快速了解kubernetes-configmap和secret_secret 和 configmap-优快云博客

本文链接：https://blog.youkuaiyun.com/qq_38743726/article/details/146566500

ConfigMap
用于存储非敏感配置数据（如环境变量、配置文件、命令行参数），旨在实现应用与配置的解耦，提升镜像的可移植性。数据以明文形式存储在etcd中，可通过环境变量、命令行参数或卷挂载的方式注入Pod。
Secret
专为敏感数据（如密码、API密钥、TLS证书）设计，数据默认以Base64编码存储，支持加密功能。Secret通过内存存储和加密传输增强安全性，避免敏感信息以明文暴露。

特性	ConfigMap	Secret
数据类型
非敏感文本（如配置参数、URL）

敏感信息（如密码、SSH密钥）

|
| 存储方式 |

明文存储于etcd，API响应可见

Base64编码存储，支持静态加密（K8s 1.13+）

|
| 访问安全 |

仅依赖Kubernetes RBAC控制访问

额外加密传输，仅分发到需访问的节点

|
| 更新传播 |

挂载为卷时可热更新（需应用支持重载）

挂载为卷时自动更新（需kubelet同步周期）

|
| 可见性 | kubectl describe

可查看完整内容

| kubectl describe

仅显示数据大小

ConfigMap
支持从字面量、文件、目录或YAML直接创建：

kubectl create configmap my-config --from-file=config-file.properties

示例YAML结构：

apiVersion: v1
kind: ConfigMap
metadata:
  name: app-config
data:
  LOG_LEVEL: "DEBUG"
  config-file: |
    property1=value1
    property2=value2

Secret
需对数据进行Base64编码或通过文件隐式编码：

echo -n 'admin' | base64  # 输出YWRtaW4=
kubectl create secret generic db-secret --from-literal=username=YWRtaW4=

示例YAML结构：

apiVersion: v1
kind: Secret
metadata:
  name: db-secret
type: Opaque
data:
  username: YWRtaW4=
  password: MWYyZDFlMmU2N2Rm

环境变量
两者均支持通过env.valueFrom注入：

env:
  - name: DB_PASSWORD
    valueFrom:
      secretKeyRef:  # 或 configMapKeyRef
        name: db-secret
        key: password

卷挂载
挂载为文件时，ConfigMap与Secret的行为差异显著：

volumes:
  - name: config-vol
    configMap:
      name: app-config
  - name: secret-vol
    secret:
      secretName: db-secret

ConfigMap与Secret是Kubernetes配置管理的核心组件，关键区别在于数据敏感性处理机制。ConfigMap适合非敏感配置的灵活管理，而Secret通过加密和访问控制保障敏感数据安全。实际使用中需结合RBAC、加密策略与更新机制，确保配置管理的安全性与高效性。