valueFrom:

        configMapKeyRef:

          name: nginx-config

          key: nginx_port

    - name: NGINX_SERVER_NAME

      valueFrom:

        configMapKeyRef:

          name: nginx-config

          key: server_name

[root@k8s-master1 configmap]# kubectl apply -f pod-configmap.yaml

pod/pod-cm- created

[root@k8s-master1 configmap]# kubectl exec -it pod-cm- -- /bin/sh

/ # echo $NGINX_SERVER_PORT

/ # echo $NGINX_SERVER_NAME

myapp.magedu.com

修改端口,可以发现使用环境变化注入pod中的端口不会根据配置的更改而变化

[root@k8s-master1 configmap]# kubectl edit cm nginx-config

configmap/nginx-config edited

[root@k8s-master1 configmap]# kubectl exec -it pod-cm- -- /bin/sh

/ # echo $NGINX_SERVER_PORT

存储卷方式挂载configmap:
Volume 形式的 ConfigMap 也支持动态更新

[root@k8s-master1 configmap]# vim pod-configmap-vol.yaml

apiVersion: v1

kind: Pod

metadata:

  name: pod-cm-

  namespace: default

  labels:

    app: myapp

    tier: frontend

  annotations:

    magedu.com/created-by: "cluster admin"

spec:

  containers:

  - name: myapp

    image: ikubernetes/myapp:v1

    ports:

    - name: http

      containerPort:

    volumeMounts:

    - name: nginxconf

      mountPath: /etc/nginx/config.d/

      readOnly: true

  volumes:

  - name: nginxconf

    configMap:

      name: nginx-config

[root@k8s-master1 configmap]# kubectl apply -f pod-configmap-vol.yaml

pod/pod-cm- created

[root@k8s-master1 configmap]# kubectl exec -it pod-cm- -- /bin/sh

# cd /etc/nginx/config.d/

# ls

nginx_port   server_name

# cat server_name

myapp.magedu.com

以nginx-www配置nginx

[root@k8s-master1 configmap]# vim pod-configmap-ngx.yaml

apiVersion: v1

kind: Pod

metadata:

  name: pod-cm-

  namespace: default

  labels:

    app: myapp

    tier: frontend

  annotations:

    magedu.com/created-by: "cluster admin"

spec:

  containers:

  - name: myapp

    image: ikubernetes/myapp:v1

    ports:

    - name: http

      containerPort:

    volumeMounts:

    - name: nginxconf

      mountPath: /etc/nginx/conf.d/

      readOnly: true

  volumes:

  - name: nginxconf

    configMap:

      name: nginx-www

[root@k8s-master1 configmap]# kubectl apply -f pod-configmap-ngx.yaml

pod/pod-cm- created

[root@k8s-master1 configmap]# kubectl exec -it pod-cm- -- /bin/sh

/ # cd /etc/nginx/conf.d/

/etc/nginx/conf.d # ls

www.conf

/etc/nginx/conf.d # cat www.conf

server {

    server_name myapp.magedu.com;

    listen ;

    root /data/web/html;

}

kubernetes-配置管理(十一)的更多相关文章

  1. K8S学习笔记之Kubernetes 配置管理 ConfigMap

    0x00 概述 很多情况下我们为某一应用做好镜像,当我们想修改其中的一些参数的时候,就变得比较麻烦,又要重新制作镜像,我们是不是有一种方式,让镜像根据不同的场景调用我们不同的配置文件呢,那我们就需要用 ...

  2. Kapitan 通用terraform&& kubernetes 配置管理工具

    Kapitan 是一个通用的配置管理工具,可以帮助我们管理terraform .kubernetes 以及其他的配置. Kapitan 自生基于jsonnet 开发,对于我们日常进行软件的部署(tf以 ...

  3. Kubernetes 配置管理 ConfigMap(十二)

    目录 一.背景 二.创建 ConfigMap 2.1.通过 --from-literal 2.2.通过 --from-file 2.3.通过--from-env-file 2.4.YAML 配置文件 ...

  4. Kubernetes 配置管理

    ConfigMap(可变配置管理) 对于应用的可变配置在 Kubernetes 中是通过一个 ConfigMap 资源对象来实现的,我们知道许多应用经常会有从配置文件.命令行参数或者环境变量中读取一些 ...

  5. kubernetes实战(十一):k8s使用openLDAP统一认证

    1.基本概念 为了方便管理和集成jenkins,k8s.harbor.jenkins均使用openLDAP统一认证. 2.部署openLDAP 此处将openLDAP部署在k8s上,openLDAP可 ...

  6. Kubernetes 配置管理 Dashboard(十三)

    目录 一.安装配置 1.1 下载 镜像 1.2.安装 1.3.修改 NodePort 二.配置授权 Kubernetes 所有的操作我们都是通过命令行工具 kubectl 完成的.为了提供更丰富的用户 ...

  7. Kubernetes第十一章--部署微服务电商平台

  8. kubernetes 学习资料

    谷歌大神详解 Kubernetes 配置管理最佳方法 https://www.kubernetes.org.cn/3031.html all in on kubernetes https://gith ...

  9. 026.[转] 基于Docker及Kubernetes技术构建容器云平台 (PaaS)

    [编者的话] 目前很多的容器云平台通过Docker及Kubernetes等技术提供应用运行平台,从而实现运维自动化,快速部署应用.弹性伸缩和动态调整应用环境资源,提高研发运营效率. 本文简要介绍了与容 ...

  10. k8s API sample

    Declarative API k8s: cluster-api Introduction to Kubernetes Cluster-API Project Declarative Manageme ...

随机推荐

  1. Python使用Zero-Copy和Buffer Protocol实现高性能编程

    无论你程序是做什么的,它经常都需要处理大量的数据.这些数据大部分表现形式为strings(字符串).然而,当你对字符串大批量的拷贝,切片和修改操作时是相当低效的.为什么? 让我们假设一个读取二进制数据 ...

  2. css3中的变形(transform)、过渡(transtion)、动画(animation)

    Transform字面上就是变形,改变的意思.在CSS3中transform主要包括以下几种:旋转rotate.扭曲skew.缩放scale和移动translate以及矩阵变形matrix.下面我们一 ...

  3. ACM 大神的经验加技巧(当然不是我的拉——

    大神 犯错合集及需要注意的东西 1.在一个地图求最大面积的类问题中,要注意障碍结点的影响. 2.ll(),表示的是在运算后把括号内强制转化为类型ll,而(ll)表示后面的每个玩意都强制转化为类型ll. ...

  4. oracle 容灾库日常维护 ,健康检查脚本 以及常见问题分析

    select DEST_ID, APPLIED_SCN FROM v$archive_dest select * from v$dataguard_status; SELECT gvi.thread# ...

  5. HDU 5734 A - Acperience

    http://acm.hdu.edu.cn/showproblem.php?pid=5734 Problem Description Deep neural networks (DNN) have s ...

  6. Java多线程与并发——线程生命周期和线程池

    线程生命周期:  线程池:是预先创建线程的一种技术.线程池在还没有任务到来之前,创建一定数量的线程,放入空闲队列中,然后对这些资源进行复用.减少频繁的创建和销毁对象. java里面线程池的顶级接口是E ...

  7. Java文件与io——File类

    概念: File类:表示文件和目录路径名的抽象表示形式. File类可以实现文件的创建.删除.重命名.得到路径.创建时间等等,是唯一与文件本身有关的操作类. 例: public class FileD ...

  8. Raymond Mill In Lisp

    Raymond Mill is suitable for producing minerals powder, which is widely used in the metallurgy, buil ...

  9. pat1079. Total Sales of Supply Chain (25)

    1079. Total Sales of Supply Chain (25) 时间限制 250 ms 内存限制 65536 kB 代码长度限制 16000 B 判题程序 Standard 作者 CHE ...

  10. SpringMVC核心技术---转发和重定向

    @Controller public class Mycontroller { //转发 @RequestMapping("/adduser") public String add ...