Kubernetes从零到精通(13-Configmap、Secret)

已于 2024-09-27 18:37:47 修改
阅读量1k 收藏 7
点赞数 21
CC 4.0 BY-SA版权
分类专栏: Kubernetes/K8S 文章标签: kubernetes 容器 云原生
于 2024-09-23 16:39:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/fzw1030/article/details/142460997

目录

一、简介 

二、ConfigMap

ConfigMap简介

ConfigMap创建示例

ConfigMap使用示例

三、Secret

Secret简介 

 Secret创建示例

 Secret使用示例

Secret类型 

四、ConfigMap与Secret的区别 

一、简介 

       在Kubernetes中,ConfigMap和Secret是两种用于配置和管理应用程序数据的资源类型。它们的主要目的是将配置数据(例如应用的配置文件)或敏感信息(例如密码、密钥等)与应用程序代码分离。这样可以让应用程序的配置更灵活,同时保证安全性,特别是对于敏感数据。

二、ConfigMap

ConfigMap简介

        ConfigMap是一种用于存储非机密的键值对数据的对象,通常用于配置文件、环境变量、命令行参数等。它允许你将配置数据与容器化的应用程序分离,从而让应用在不同的环境中具有更好的灵活性。功能如下:

存储配置信息:你可以将环境相关的配置(例如数据库URL、服务端口等)存储在ConfigMap中,部署应用时将这些配置注入到Pod中。

存储非敏感信息:它用于存储非机密的配置信息,而敏感数据则使用Secret。

        主要的使用方法如下:

通过环境变量

挂载到文件系统

ConfigMap创建示例

        可以通过命令或YAML文件创建ConfigMap。

        通过命令创建ConfigMap:

# 从文件创建ConfigMap
kubectl create configmap my-config --from-file=config-file.conf

# 从多个键值对创建ConfigMap
kubectl create configmap my-config --from-literal=key1=value1 --from-literal=key2=value2

        通过YAML文件创建ConfigMap:

apiVersion: v1
kind: ConfigMap
metadata:
  name: my-config
data:
  DATABASE_URL: "postgresql://user:password@localhost:5432/db"
  MAX_CONNECTIONS: "100"

ConfigMap使用示例

         ConfigMap可以通过以下方式使用:

        1.作为环境变量:

apiVersion: v1
kind: Pod
metadata:
  name: my-pod
spec:
  containers:
  - name: my-container
    image: nginx
    env:
    - name: DATABASE_URL
      valueFrom:           #作为环境变量引用
        configMapKeyRef:
          name: my-config
          key: DATABASE_URL

        2.挂载为文件:

apiVersion: v1
kind: Pod
metadata:
  name: my-pod
spec:
  containers:
  - name: my-container
    image: nginx
    volumeMounts:      #挂载为文件
    - name: config-volume
      mountPath: "/etc/config"
  volumes:     
  - name: config-volume
    configMap:
      name: my-config

三、Secret

Secret简介 

        Secret是一种用于存储和管理敏感信息的Kubernetes对象,例如密码、OAuth令牌、SSH密钥等。与ConfigMap类似,Secret也是存储键值对数据的对象,但它的目标是处理机密数据。Kubernetes中的Secret数据是以base64编码存储的,并可以通过加密增强安全性。功能如下:

存储敏感信息:用于存储密码、访问令牌、密钥等。
更安全的存储方式:Secret可以加密存储,并且与Pod分开管理,避免在配置中直接暴露敏感信息。
使用限制:通过对Secret的访问权限进行控制,避免敏感数据的泄露。

 Secret创建示例

        可以通过命令或YAML文件创建Secret。

        通过命令创建Secret:

# 从字面值创建Secret
kubectl create secret generic my-secret --from-literal=username=admin --from-literal=password=secretpassword

# 从文件创建Secret
kubectl create secret generic my-secret --from-file=./username.txt --from-file=./password.txt

        通过YAML文件创建Secret:

apiVersion: v1
kind: Secret
metadata:
  name: my-secret
type: Opaque
data:
  username: YWRtaW4=       # base64编码的 "admin"
  password: c2VjcmV0cGFzc3dvcmQ=  # base64编码的 "secretpassword"

        注意:Secret中的数据是以base64编码存储的。可以使用echo -n 'your_value' | base64来手动编码数据。 

 Secret使用示例

        Secret可以通过以下方式使用:

        1. 作为环境变量:

apiVersion: v1
kind: Pod
metadata:
  name: my-pod
spec:
  containers:
  - name: my-container
    image: nginx
    env:
    - name: USERNAME
      valueFrom:
        secretKeyRef:
          name: my-secret
          key: username
    - name: PASSWORD
      valueFrom:
        secretKeyRef:
          name: my-secret
          key: password

        2. 挂载为文件:

apiVersion: v1
kind: Pod
metadata:
  name: my-pod
spec:
  containers:
  - name: my-container
    image: nginx
    volumeMounts:
    - name: secret-volume
      mountPath: "/etc/secret"
  volumes:
  - name: secret-volume
    secret:
      secretName: my-secret

Secret类型 

        Kubernetes支持不同类型的Secret,常见的类型包括:

Opaque:默认类型,用户可以存储任意的键值对。

kubernetes.io/service-account-token:用于存储服务账户的令牌。Kubernetes会自动创建并更新这类Secret,开发者通常不需要手动管理。

tls:用于存储TLS证书和密钥。

apiVersion: v1
kind: Secret
metadata:
  name: tls-secret
type: kubernetes.io/tls
data:
  tls.crt: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tCg==  # base64编码的证书内容
  tls.key: LS0tLS1CRUdJTiBSU0EgUFJJVkFURSBLRVkgLS0tLS0K...  # base64编码的私钥内容

ssh-auth等其他类型。

四、ConfigMap与Secret的区别 

特性ConfigMapSecret
用途存储非敏感的配置信息,如环境变量、配置文件等存储敏感信息,如密码、密钥、访问令牌等
数据格式存储纯文本数据以Base64编码的方式存储数据,通常用于敏感数据
安全性数据不加密,可直接查看数据以Base64编码存储,可使用加密机制增强安全性
加密支持不支持加密支持通过Kubernetes中的密钥管理服务(KMS)加密
创建方式可以通过文件或键值对创建可以通过文件或键值对创建,支持多种类型
挂载方式可以挂载为环境变量、文件等可以挂载为环境变量、文件等

安全运维-如何在Kubernetes中使用注释对ingress-nginx及后端应用进行安全加固配置实践...
WeiyiGeek 唯一极客IT知识分享
08-15 2417
关注「WeiyiGeek」公众号设为「特别关注」每天带你玩转网络安全运维、应用开发、物联网IOT学习!本章目录:0x08 Kubernetes中ingress-nginx安全配置1.配置指定的 Ingress Class2.安全配置之强制跳转HTTPS3.安全配置之跨域访问cors4.安全配置之防止DDOS请求限流5.安全配置之请求访问白名单6.安全配置之请求访问日志记录7.安全配置之Nginx指.........
Spring Boot进阶(97):从入门到精通:Spring Boot整合Kubernetes详细教程
**My Coding Family**
10-31 2156
从入门到精通:Spring Boot整合Kubernetes详细教程,带你一文搞定。
(k8s)kubernetesConfigMapSecret
Richardlygo的博客
09-27 1194
ConfigMap是一种API对象,用来将非机密性的数据保存到键值对中。使用时,Pod可以将其用作环境变量、命令行参数或存储卷中的配置文件。ConfigMap将你的环境配置信息容器镜像解耦,便于应用配置的修改。注意:ConfigMap并不提供保密或加密功能。如果你想存储的数据是机密性的,请使用Secret,或者使用其他第三方工具来保存你的数据的私密性,而不是用ConfigMap
configMapsecret
jingzhiz 专属移动笔记
06-08 644
容器内应用程序传递参数的实现方式:   1. 将配置文件直接打包到镜像中,但这种方式不推荐使用,因为修改配置不够灵活。   2. 通过定义Pod清单时,指定自定义命令行参数,即设定 args:["命令参数"],这种也    可在启动Pod时,传参来修改Pod的应用程序的配置文件.   3. 使...
Kubernetes配置与密钥管理ConfigMap&Secret
2402_88627342的博客
04-28 1000
Opaque(不透明的),用来存储密码、密钥、敏感信息、证书等,base64编码格式的Secret,符合这种需求的都可以使用。Opaque 是最常见的 Secret 类型,它通常用于存储任意的键值对,这些键值对可以是配置信息、密码、令牌等。SecretConfigMap类似,主要区别ConfigMap存储的是明文,而secret存储的是密文。可以实现将应用程序的配置信息与容器镜像分离,以便在不重新构建镜像的情况下进行配置的修改更新。用于为SSL通信模式存储证书私钥文件,命令式创建类型标识为tls。
ConfigMapSecret
Kubernetes enthusiasts
02-08 1212
一、ConfigMap 什么是configmap kubernetes集群可以使用ConfigMap来实现对容器中应用的配置管理。 可以把ConfigMap看作是一个挂载到pod中的存储卷 创建ConfigMap的4种方式 创建ConfigMap的方式有4种: 1, 通过直接在命令行中指定configmap参数创建,即--from-literal=key=value; [root@master1 ~]# kubectl create configmap cm1 --from-literal=host=1
kubernetesConfigMapSecret
qq_41619571的博客
10-03 2706
1. Secret 是一种包含少量敏感信息,例如密码、token 或 key 的对象这样的信息可能会被放在Pod spec 中或者镜像中;将其放在一个secret 对象中可以更好地控制它的用途,并降低意外暴露的风险2.ConfigMap 主要解决配置文件的存储问题,而Secret 主要用来解决密码、token、秘钥等敏感数据①在创建、查看编辑Pod的流程中Secret 暴露风险较小②系统会对Secret 对象采取额外的预防措施,例如避免将其写入磁盘中可能的位置③。
ConfigMapSecret
weixin_45636702的博客
02-17 572
ConfigMapSecret 为什么有这两个东西: 我们在kubernetes上部署应用的时候,经常会需要传一些配置给我们的应用,比如数据库地址啊,用户名密码啊之类的。我们要做到这个,有好多种方案,比如: 我们可以直接在打包镜像的时候写在应用配置文件里面,但是这种方式的坏处显而易见而且非常明显。 我们可以在配置文件里面通过env环境变量传入,但是这样的话我们要修改env就必须去修改yaml...
强烈推荐Kubernetes云原生K8S入门到精通
03-09
第七章:ConfigMapSecret配置与密钥管理 第八章:容器镜像仓库Harbor 第九章:基于K8S的CI/CD 第十章:认证及Service Account、鉴权RBAC 第十一章:K8S数据存储 第十二章:K8S Dashboard 第十三章:prometheus监控
kubernetes(k8s)从入门到精通--通过yaml创建一个pod对象-第一章-第三节【入门篇】
Laughing_G的博客
10-14 867
一、Pod是个什么东西? 在K8S中,Pod是创建或部署的最小/最简单的基本单位,一个Pod是由多个Docker容器组成的容器组成的。pod中包含了业务容器pause容器。其中pause容器是负责监控pod整体状态保证podpod之前进行通信的“根容器”。如图: 关于pod后面我们会详细学习,所以大概在这里只需了解一下pod的组成即可。 二、k8s pody...
Kubernetes Workflow 实战:从入门到精通
最新发布
TechEnthusiast的博客
07-12 40
在现代云原生应用开发中,Kubernetes (简称K8s) 已成为容器编排的事实标准。掌握Kubernetes的工作流(Workflow)对于开发者运维人员至关重要。本文将带你全面了解Kubernetes工作流,从基础概念到实战应用,帮助你构建高效、可靠的容器化应用部署流程。Kubernetes Workflow指的是在Kubernetes集群中从代码提交到应用部署的完整过程,包括资源定义、配置管理、部署策略、监控维护等一系列操作。Kubernetes Workflow是现代云原生应用部署的核心。
配置资源管理之configmapsecret
MCB134的博客
05-31 1327
实践版。
Keburnetes 配置资源管理 Secret ConfigMap
低温热源的博客
08-16 203
Keburnetes 配置资源管理 Secret ConfigMapSecret Secret 是用来保存密码、token、密钥等敏感数据的 k8s 资源,这类数据虽然也可以存放在 Pod 或者镜像中,但是放在 Secret 中是为了更方便的控制如何使用数据,并减少暴露的风险。ConfigMapSecret类似,区别在于ConfigMap保存的是不需要加密配置的信息。 ConfigMap 功能在 Kubernetes1.2 版本中引入,许多应用程序会从配置文件、命令行参数或环境变量中读取配置信息。Con
k8s 之 Configmap
热门推荐
高飞的博客
12-23 19万+
k8s configmap
Kubernetes数据持久化之SecretConfigMap
看清所以看轻
08-24 433
ConfigMapSecretKubernetes中两种特殊类型的存储卷,ConfigMap这种资源对象主要用于提供配置数据以定制程序行为,不过一些敏感的配置信息,比如像用户名、密码、密钥等通常都是由Secret这种资源对象来进行配置的,他们将相应的配置信息保存于对象中,而后在Pod资源上以存储卷的形式将其挂载并获取相应配置,以实现配置与镜像文件的解耦。 一、Secret资源对象 1) Secret概述 Secret资源对象存储数据的方式是以键值对的方式进行存储的,在Pod资源进行Secret的方式是通
k8s之configmapsecret
weixin_33908217的博客
12-25 447
配置信息注入 configmapsecret 简介   ConfigMap API资源提供了将配置数据注入容器的方式,同时保证该机制对容器来说是透明的。ConfigMap可以被用来保存单个属性,也可以用来保存整个配置文件或者JSON二进制大对象。   ConfigMap API资源存储键/值对配置数据,这些数据可以在pods里使用。ConfigMapSecrets类似,但是ConfigMap...
kubernetessecretconfigmap
coisini-ye
07-25 353
一、用kubernetes管理机密信息 应用启动过程中可能需要一些敏感信息,比如访问数据库的用户名密码或者秘钥,将这些信息直接保存在容器镜像中显然不妥,kubernetes提供了解决方案是secret secret资源对象:解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。 secret可通过命令行或YAML创建。比如希望secret包含如下信息: ...
kubernetessecretconfigmap
syztoo
09-12 609
在日常单机甚至集群状态下,我们需要对一个应用进行配置,只需要修改其配置文件即可。那么在容器中又该如何提供配置信息呢???例如,为Nginx配置一个指定的server_name或worker进程数,为Tomcat的JVM配置其堆内存大小。 传统的实践过程中通常有以下几种方式: 启动容器时,通过命令传递参数; 将定义好的配置文件通过镜像文件进行写入; 通过环境变量的方式传递配置数据; 挂载D...
理论+实操:k8S配置参数管理——secretconfigmap
Lfwthotpt的博客
05-17 1011
文章目录一:secret概述1.1 创建secret的方法1.2 使用secret的方法二:创建Secret2.1 基于文件创建2.2 基于参数手动创建2.2.1 编辑yaml文件2.3 总结三:使用secret3.1 作为环境变量暴露出来3.2 以volume的形式挂载到pod的某个目录下四:configmap4.1 创建方式4.2 使用kubectl创建4.3 创建yaml文件4.4 使用变量参数形式 secret 安全配置参数 configmap 配置文件参数 一:secret概述 加密数据并存放在e
Kubernetes深度解析:从入门到精通
- **ConfigMap****Secret**:用于存储非结构化配置数据敏感信息,如密码API密钥。 **核心组件**: - **etcd**:分布式键值存储,用于保存Kubernetes集群的状态。 - **kube-apiserver**:API服务器,处理所有...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

炸裂狸花猫

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值