kubernetes集群实战——Configmap配置管理和Secret配置管理

1.ConfigMap配置管理

configmap用于保存配置数据,以键值对形式存储。
configMap 资源提供了向 Pod 注入配置数据的方法。
旨在让镜像和配置文件解耦,以便实现镜像的可移植性和可复用性。
典型的使用场景:
• 填充环境变量的值
• 设置容器内的命令行参数
• 填充卷的配置文件

2.创建ConfigMap的方式

4种方式：
• 使用字面值创建
• 使用文件创建
• 使用目录创建
• 编写configmap的yaml文件创建

2.1使用字面值创建

kubectl create configmap my-config --from-literal=key1=config1 --from-literal=key2=config2

2.2使用文件创建

举例：使用/etc/resolv.conf文件来创建一个configmap

kubectl create configmap my-config-2 --from-file=/etc/resolv.conf
key的名称是文件名称,value的值是这个文件的内容

2.3 使用目录创建

建立一个test目录，添加一些有内容的文件，目录中的文件名为key,文件内容是value

kubectl create configmap my-config-3 --from-file=test
目录中的文件名为key,文件内容是value

2.4 编写configmap的yaml文件创建ConfigMap

创建一个cm目录用来存放创建ConfigMap的yaml文件
编辑yaml文件—>应用yaml文件

3. Configmap的使用

如何使用configmap:
• 通过环境变量的方式直接传递给pod
• 通过在pod的命令行下运行的方式
• 作为volume的方式挂载到pod内

3.1 使用configmap设置环境变量

定义configmap的key

apiVersion: v1
kind: ConfigMap
metadata:
  name: cm1-config
data:
  db_host: "172.25.12.250"
  db_port: "3306"
---
apiVersion: v1
kind: Pod
metadata:
  name: pod1
spec:
  containers:
    - name: pod1
      image: busybox
      command: ["/bin/sh", "-c", "env"]
      env:
        - name: key1
          valueFrom:
            configMapKeyRef:
              name: cm1-config
              key: db_host
        - name: key2
          valueFrom:
            configMapKeyRef:
              name: cm1-config
              key: db_port
  restartPolicy: Never

直接使用configmap

3.2 使用conigmap设置命令行参数

command: ["/bin/sh", "-c", "echo $(db_host) $(db_port)"] 

3.3 通过数据卷使用configmap

应用一：查看pod日志时终端显示ip


应用二：查看pod日志时终端显示ip172.25.12.250和端口号3306

4. configmap热更新

vim cm1.yml
vim server.conf
kubectl create configmap nginx-config --from-file=server.conf
kubectl apply -f cm1.yml
kubectl get pod

yaml文件内容如下图：


server.conf文件内容如下：

kubectl exec my-nginx-7db4c4f989-bg967 -- cat /etc/nginx/conf.d/server.conf
kubectl patch deployments.apps my-nginx --patch '{"spec": {"template":{"metadata": {"annotations": {"version/config": "20200630"}}}}}'	
##configmap热更新后,并不会触发相关Pod的滚动更新,需要手动触发

注意：
每次通过修改“version/config”来触发Pod滚动更新。
使用configmap挂载的env环境变量是不会更新的。

访问测试

kubectl get pod -o wide
curl 10.244.2.15:8000

修改端口号为8080


可以看出configmap热更新以生效,但访问Pod的8080端口是无效的

需要手动触发Pod滚动更新, 这样才能再次加载server.conf配置文件:

5. Secret配置管理

5.1 Secret配置管理介绍

Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 ssh key
敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活
Pod 可以用两种方式使用 secret:
• 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里。
• 当 kubelet 为 pod 拉取镜像时使用。
Secret的类型:
• Service Account: Kubernetes 自动创建包含访问 API 凭据的 secret,并自动修
改 pod 以使用此类型的 secret。
• Opaque: 使用base64编码存储信息,可以通过base64 --decode解码获得原始数
据,因此安全性弱。
• kubernetes.io/dockerconfigjson: 用于存储docker registry的认证信息。

serviceaccout 创建时 Kubernetes 会默认创建对应的 secret。对应的 secret 会自动挂
载到 Pod 的 /run/secrets/kubernetes.io/serviceaccount 目录中。
每个namespace下有一个名为default的默认的ServiceAccount对象
ServiceAccount里有一个名为Tokens的可以作为Volume一样被Mount到Pod里的
Secret,当Pod启动时这个Secret会被自动Mount到Pod的指定目录下,用来协助完成
Pod中的进程访问API Server时的身份鉴权过程。

5.2 创建Secret

(1) 从文件中创建Secret
Opaque Secret 其value为base64编码后的值。
如果密码具有特殊字符,则需要使用 \ 字符对其进行转义,执行以下命令:

kubectl create secret generic dev-db-secret --from-literal=username=devuser --from-literal=password=S\!B\\*d\$zDsb

默认情况下 kubectl get和kubectl describe 为了安全是不会显示密码的内容,可以通过以下方式查看:

kubectl get secrets dev-db-secret -o yaml
echo UyFCXCpkJHpEc2I= | base64 -d 

（2）编写一个 secret 对象

vim cm2.yml
apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  username: YWRtaW4=
  password: d2VzdG9z
kubectl apply -f cm2.yml

（3）将Secret挂载到Volume中,向指定路径映射 secret 密钥



（4）将Secret设置为环境变量


环境变量读取Secret很方便,但无法支撑Secret动态更新

5.3 kubernetes.io/dockerconfigjson

用于存储docker registry的认证信息
在harbor私有仓库中新建westos项目，不公开

给westos项目中推送一个game2048的镜象（外网没有此镜象，排除在拉取镜像时受外网影响）


编写一个pod，去仓库westos中拉取镜像


成功拉取，在集群节点server4上