Kubernetes# 管理配置数据ConfigMap和Secret

置顶 已于 2024-12-17 16:40:28 修改
阅读量784 收藏 26
点赞数 12
分类专栏: Kubernetes 文章标签: kubernetes 容器 云原生
于 2024-12-17 16:37:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43996530/article/details/144536431
版权

目录

基本概念

ConfigMap

Secret

配置对比

数据存储形式

数据访问形式

安全性

基本概念

Kubernetes为我们提供了两种配置资源对象,用来管理一些敏感数据的配置以及业务数据的配置,ConfigMapSecret 是 Kubernetes 中用于管理配置数据的两种资源类型,二者在功能上有许多相似之处,但主要区别在于它们的用途和数据处理方式,ConfigMap和Secret的数据都是存储在Kubernetes的etcd中。

ConfigMap

用于存储非敏感的配置数据,如配置信息、环境变量、命令行参数等。数据以键值对的形式存储,数据以明文存储,适合存储不需要保护的配置信息,创建ConfigMap有以下几种方式:

通过yaml配置键值对:

apiVersion: v1
kind: ConfigMap
metadata:
  name: my-config-yaml
data:
  database_url: jdbc:mysql://localhost:3306/mydb
  log_level: INFO

通过命令直接配置:

kubectl create configmap my-config \
  --from-literal=key1=value1 \
  --from-literal=key2=value2

从文件创建:

echo "app.name=MyApp" > app.properties
echo "app.version=1.0" >> app.properties

kubectl create configmap my-config-file \
  --from-file=app.properties

在pod中使用ConfigMap:

  • 直接配置键值对 
    env:
- name: APP_CONFIG_KEY1
  valueFrom:
    configMapKeyRef:
      name: example-config  //configMap对象名称
      key: key1   // configMap中定义的key

  • 通过挂载的方式使用ConfigMap(适用配置数据大的场景):

    // 将配置内容存储为文件
echo -e "key1=value1\nkey2=value2" > app.properties
kubectl create configmap example-config --from-file=app.properties


// 创建pod并挂载configMap
apiVersion: v1
kind: Pod
metadata:
  name: configmap-example-pod
spec:
  containers:
  - name: app-container
    image: nginx
    volumeMounts:
    - name: config-volume
      mountPath: /etc/config          # 配置文件挂载路径,将configmap内容挂载到/etc/config路径
  volumes:
  - name: config-volume
    configMap:
      name: example-config           # 引用 ConfigMap



// 验证pod是否挂载成功
kubectl exec -it configmap-example-pod -- /bin/bash
cat /etc/config/app.properties

输出结果:
key1=value1
key2=value2

Secret

用于存储敏感数据,如密码、令牌、证书等。数据以键值对的形式存储,并且支持编码和加密,默认以Base64编码存储,以保证安全性。Secret有以下几种创建方式:

用Base64编码数据配置键值对:

apiVersion: v1
kind: Secret
metadata:
  name: example-secret
type: Opaque
data:
  username: dXNlcm5hbWU=  # Base64 编码的 'username'
  password: cGFzc3dvcmQ=  # Base64 编码的 'password'

基于明文创建(k8s会默认用Base64编码):

kubectl create secret generic db-user-pass \
    --from-literal=username=admin \
    --from-literal=password='S!B\*d$zDsb='

挂载文件:

echo "my-secret-username" > username.txt
echo "my-secret-password" > password.txt
kubectl create secret generic example-secret --from-file=username.txt --from-file=password.txt

//输出结果
apiVersion: v1
kind: Secret
metadata:
  name: example-secret
data:
  username.txt: bXktc2VjcmV0LXVzZXJuYW1l
  password.txt: bXktc2VjcmV0LXBhc3N3b3Jk

pod中使用secret:

  • 直接应用键值对 
    apiVersion: v1
kind: Pod
metadata:
  name: pod-with-secret-env
spec:
  containers:
  - name: my-container
    image: nginx
    env:
    - name: USERNAME
      valueFrom:
        secretKeyRef:
          name: my-secret   //secret对象名称
          key: username   //secret对象定义的key
    - name: PASSWORD
      valueFrom:
        secretKeyRef:
          name: my-secret
          key: password
  • 挂载文件 
    apiVersion: v1
kind: Pod
metadata:
  name: pod-with-secret-volume
spec:
  containers:
  - name: my-container
    image: nginx
    volumeMounts:
    - name: secret-volume
      mountPath: "/etc/secret"  //将my-secret对象挂载到容器的指定路径下
      readOnly: true
  volumes:
  - name: secret-volume
    secret:
      secretName: my-secret

配置对比

ConfigMap和Secret都是kubernetes内置的资源配置对象,对应不同的使用场景,也有差别。

数据存储形式

特性ConfigMapSecret
数据类型明文存储Base64编码存储
数据加密支持不支持支持加密
典型用途配置文件、环境变量等非敏感数据密码、API密钥

数据访问形式

访问方式ConfigMapSecret
作为环境变量挂载支持支持
作为文件挂载支持支持
直接在Pod中引用支持支持(以Base64解码形式提供给容器)

安全性

特性ConfigMapSecret
存储安全性明文存储,无加密保护存储支持加密
RBAC权限控制支持支持
默认保护机制无特殊保护机制受集群安全组件限制,防止非授权访问
六、Kubernetes配置管理ConfigMapSecret
Cyan_Jiang的博客
11-19 748
应用部署的一个最佳实践是将应用所需的配置信息与程序分离,这样可以使应用程序被更好地复用,通过不同的配置也能实现更灵活的功能。将应用打包为容器镜像后,可以通过环境变量或者外挂文件的方式在创建容器时进行配置注入,但在大规模容器集群的环境中,对多个容器进行不同的配置将变得非常复杂。配置管理问题风险:配置文件写在代码里,管理不方便,且有风险。 配置文件分离,是主要作用,独立配置文件,管理操作都方便。如果有热加载,变更配置文件,不需要影响pod。ConfigMap用于明文配置文件,redis文件等。Secret用于
KubernetesConfigMapSecret
每天都要开心呀(#^.^#)
05-24 429
一文搞懂kubernetes中两种特殊类型的卷ConfigMapSecret
Kubernetes中的ConfigmapSecret
aifeier1982的博客
11-01 203
本文的试验环境为CentOS 7.3,Kubernetes集群为1.11.2,安装步骤参见kubeadm安装kubernetes V1.11.1 集群 应用场景:镜像往往是一个应用的基础,还有很多需要自定义的参数或配置,例如资源的消耗、日志的位置级别等等,这些配置可能会有很多,因此不能放入镜像中,Kubernetes中提供了Configmap来实现向容器中提供配置文件或环境变量来实...
K8S 快速入门(十二)实战篇:配置 ConfigMap&Secret
语雀同名:犬豪 yuque.com/qhao
12-18 1912
一、configMap 官方文档 ConfigMap 1. 动机 我们经常都需要为我们的应用程序配置一些特殊的数据,比如密钥、Token 、数据库连接地址或者其他私密的信息。你的应用可能会使用一些特定的配置文件进行配置,比如settings.py文件,或者我们可以在应用的业务逻辑中读取环境变量或者某些标志来处理配置信息。我们要做到这个,有好多种方案,比如: 我们可以直接在打包镜像的时候写在应用配置文件里面,但是这种方式的坏处显而易见而且非常明显。 我们可以在配置文件里面通过 env 环境变量传入,但是这样
KUBERNETES-1-11-ConfigmapSecret
拙能胜巧
12-14 327
1.kubectl create configmap nginx-config --from-literal=nginx_port=80 --from-literal=server_name=myapp.example.com这里之间使用命令创建带有两个KEY的configmap资源。kubectl get cm获取configmap资源信息。kubectl describe cm nginx-c...
Kubernetes 基础:Namespace、ConfigMapSecret的使用
最新发布
在技术的广袤天地里,本博客如精准罗盘。剖析前沿科技,深掘代码奥秘,以精炼笔触,带您穿越复杂技术迷宫,速达知识彼岸。
09-11 1417
恭喜🎉🎉🎉!!!到这里,你已经看完了本篇 K8s 基础教程学习。如果你完成了教程中的大部分练习,那你已经能够使用 Kubernetes 进行日常开发工作了。如果你的工作需要深度使用 K8s(比如运维人员)亦或你想要深度掌握 K8s的使用,那请允许我向你推荐[Kubernetes 进阶教程][Kubernetes 进阶教程],预祝下一旅途愉快!
Kubernetes(十二)Kubernetes ConfigMap&Secret详解
liu_weiliang10405的博客
04-01 821
一、ConfigMap 官方文档 ConfigMap 概念 ConfigMap的功能在k8s1.2版本中引入的,许多应用程序会从配置文件,命令行参数或环境变量中读取配置信息。ConfigMap API会给我们提供了向容器中注入配置信息的机制,ConigMap可以被用来保存单个属性,也可以用来保存整个配置文件或者JSON二进制的对象 1. 为什么需要configmap 我们经常都需要为我们的应用程序配置一些特殊的数据,比如密钥、Token 、数据库连接地址或者其他私密的信息。你的应用可能会使用一些特
kubernetes-配置与存储(ConfigMap、加密数据配置Secret、SubPath、热更新、Volumes、..)
09-07
Kubernetes集群内,ConfigMapSecret是两种主要的资源,用于处理配置数据敏感信息。 ConfigMapKubernetes中的一个API对象,它可以存储为容器应用配置的非敏感数据。它可以将配置信息与镜像分离,使得应用...
Kubernetes配置资源 ConfigMap(01部分)
Linux学习的那些事儿
08-12 1154
Kubernetes配置资源 ConfigMap(01部分)
Kubernetes(十五)ConfigmapSecret
wzj_110的博客
11-15 728
一 背景引出 前面我们学习了一些'常用的资源对象'的使用,但是'单纯依靠'这些资源对象,还'不足以'满足我们的日常需求 一个'重要的需求'就是'应用的配置管理'、'敏感信息的存储使用(passwd、token)'、'容器运行资源的配置'、'安全管控'、'身份认证'等等 二 ConfigMap 对于'应用的可变配置'在 Kubernetes 中是通过一个'ConfigMap资源对象'来实现的 我们知道'许多应用'经常会有从'配置文件'、'命令行参数'或者'环境变量中'读取一...
简述 Kubernetes ConfigMap Secret
u011447403的专栏
04-17 407
简述 kubernetes 中的配置对象 ConfigMap Secret
KubernetesSecretConfigMap实践
bright的博客
03-08 458
1.SecretSecret解决了密码、token、密钥等敏感数据配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。1.1Secret类型Secret有三种类型:Opaque:base64编码格式的Secret,用来存储密码、密钥等;但数据也通过base64 –decode解码得到原始数据,所有加密性很弱。kubernetes...
【K8S】Kubernetes 中用于配置的资源对象——ConfigMap/Secret
Transient_的博客
11-04 195
Kubernetes 中将所有要管理的目标都为其创建了相应的 API 资源对象。服务配置对应的资源对象就是 ConfigMap/Secret。这两种资源对象分别是为了管理明文配置加密配置
springboot通过kubernetesconfigMap挂载配置文件
u010038477的博客
07-31 315
【代码】springboot通过kubernetesconfigMap挂载配置文件。
kubernetesConfigMapSecret
qq_41619571的博客
10-03 2671
1. Secret 是一种包含少量敏感信息,例如密码、token 或 key 的对象这样的信息可能会被放在Pod spec 中或者镜像中;将其放在一个secret 对象中可以更好地控制它的用途,并降低意外暴露的风险2.ConfigMap 主要解决配置文件的存储问题,而Secret 主要用来解决密码、token、秘钥等敏感数据①在创建、查看编辑Pod的流程中Secret 暴露风险较小②系统会对Secret 对象采取额外的预防措施,例如避免将其写入磁盘中可能的位置③。
K8s configmapsecret
草莓甜甜圈的博客
12-24 1201
secretconfigmap可以理解为特殊的存储卷,但是它们不是给Pod提供存储功能的,而是提供了从集群外部向集群内部的应用注入配置信息的功能。ConfigMap扮演了K8S集群中配置中心的角色。ConfigMap定义了Pod的配置信息,可以以存储卷的形式挂载至Pod中的应用程序配置文件目录,从configmap中读取配置信息;也可以基于环境变量的形式,从ConfigMap中获取变量注入到Po...
Kubernetes 存储(ConfigmapSecret、Volume、PV-PVC)
果子哥丶的博客
10-06 1650
一、ConfigMap、 1、ConfigMap描述信息、 2、ConfigMap的创建、 3、Pod中使用ConfigMap、 4、ConfigMap的热更新, 二、Secret 1、Secret存在意义、 2、Secret的三种类型、 3、Service Account、 4、Opaque Secret, 三、volume、 1、背景、 2、卷的类型、 3、卷类型:emptyDir、 4、卷类型:hostPath, 四、PV-PVC、 1、持久化演示说明 - NFS、 2、关于StatefulSet、
kubernetessecretconfigmap
syztoo
09-12 601
在日常单机甚至集群状态下,我们需要对一个应用进行配置,只需要修改其配置文件即可。那么在容器中又该如何提供配置信息呢???例如,为Nginx配置一个指定的server_name或worker进程数,为Tomcat的JVM配置其堆内存大小。 传统的实践过程中通常有以下几种方式: 启动容器时,通过命令传递参数; 将定义好的配置文件通过镜像文件进行写入; 通过环境变量的方式传递配置数据; 挂载D...
k8s之configmapsecret向Pod注入配置数据
yrx420909的博客
04-27 2587
1.configmap configmapsecret是两种特殊的存储卷,它们不是给pod提供存储空间用的,而是给管理员或者用户提供了从外部向pod内部注入信息的方式. configmap:把配置文件放在配置中心上,然后多个pod读取配置中心的配置文件,不过,configmap中的配置信息都是明文的,所以不安全; secret:功能configmap一样,只不过配置中心存储的配置文件不是明文的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值