Secret

https://kubernetes.io/docs/concepts/configuration/secret/

Secret解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。

使用kubectl创建secret

[root@k8s-master1 secret]# echo -n 'admin' > ./username.txt

[root@k8s-master1 secret]# echo -n '1f2d1e2e67df' > ./password.txt

[root@k8s-master1 secret]# kubectl create secret generic db-user-pass --from-file=./username.txt --from-file=./password.txt

secret/db-user-pass created

查看secret信息

[root@k8s-master1 secret]# kubectl get secret

NAME                   TYPE                                  DATA   AGE

db-user-pass           Opaque                                      15s

default-token-7vs6s    kubernetes.io/service-account-token         6d23h

registry-pull-secret   kubernetes.io/dockerconfigjson              5d3h

sslexample-foo-com     kubernetes.io/tls                           66m

[root@k8s-master1 secret]# kubectl describe secret/db-user-pass

Name:         db-user-pass

Namespace:    default

Labels:       <none>

Annotations:  <none>

Type:  Opaque

Data

====

password.txt:   bytes

username.txt:   bytes

使用yaml文件创建secret

[root@k8s-master1 secret]# echo -n 'admin' | base64

YWRtaW4=

[root@k8s-master1 secret]# echo -n '1f2d1e2e67df' | base64

MWYyZDFlMmU2N2Rm

[root@k8s-master1 secret]# vim secret.yaml

apiVersion: v1

kind: Secret

metadata:

  name: mysecret

type: Opaque

data:

  username: YWRtaW4=

  password: MWYyZDFlMmU2N2Rm

[root@k8s-master1 secret]# kubectl create -f secret.yaml

secret/mysecret created
Pod 可以通过 Volume 的方式使用 Secret
[root@k8s-master1 secret]# vim secret-vol.yaml

apiVersion: v1

kind: Pod

metadata:

  name: pod-secret

spec:

  containers:

  - name: pod-secret

    image: busybox

    args:

      - /bin/sh

      - -c

      - sleep ;touch /tmp/healthy;sleep

    volumeMounts:

    - name: foo

      mountPath: "/etc/foo"

      readOnly: true

  volumes:

  - name: foo

    secret:

      secretName: mysecret

[root@k8s-master1 secret]# kubectl apply -f secret-vol.yaml

pod/pod-secret created

进入容器查看

[root@k8s-master1 secret]# kubectl exec -it pod-secret sh

/ # ls /etc/foo/

password  username/ # cat /etc/foo/username

admin/ #

/ # cat /etc/foo/password

1f2d1e2e67df/ #

以 Volume 方式使用的 Secret 支持动态更新:Secret 更新后,容器中的数据也会更新。

[root@k8s-master1 secret]# vim secret.yaml

apiVersion: v1

kind: Secret

metadata:

  name: mysecret

type: Opaque

data:

  username: YWRtaW4=

  password: MWt3OG4zbDQ4Yg==

[root@k8s-master1 secret]# kubectl apply -f secret.yaml

Warning: kubectl apply should be used on resource created by either kubectl create --save-config or kubectl apply

secret/mysecret configured

[root@k8s-master1 secret]# kubectl exec -it pod-secret sh/ # cat /etc/foo/password

1kw8n3l48b/ #

/ #
Pod 可以通过 环境变量 的方式使用 Secret
[root@k8s-master1 secret]# vim secret-env.yaml

apiVersion: v1

kind: Pod

metadata:

  name: pod-secret-env

spec:

  containers:

  - name: pod-secret-env

    image: busybox

    args:

      - /bin/sh

      - -c

      - sleep ;touch /tmp/healthy;sleep

    env:

      - name: SECRET_USERNAME

        valueFrom:

          secretKeyRef:

            name: mysecret

            key: username

      - name: SECRET_PASSWORD

        valueFrom:

          secretKeyRef:

            name: mysecret

            key: password

[root@k8s-master1 secret]# kubectl apply -f secret-env.yaml

pod/pod-secret-env created

[root@k8s-master1 secret]# kubectl exec -it pod-secret-env sh

/ # echo $SECRET_USERNAME

admin

/ # echo $SECRET_PASSWORD

1kw8n3l48b

通过环境变量 SECRET_USERNAME 和 SECRET_PASSWORD 成功读取到 Secret 的数据。
需要注意的是,环境变量读取 Secret 很方便,但无法支撑 Secret 动态更新。
Secret 可以为 Pod 提供密码、Token、私钥等敏感数据;对于一些非敏感数据,比如应用的配置信息,则可以用 ConfigMap

ConfigMap

https://kubernetes.io/docs/tasks/configure-pod-container/configure-pod-configmap/

configmap是让配置文件从镜像中解耦,让镜像的可移植性和可复制性。许多应用程序会从配置文件、命令行参数或环境变量中读取配置信息。这些配置信息需要与docker image解耦,你总不能每修改一个配置就重做一个image吧?ConfigMap API给我们提供了向容器中注入配置信息的机制,ConfigMap可以被用来保存单个属性,也可以用来保存整个配置文件或者JSON二进制大对象。

configmap的创建

命令创建configmap

[root@k8s-master1 configmap]# kubectl create configmap nginx-config --from-literal=nginx_port= --from-literal=server_name=myapp.magedu.com

configmap/nginx-config created

[root@k8s-master1 configmap]# kubectl get cm

NAME           DATA   AGE

nginx-config         8s

[root@k8s-master1 configmap]# kubectl describe cm nginx-config

Name:         nginx-config

Namespace:    default

Labels:       <none>

Annotations:  <none>

Data

====

nginx_port:

----

server_name:

----

myapp.magedu.com

Events:  <none>

通过 --from-file:每个文件内容对应一个信息条目。

[root@k8s-master1 configmap]# vim www.conf

server {

    server_name myapp.magedu.com;

    listen ;

    root /data/web/html;

}

[root@k8s-master1 configmap]# kubectl create configmap nginx-www --from-file=./www.conf

configmap/nginx-www created

[root@k8s-master1 configmap]# kubectl get cm

NAME           DATA   AGE

nginx-config         16m

nginx-www            8s

[root@k8s-master1 configmap]# kubectl get cm nginx-www -o yaml

apiVersion: v1

data:

  www.conf: |

    server {

        server_name myapp.magedu.com;

        listen ;

        root /data/web/html;

    }

kind: ConfigMap

metadata:

  creationTimestamp: "2018-12-26T03:49:22Z"

  name: nginx-www

  namespace: default

  resourceVersion: ""

  selfLink: /api/v1/namespaces/default/configmaps/nginx-www

  uid: 3add1507-08c1-11e9-ad5d-000c2977dc9c
使用configmap

环境变量方式注入到pod

[root@k8s-master1 configmap]# vim pod-configmap.yaml

apiVersion: v1

kind: Pod

metadata:

  name: pod-cm-

  namespace: default

  labels:

    app: myapp

    tier: frontend

  annotations:

    magedu.com/created-by: "cluster admin"

spec:

  containers:

  - name: myapp

    image: ikubernetes/myapp:v1

    ports:

    - name: http

      containerPort:

    env:

    - name: NGINX_SERVER_PORT

      valueFrom:

        configMapKeyRef:

          name: nginx-config

          key: nginx_port

    - name: NGINX_SERVER_NAME

      valueFrom:

        configMapKeyRef:

          name: nginx-config

          key: server_name

[root@k8s-master1 configmap]# kubectl apply -f pod-configmap.yaml

pod/pod-cm- created

[root@k8s-master1 configmap]# kubectl exec -it pod-cm- -- /bin/sh

/ # echo $NGINX_SERVER_PORT

/ # echo $NGINX_SERVER_NAME

myapp.magedu.com

修改端口,可以发现使用环境变化注入pod中的端口不会根据配置的更改而变化

[root@k8s-master1 configmap]# kubectl edit cm nginx-config

configmap/nginx-config edited

[root@k8s-master1 configmap]# kubectl exec -it pod-cm- -- /bin/sh

/ # echo $NGINX_SERVER_PORT

存储卷方式挂载configmap:
Volume 形式的 ConfigMap 也支持动态更新

[root@k8s-master1 configmap]# vim pod-configmap-vol.yaml

apiVersion: v1

kind: Pod

metadata:

  name: pod-cm-

  namespace: default

  labels:

    app: myapp

    tier: frontend

  annotations:

    magedu.com/created-by: "cluster admin"

spec:

  containers:

  - name: myapp

    image: ikubernetes/myapp:v1

    ports:

    - name: http

      containerPort:

    volumeMounts:

    - name: nginxconf

      mountPath: /etc/nginx/config.d/

      readOnly: true

  volumes:

  - name: nginxconf

    configMap:

      name: nginx-config

[root@k8s-master1 configmap]# kubectl apply -f pod-configmap-vol.yaml

pod/pod-cm- created

[root@k8s-master1 configmap]# kubectl exec -it pod-cm- -- /bin/sh

# cd /etc/nginx/config.d/

# ls

nginx_port   server_name

# cat server_name

myapp.magedu.com

以nginx-www配置nginx

[root@k8s-master1 configmap]# vim pod-configmap-ngx.yaml

apiVersion: v1

kind: Pod

metadata:

  name: pod-cm-

  namespace: default

  labels:

    app: myapp

    tier: frontend

  annotations:

    magedu.com/created-by: "cluster admin"

spec:

  containers:

  - name: myapp

    image: ikubernetes/myapp:v1

    ports:

    - name: http

      containerPort:

    volumeMounts:

    - name: nginxconf

      mountPath: /etc/nginx/conf.d/

      readOnly: true

  volumes:

  - name: nginxconf

    configMap:

      name: nginx-www

[root@k8s-master1 configmap]# kubectl apply -f pod-configmap-ngx.yaml

pod/pod-cm- created

[root@k8s-master1 configmap]# kubectl exec -it pod-cm- -- /bin/sh

/ # cd /etc/nginx/conf.d/

/etc/nginx/conf.d # ls

www.conf

/etc/nginx/conf.d # cat www.conf

server {

    server_name myapp.magedu.com;

    listen ;

    root /data/web/html;

}

kubernetes-配置管理(十一)的更多相关文章

  1. K8S学习笔记之Kubernetes 配置管理 ConfigMap

    0x00 概述 很多情况下我们为某一应用做好镜像,当我们想修改其中的一些参数的时候,就变得比较麻烦,又要重新制作镜像,我们是不是有一种方式,让镜像根据不同的场景调用我们不同的配置文件呢,那我们就需要用 ...

  2. Kapitan 通用terraform&& kubernetes 配置管理工具

    Kapitan 是一个通用的配置管理工具,可以帮助我们管理terraform .kubernetes 以及其他的配置. Kapitan 自生基于jsonnet 开发,对于我们日常进行软件的部署(tf以 ...

  3. Kubernetes 配置管理 ConfigMap(十二)

    目录 一.背景 二.创建 ConfigMap 2.1.通过 --from-literal 2.2.通过 --from-file 2.3.通过--from-env-file 2.4.YAML 配置文件 ...

  4. Kubernetes 配置管理

    ConfigMap(可变配置管理) 对于应用的可变配置在 Kubernetes 中是通过一个 ConfigMap 资源对象来实现的,我们知道许多应用经常会有从配置文件.命令行参数或者环境变量中读取一些 ...

  5. kubernetes实战(十一):k8s使用openLDAP统一认证

    1.基本概念 为了方便管理和集成jenkins,k8s.harbor.jenkins均使用openLDAP统一认证. 2.部署openLDAP 此处将openLDAP部署在k8s上,openLDAP可 ...

  6. Kubernetes 配置管理 Dashboard(十三)

    目录 一.安装配置 1.1 下载 镜像 1.2.安装 1.3.修改 NodePort 二.配置授权 Kubernetes 所有的操作我们都是通过命令行工具 kubectl 完成的.为了提供更丰富的用户 ...

  7. Kubernetes第十一章--部署微服务电商平台

  8. kubernetes 学习资料

    谷歌大神详解 Kubernetes 配置管理最佳方法 https://www.kubernetes.org.cn/3031.html all in on kubernetes https://gith ...

  9. 026.[转] 基于Docker及Kubernetes技术构建容器云平台 (PaaS)

    [编者的话] 目前很多的容器云平台通过Docker及Kubernetes等技术提供应用运行平台,从而实现运维自动化,快速部署应用.弹性伸缩和动态调整应用环境资源,提高研发运营效率. 本文简要介绍了与容 ...

  10. k8s API sample

    Declarative API k8s: cluster-api Introduction to Kubernetes Cluster-API Project Declarative Manageme ...

随机推荐

  1. JSON 的使用方法

    JSON--JavaScript Object Notation,是一种轻量级的数据交互格式,本质是特定格式的字符串,相比xml更简洁,现在是客户端与服务器端交互的最常用选择,已经很少用xml了 JS ...

  2. tp5模型事件回调函数中不能使用$this

    tp5模型事件回调函数中不能使用$this,使用会报错,涉及到数据库操作使用Db类,不能使用$this->save()之类的方式 如果回调函数中需要使用类内函数,需要将函数定义为static,通 ...

  3. 你的php

    最开始学习做网页,用的是HTML,现在开始php了,那么要想用php,首先你得安装对不对,那么问题来了,你上哪安去啊(一看小编就是东北人),那么小编给各位提供了两个链接(不要告诉其他人哦)https: ...

  4. day23作业详解

    1.题目 2.题目详解 点击查看详细内容 1. 1-1 封装 把功能封装到类中 class Message(object): def email(self):pass def msg(self):pa ...

  5. jmeter读取本地CSV文件

    用jmeter录制考试上传成绩等脚本时,出现的问题及解决方法如下: 1.beanshell前置处理器,不能读取本地csv文件里的数据: 方法一: 在beanshell里不能直接从本地的csv文件里读取 ...

  6. Unity 行为树-基础

    .前言 Unity里面的行为树又名BehaviorTree,最常用在NPC的敌人逻辑中. 二.基础说明(转载) 1.行为树的调用时间为每帧: 2.每个节点的状态只能下面3个中的其一:成功Success ...

  7. 跨域和jsonp的了解和学习

    一.为什么会有跨域问题呢 因为有浏览器的同源策略. 同源:如果两个页面的协议,端口(如果有指定)和主机都相同,则两个页面具有相同的源.我们也可以把它称为“协议/主机/端口 tuple”,或简单地叫做“ ...

  8. F. Gourmet and Banquet(贪心加二分求值)

    题目链接:http://codeforces.com/problemset/problem/589/F A gourmet came into the banquet hall, where the ...

  9. Windows10 zip安装 MySQL8.0.12

    其实问题不大,就是win10永远有点奇葩的地方. 下载,解压,命名什么的我就不说了. 一 环境变量方便cmd使用mysql MYSQL_HOME = xxx // 就是安装的路径 Path = %MY ...

  10. Spring AOP的增强处理

    就是@Before @Around @AfterReturning @AfterThrowing这几个标签的属性可以放到方法参数里面获取 例子 //正常操作@Around("service( ...