Configmap配置与Secret加密

Configmap配置与Secret加密

一，ConfigMap 简介

ConfigMap 功能在 Kubernetes1.2 版本中引入，许多应用程序会从配置文件、命令行参数或环境变量中读取配置信息。ConfigMap API 给我们提供了向容器中注入配置信息的机制，ConfigMap 可以被用来保存单个属性，也可以用来保存整个配置文件或者 jsON 二进制大对象。

将配置信息放到configmap对象中，然后在pod的对象中导入configmap对象，实现导入配置的操作。

ConigMap是一种 API对象，用来将非机密性的数据保存到键值对中。使用时可以用作环境变量、命令行参数或者存储卷中的配置文件。

ConfigMap将环境配置信息和容器镜像解耦，便于应用配置的修改。当你需要储存机密信息时可以使用Secret对象。

备注: ConfigMap 并不提供保密或者加密功能。如果你想存储的数据是机密的，请使用Secret;或者使用其他第三方工具来保证数据的私密性，而不是用ConfigMap。

二，项目中的应用

1. 创建 ConfigMap 的资源清单

apiVersion: v1 # 版本，通过 kubectl explain cm 可以查看kind: ConfigMapmetadata: name: special-config # ConfigMap 的名字 namespace: default # 名称空间data: # key: value 结构，配置数据 special.how: very special.type: charmkubectl apply -f comfigmap.yaml

2. 使用目录创建

创建 ​​/root/k8s/yaml/configmap/game.properties​​ 文件：

enemies=alienslives=3enemies.cheat=trueenemies.cheat.level=noGoodRottensecret.code.passphrase=UUDDLRLRBABASsecret.code.allowed=truesecret.code.lives=30

创建 ​​/root/k8s/yaml/configmap/ui.properties​​ 文件

color.good=purplecolor.bad=yellowallow.textmode=truehow.nice.to.look=fairlyNice

3.创建 configmap ，​​--from-file​​ 指定在目录下的所有文件都会被用在 ConfigMap 里面创建一个键值对，键的名字就是文件名，值就是文件的内容

kubectl create configmap game-config --from-file=../configmap/

4.查看创建的 ​​configmap​​（可简写为 cm）：

$ kubectl get cmNAME DATA AGEgame-config 2 6m40s# 查看详细信息kubectl get cm game-config -o yamlkubectl describe cm game-config

5. 使用文件创建

通过 --from-file 参数只要指定为一个文件就可以从单个文件中创建 ConfigMap

–from-file 这个参数可以使用多次，你可以使用两次分别指定上个实例中的那两个配置文件，效果就跟指定整个目录是一样的

kubectl create configmap game-config-2 --fromfile=game.propertieskubectl get configmaps game-config-2 -o yaml

6. 使用字面值创建

使用文字值创建，利用 ​​--from-literal​​ 参数传递配置信息，该参数可以使用多次，格式如下

kubectl create configmap special-config --from-literal=special.how=very --fromliteral=special.type=charmkubectl get configmaps special-config -o yaml

7.Pod 中使用 ConfigMap

创建两个 ConfigMap（configmap.yaml）

apiVersion: v1kind: ConfigMapmetadata: name: special-config namespace: defaultdata: special.how: very special.type: charm---apiVersion: v1kind: ConfigMapmetadata: name: env-config namespace: defaultdata: log_level: INFO

创建pod

apiVersion: v1kind: Podmetadata: name: dapi-test-podspec: containers: - name: test-container image: wangyanglinux/myapp:v1 command: [ "/bin/sh", "-c", "env" ] # 打印 env env: # 从 ConfigMap 中选择读取的键，并起个别名 - name: SPECIAL_LEVEL_KEY # 键别名，在这值应该是 very valueFrom: configMapKeyRef: name: special-config # ComfigMap 的名称 key: special.how # 上句指定 ConfigMap 中的键名 - name: SPECIAL_TYPE_KEY # 键别名，在这值应该是 charm valueFrom: configMapKeyRef: name: special-config # ComfigMap 的名称 key: special.type # 上句指定 ConfigMap 中的键名 envFrom: # 直接从 ConfigMap 中读取全部配置 - configMapRef: name: env-config # ComfigMap 的名称 restartPolicy: Never

查看日志，可以看到 ConfigMap 中的配置已经注入到了容器中

使用 ConfigMap 设置命令行参数

创建 ConfigMap

apiVersion: v1kind: ConfigMapmetadata: name: special-config namespace: defaultdata: special.how: very special.type: charm

创建pod

apiVersion: v1kind: Podmetadata: name: dapi-test-podspec: containers: - name: test-container image: wangyanglinux/myapp:v1 command: [ "/bin/sh", "-c", "echo $(SPECIAL_LEVEL_KEY) $(SPECIAL_TYPE_KEY)" ] #可以调整启动Pod时的命令 env: # 从 ConfigMap 中选择读取的键，并起个别名 - name: SPECIAL_LEVEL_KEY # 键别名，在这值应该是 very valueFrom: configMapKeyRef: name: special-config # ComfigMap 的名称 key: special.how # 上句指定 ConfigMap 中的键名 - name: SPECIAL_TYPE_KEY # 键别名，在这值应该是 charm valueFrom: configMapKeyRef: name: special-config # ComfigMap 的名称 key: special.type restartPolicy: Never

查看日志

kubectl logs dapi-test-podvery charm

通过数据卷插件使用ConfigMap

通过 ​​Volume​​​ 方式​​挂载​​​，ConfigMap 中的​​键名就是 文件名，键值就是 文件内容​​

创建 ConfigMap

apiVersion: v1kind: ConfigMapmetadata: name: special-config namespace: defaultdata: special.how: very special.type: charm

apiVersion: v1kind: Podmetadata: name: dapi-test-podspec: containers: - name: test-container image: wangyanglinux/myapp:v1 command: ["/bin/sh", "-c", "cat /etc/config/special.how"] # 打印挂载目录下的文件内容 volumeMounts: # volume 挂载 - name: config-volume # 挂载下面指定的 volume mountPath: /etc/config # 挂载到的目录(容器内路径，该目录下，文件名就里键名，文件内容就是键值) volumes: - name: config-volume # volume 名称 configMap: # 来自 ConfigMap name: special-config # ConfigMap 名字 restartPolicy: Never

kubectl logs dapi-test-podvery

8,ConfigMap 的​​热更新​​

创建一个 ConfigMap 和 Deployment：

apiVersion: v1kind: ConfigMapmetadata: name: log-config namespace: defaultdata: log_level: INFO---apiVersion: extensions/v1beta1kind: Deploymentmetadata: name: my-nginxspec: replicas: 1 template: metadata: labels: run: my-nginx spec: containers: - name: my-nginx image: wangyanglinux/myapp:v1 ports: - containerPort: 80 volumeMounts: # 这块儿不懂看上一节《通过数据卷插件使用ConfigMap》 - name: config-volume mountPath: /etc/config # 容器内这个目录下会有 log_level 这个文件，内容为 INFO volumes: - name: config-volume configMap: name: log-config

查看 /etc/config/log_level 文件的内容

kubectl exec my-nginx-c484b98b4-sbls9 -it -- cat /etc/config/log_level INFO

修改 ConfigMap

kubectl edit configmap log-config

再次查看 /etc/config/log_level 文件的内容，可以看到，Pod 中的配置也改了

注意：更新 ConfigMap 后：

使用该 ConfigMap 挂载的 Env 不会同步更新

使用该 ConfigMap 挂载的 Volume 中的数据需要一段时间（实测大概10秒）才能同步更新

让 Pod 滚动更新 ConfigMap 更新后，并不会让相应的文件重载。例如，Nginx 在启动时，会加载一次配置文件（配置文件中有 ConfigMap 的相关参数），加载完成后，无论这个配置文件再怎么变化，Nginx 都不会再加载它。因此需要 ConfigMap 更新后滚动更新 Pod。

可以通过修改 pod annotations 的方式强制触发滚动更新 这里我们在 .spec.template.metadata.annotations 中添加 version/config ，每次通过修改 version/config 的时间来触发滚动更新

kubectl patch deployment my-nginx --patch \'{"spec": {"template": {"metadata": {"annotations":{"version/config": "20211110" }}}}}'

三. Secret

Secret 解决了密码、token、密钥等敏感数据的配置问题，而不需要把这些敏感数据暴露到镜像或者 Pod Spec 中。Secret 可以以 Volume 或者环境变量的方式使用

用户可以创建 secret，同时系统也创建了一些 secret。

Secret 有三种类型：

Service Account：用来访问 Kubernetes API，由 Kubernetes 自动创建，并且会自动挂载到 Pod 的 /run/secrets/kubernetes.io/serviceaccount 目录中Opaque：base64 编码格式的 Secret，用来存储密码、密钥等。加密程度不高kubernetes.io/dockerconfigjson：用来存储私有 docker registry 的认证信息

要使用 secret，pod 需要引用 secret。Pod 可以用两种方式使用 secret：

作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里， 当 kubelet 为 pod 拉取镜像时使用。

1. Service Account（不常用）

Service Account 用来访问 Kubernetes API，由 Kubernetes 自动创建，并且会自动挂载到 Pod 的 /run/secrets/kubernetes.io/serviceaccount 目录中

# 1. 随便找一个需要访问 Kubernetes API 的 Pod$ kubectl get pod -n kube-systemNAME READY STATUS RESTARTS AGEkube-proxy-2pqkk 1/1 Running 6 40d# 2. 查看该 Pod 中 /run/secrets/kubernetes.io/serviceaccount 目录下的文件$ kubectl exec kube-proxy-2pqkk -n kube-system -it -- ls /run/secrets/kubernetes.io/serviceaccountca.crt：访问 API Service 时的证书namespace：名称空间token：认证的密钥信息

2. Opaque Secret

Opaque 类型的数据是一个 map 类型，要求 ​​value 是 base64​​ 编码格式：

（1）创建 Opaque Secret

给用户名和密码用 base64 加密

$ echo -n admin | base64YWRtaW4=$ echo -n 123 | base64MTIz

​​base64​​编码

$ echo -n YWRtaW4= | base64 -dadmin

使用加密后的用户名和密码创建 Secret

apiVersion: v1 # kubectl explain secret 查看kind: Secretmetadata: name: mysecret # Secret 名称type: Opaque # Secret 的类型data: password: MTIz # 密码 username: YWRtaW4= # 用户名

查看Secret​​​default-token-xxxxx​​：k8s 默认会在每个名称空间下都创建一个，用于 Pod 的挂载

$ kubectl get secretNAME TYPE DATA AGEdefault-token-fm46c kubernetes.io/service-account-token 3 40dmysecret Opaque 2 12s

（2）将 Secret 挂载到 Volume 中

创建 Pod

查看

# Opaque Secret 中的用户名和密码都已经挂载进来了$ kubectl exec secret-test -it -- ls /etc/secretspassword username# 查看内容，发现内容已经自动被解密$ kubectl exec secret-test -it -- cat /etc/secrets/password123$ kubectl exec secret-test -it -- cat /etc/secrets/usernameadmin

（3）将 Secret 导出到环境变量中

创建 Deployment

apiVersion: extensions/v1beta1kind: Deploymentmetadata: name: pod-deploymentspec: replicas: 2 template: metadata: labels: app: pod-deployment spec: containers: - name: pod-1 image: wangyanglinux/myapp:v1 ports: - containerPort: 80 env: - name: TEST_USER # 环境变量名 valueFrom: secretKeyRef: # 从 Secret 中获取 name: mysecret # Secret 的名字 key: username # Secret 中的键名 - name: TEST_PASSWORD # 环境变量名 valueFrom: secretKeyRef: # 从 Secret 中获取 name: mysecret # Secret 的名字 key: password # Secret 中的键名（相比 configmap，Secret 在这儿不需要使用明文，稍微安全一点）

查看环境变量

# 进入容器$ kubectl exec pod-deployment-747f78bc67-2w9wk -it -- /bin/sh# 查看环境变量$ echo $TEST_USERadmin$ echo $TEST_PASSWORD123

3. kubernetes.io/docker configjson

使用 Kuberctl 创建 ​​docker registry​​ 认证的 secret

# kubectl create secret docker-registry \ # 创建 Secret 的类型# myregistrykey \ # Secret 的名称# --docker-server=hub.zyx.com \ # docker server 的地址# --docker-username=admin \ # docker 用户名# --docker-password=Harbor12345 \ # docker 密码# --docker-email=aa@qq.com # docker 邮箱kubectl create secret docker-registry \ myregistrykey \ --docker-server=hub.zyx.com \ --docker-username=admin \ --docker-password=Harbor12345 \ --docker-email=aa@qq.com

在创建 Pod 的时候，通过 ​​imagePullSecrets​​​ 来引用刚创建的 ​​myregistrykey​​，来拉取私有仓库的镜像

apiVersion: v1kind: Podmetadata: name: foospec: containers: - name: foo image: hub.zyx.com/zyx/myapp:v1 imagePullSecrets: # 当去私有仓库拉取时的认证信息 - name: myregistrykey # 认证信息，上一步创建的 docker registry

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。