AWS Kubernetes 工作坊：应用配置与密钥管理实践指南

AWS Kubernetes 工作坊：应用配置与密钥管理实践指南

aws-workshop-for-kubernetes AWS Workshop for Kubernetes 项目地址: https://gitcode.com/gh_mirrors/aw/aws-workshop-for-kubernetes

前言

在现代云原生应用开发中，遵循12要素原则已成为行业最佳实践。其中"配置分离"原则强调将应用配置与代码分离，这使得应用能够在不同环境（如开发、测试、生产）中灵活部署。本文将深入探讨在Kubernetes环境中如何实现这一原则，特别关注AWS Kubernetes工作坊中的配置管理实践。

核心概念解析

ConfigMap与Secret的区别

Kubernetes提供了两种原生资源来管理配置：

1. ConfigMap：用于存储非敏感配置数据

   • 纯文本格式存储
   • 适合环境变量、命令行参数等常规配置
   • 可通过多种方式创建和使用

2. Secret：专为敏感数据设计

   • 默认采用Base64编码（注意：这不是加密）
   • 适合存储密码、API密钥等敏感信息
   • 提供额外的访问控制层

实战演练：ConfigMap应用

创建ConfigMap的三种方式

1. YAML文件定义法（推荐生产环境使用）

# redis-configmap.yaml示例
apiVersion: v1
kind: ConfigMap
metadata:
  name: redis-config
data:
  redis-config: |
    maxmemory=2mb
    maxmemory-policy=allkeys-lru

应用配置：

kubectl apply -f redis-configmap.yaml

2. 命令行直接创建法（适合快速测试）

kubectl create configmap redis-config \
  --from-literal=maxmemory=2mb \
  --from-literal=maxmemory-policy=allkeys-lru

3. 配置文件导入法（适合已有配置文件迁移）

kubectl create configmap redis-config \
  --from-file=redis.properties

ConfigMap的两种使用方式

1. 挂载为卷（Volume）

# redis-pod.yaml示例
apiVersion: v1
kind: Pod
metadata:
  name: redis-pod
spec:
  containers:
  - name: redis
    image: redis
    volumeMounts:
    - name: config
      mountPath: /usr/local/etc/redis
  volumes:
  - name: config
    configMap:
      name: redis-config

验证配置生效：

kubectl exec -it redis-pod -- redis-cli
127.0.0.1:6379> CONFIG GET maxmemory

2. 注入为环境变量

# app-pod.yaml示例
apiVersion: v1
kind: Pod
metadata:
  name: app-pod
spec:
  containers:
  - name: app
    image: my-app
    env:
    - name: COUNT
      valueFrom:
        configMapKeyRef:
          name: hello-config
          key: COUNT

安全实践：Secret管理

创建Secret的规范流程

1. 首先对敏感数据进行Base64编码：

echo -n "admin" | base64
echo -n "password" | base64

2. 通过YAML定义Secret：

# secret.yaml示例
apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  username: YWRtaW4=
  password: cGFzc3dvcmQ=

Secret的两种使用方式

1. 挂载为卷

# pod-secret-volume.yaml示例
apiVersion: v1
kind: Pod
metadata:
  name: pod-secret-volume
spec:
  containers:
  - name: app
    image: redis
    volumeMounts:
    - name: secrets
      mountPath: "/etc/secrets"
      readOnly: true
  volumes:
  - name: secrets
    secret:
      secretName: mysecret

2. 注入为环境变量

# pod-secret-env.yaml示例
apiVersion: v1
kind: Pod
metadata:
  name: pod-secret-env
spec:
  containers:
  - name: app
    image: redis
    env:
    - name: DB_USERNAME
      valueFrom:
        secretKeyRef:
          name: mysecret
          key: username
    - name: DB_PASSWORD
      valueFrom:
        secretKeyRef:
          name: mysecret
          key: password

进阶方案：AWS参数存储集成

对于企业级应用，AWS Parameter Store提供了更强大的功能：

1. 集中化管理：统一存储所有环境配置
2. 版本控制：跟踪配置变更历史
3. KMS加密：自动加密敏感数据
4. 精细权限控制：通过IAM策略管理访问

创建KMS加密密钥

1. 在AWS控制台创建KMS密钥
2. 设置密钥别名为k8s-key
3. 配置密钥使用权限：
   • 管理员权限：给运维团队
   • 使用权限：给Kubernetes节点角色

安全最佳实践

1. 为不同环境使用不同的KMS密钥
2. 定期轮换加密密钥
3. 通过CloudTrail监控所有参数访问
4. 遵循最小权限原则分配访问权限

总结与建议

通过本文的实践，我们掌握了在Kubernetes中管理配置和密钥的多种方法。对于不同场景，建议：

• 开发环境：使用ConfigMap简化流程
• 生产环境：结合Secret和KMS实现多层安全
• 企业级部署：集成AWS Parameter Store实现集中化管理

配置管理是云原生应用的重要基石，正确的实践能够显著提高应用的安全性和可维护性。希望本指南能帮助您在Kubernetes旅程中建立坚实的配置管理基础。

aws-workshop-for-kubernetes AWS Workshop for Kubernetes 项目地址: https://gitcode.com/gh_mirrors/aw/aws-workshop-for-kubernetes