【云原生】Kubernetes----配置资源管理Secrets与ConfigMaps

已于 2024-06-04 20:56:25 修改
阅读量945 收藏 24
点赞数 12
文章标签: 云原生 kubernetes 容器
于 2024-06-04 20:07:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wyq2070857323/article/details/139429039
版权

目录

一、Secrets

(一)Secrets概述

(二)Secrets类型

1.service-account-token

2.Opaque

3.Docker Config

4.TLS

(三)Secrets使用方式

(四)创建Secrets

1.陈述式命令创建

1.1 定义用户与密码文件

1.2 使用陈述式命令创建

2.使用base64创建 

 2.1 获取加密信息

2.2 使用yaml文件创建

(五)使用Secrets 

1.使用挂载的方式

1.1 定义文件

1.2 创建pod 

2.使用环境变量的方式

2.1 定义文件

2.2 创建pod 

(六)Secret的作用

(七)注意事项

二、ConfigMap 

(一)ConfigMap概述

(二)为什么需要ConfigMap

(三)特点及用途

1.特点

2.用途

(四)ConfigMap的创建方式

1.命令行直接创建

2.通过文件/目录创建

2.1 使用文件创建 

2.2 使用目录创建 

2.3 YAML创建 

(五)使用ConfigMap 

1.替代环境变量 

1.1 引用值

 1.2 引用键值

2.文件挂载 

2.1 准备挂载文件

2.2 创建configmap

2.3 数据挂载

 3.热更新

4.pod更新

在Kubernetes(k8s)中,应用程序的配置和数据存储是一个重要且敏感的议题。Kubernetes提供了两种主要的资源类型来管理这些敏感信息和配置数据:Secrets和ConfigMaps。本文将深入探讨这两种资源类型,以及如何在Kubernetes集群中有效地使用它们。

一、Secrets

(一)Secrets概述

在Kubernetes(k8s)中,Secrets是一种用于存储敏感信息的对象,如密码、OAuth令牌、SSH密钥等。这些信息在部署应用程序时可能需要,但又不希望直接硬编码在应用程序的代码中或者公开暴露。通过使用Secrets,我们可以将敏感信息与应用程序代码解耦,从而提高安全性

(二)Secrets类型

1.service-account-token

用于访问API的服务账户令牌。由 Kubernetes 自动创建,用来访问 APIServer 的 Secret,Pod 会默认使用这个 Secret 与 APIServer 通信, 并且会自动挂载到 Pod 的 /var/run/secrets/kubernetes.io/serviceaccount 目录中

[root@master01 ~]#kubectl run nginx --image=nginx:1.18.0
pod/nginx created
[root@master01 ~]#kubectl describe pod nginx |sed -n '/Mounts/{p;n;p}'
    Mounts:
      /var/run/secrets/kubernetes.io/serviceaccount from default-token-vgx6f (ro)
-------------------------------------------------------------------------------------
#新建立一个pod,它会自动以挂载的方式,使用serviceaccount来访问,并且权限是只读权限

2.Opaque

Base64 编码格式的Secret,用来存储用户自定义的密码、密钥等/Secrets中的敏感信息在存储之前会先被Base64编码。但是请注意,Base64编码并不提供安全性,它只是用来避免在YAML文件中直接暴露明文信息,是默认的Secret 类型 

3.Docker Config

用于认证私有Docker仓库的凭据。存储私有 docker registry 的认证信息,搭建私有仓库时,使用该类型,在客户端登录私有仓库时,可以免密登录

4.TLS

用于存储TLS证书和私钥。

(三)Secrets使用方式

可挂载为卷:Secrets可以挂载到Pod中的容器,以文件的形式提供敏感信息。

可作为环境变量:Secrets中的信息也可以被设置为Pod中容器的环境变量 

(四)创建Secrets

1.陈述式命令创建
1.1 定义用户与密码文件
[root@master01 data]#mkdir -p /data/secret/pass
[root@master01 data]#cd /data/secret
[root@master01 secret]#echo -n 'china' >/data/secret/pass/user.txt
#创建用户名文件
[root@master01 secret]#echo -n '19491001' >/data/secret/pass/passwd.txt
#创建密码文件

1.2 使用陈述式命令创建
[root@master01 secret]#kubectl create secret generic secret01 --from-file=/data/secret/pass/user.txt --from-file=/data/secret/pass/passwd.txt
secret/secret01 created
[root@master01 secret]#kubectl get secrets secret01
NAME                     TYPE                                  DATA   AGE
secret01                 Opaque                                2      11s
[root@master01 secret]#kubectl describe secrets secret01
Name:         secret01
Namespace:    default
Labels:       <none>
Annotations:  <none>
 
Type:  Opaque
 
Data
====
user.txt:    5 bytes
passwd.txt:  8 bytes
---------------------------------------------------------------------------------
#kubectl create secret generic secret01
#这一部分命令告诉Kubernetes创建一个新的泛型(generic)类型的Secret对象,命名为secret01。
#使用generic子命令来标明要创建的是一个Opaque类型的Secret
 
--from-file=/data/secret/pass/user.txt
#此选项指定了一个文件路径/data/secret/pass/user.txt,其内容将被用来创建Secret中的一个键值对。
#键(key)通常是文件名(即user.txt),值(value)是文件的内容。
#这意味着Secret将包含一个条目,其中键为user.txt,值为该文件中的文本内容。
 
--from-file=/data/secret/pass/passwd.txt
#同理,此选项也指定了另一个文件路径/data/secret/pass/passwd.txt,
#其内容也会被加入到Secret中作为一个独立的条
 
#不论是使用get命令还是describe查看,都不会显示实际的内容,而是以字节长度的信息显示

2.使用base64创建 

上述创建方式,虽然可以创建Secrets,但是它还是属于一种明文创建的方式,可以使用base方式进行加密

 2.1 获取加密信息
[root@master01 secret]#echo -n china |base64
Y2hpbmE=
[root@master01 secret]#echo -n 19491001 |base64
MTk0OTEwMDE=

2.2 使用yaml文件创建
[root@master01 secret]#vim secret.yaml
[root@master01 secret]#cat secret.yaml
apiVersion: v1
kind: Secret                   #指定资源的类型为Secret
metadata:
  name: secret-v1              #Secret资源的名称
type: Opaque                   #指定Secret的类型
data:                          #包含实际存储的秘密数据,以base64编码格式给出的键值对
  username: Y2hpbmE=           #base64编码后的“chance”字符串,表示用户名
  password: MTk0OTEwMDE=       #base64编码后的密码

[root@master01 secret]#kubectl apply -f secret.yaml
secret/secret-v1 created

[root@master01 secret]#kubectl get secrets secret-v1 
NAME        TYPE     DATA   AGE
secret-v1   Opaque   2      10s
--------------------------------------------------------------------------------
#使用这个Secret时,Kubernetes会自动处理这些值的base64解码,
#使Pod内的应用程序能够直接使用解码后的原始数据。

(五)使用Secrets 

1.使用挂载的方式
1.1 定义文件

在yaml文件中,通过挂载的方式,将指定的Secret资源,挂载到pod的指定目录下

[root@master01 secret]#vim secret-pod01.yaml 
[root@master01 secret]#cat secret-pod01.yaml 

apiVersion: v1
kind: Pod
metadata:
  name: secret-pod01
spec:
  containers:
  - name: nginx
    image: nginx:1.18.0
    volumeMounts:                 #定义挂载Volume到容器内部的配置
    - name: secrets               #引用了在volumes部分定义的Volume名称
      mountPath: "/etc/secrets"   #容器内挂载点的路径,即Volume将在这个路径下可见
      readOnly: true              #以只读方式挂载,不能修改secret-v1的内容
  volumes:
  - name: secrets                 #secrets Volume的名称,需与volumeMounts中的name相匹配
    secret:
      secretName: secret-v1       #指定此Volume将挂载的Secret的名称

1.2 创建pod 

可以看到 账户名称和密码   以挂载的方式   在指定目录  且只读

[root@master01 secret]#kubectl apply -f secret-pod01.yaml 
pod/secret-pod01 created

[root@master01 secret]#kubectl get pod secret-pod01
NAME                          READY   STATUS              RESTARTS   AGE
secret-pod01                  1/1     Runn
最低0.47元/天 解锁文章
Kubernetes】高级技巧:秘密、ConfigMaps详细解析解析
陈书予
03-22 1万+
Kubernetes是目前流行的云原生应用程序平台之一,它帮助开发人员和运维团队实现应用程序的部署、扩展和管理。在Kubernetes中,Secret对象是一个用于存储敏感信息的Kubernetes API对象。Secret对象是加密的,并且可以直接在Pod中使用,因此可以帮助开发人员管理应用程序中的敏感信息。ConfigMapsKubernetes中重要的资源对象之一,它们可以帮助用户管理应用程序的配置信息。在应用程序中,经常需要使用环境变量、配置文件或命令行参数等形式的配置信息。
如何使用 ConfigMaps 进行 Kubernetes 配置
学海无涯苦作舟的博客
12-28 1032
ConfigMap 是一种 Kubernetes 资源,用于将配置注入到您的容器中。它们让您可以将堆栈的设置其代码分开维护。以下是如何使用 ConfigMaps 并将它们提供给您的 Pod。 ConfigMap 有什么用? ConfigMap专门设计用于封装少量非敏感配置数据。它们是一种将任意键值对放入 Pod 的机制。它们通常用于存储您的数据库服务器的 IP 地址、应用程序的外发电子邮件地址以及您需要在 Pod 外部配置的其他特定于应用程序的设置。 ConfigMap 允许您在专用的 Kubernet.
ConfigMapSecret
Kubernetes enthusiasts
02-08 1210
一、ConfigMap 什么是configmap kubernetes集群可以使用ConfigMap来实现对容器中应用的配置管理。 可以把ConfigMap看作是一个挂载到pod中的存储卷 创建ConfigMap的4种方式 创建ConfigMap的方式有4种: 1, 通过直接在命令行中指定configmap参数创建,即--from-literal=key=value; [root@master1 ~]# kubectl create configmap cm1 --from-literal=host=1
Kubernetes 中的 Secrets 配置管理
最新发布
2301_78537542的博客
03-12 1108
通过本实验,您学习了如何在 Kubernetes 中创建、使用和更新 SecretsSecretsKubernetes 中管理敏感信息的重要机制,通过合理使用 Secrets,您可以提高集群的安全性,避免敏感信息泄露。
jdk中javac无法编译解决办法详解
existent
10-14 2077
1.概述 经过我一下午的煎熬,阅览文章无数,最后发现是path里面的变量的问题,但始终找不到是哪个,最后直接拷了同道的path发现好了。。。顺便也简化了一下win10的环境配置 2.jdk配置 2.1 win10不需要配置classpath,也不需要配置path中jre\bin,仅需要一下两个配置即可 2.2 自己定义修改,这里仅供参考 新建JAVA_HOME C:\Program Files\Java\jdk1.8.0_261 修改Path,主要是只加一个%JAVA_HOME%\bin; %JAVA_
Kubernetes ConfigMaps
weixin_43230594的博客
12-02 913
Kubernetes ConfigMaps
玩转 Kubernetes 配置管理:ConfigMap 和 Secret 实战演示
DreamsArchitects的博客
02-19 960
Kubernetes是一个广泛使用的容器编排平台,它提供了一系列的组件和核心概念来帮助用户管理容器化的应用程序。在 Kubernetes 中,ConfigMap 和 Secret 是两个重要的概念,它们用于管理应用程序的配置信息和敏感信息。在本文中,我们将深入介绍 Kubernetes 中的ConfigMap和Secret,并演示如何使用命令行和 YAML 文件创建它们。我们还将通过一个实际的应用程序场景来演示如何使用 ConfigMap 和 Secret 来管理应用程序的配置和敏感信息。
kubernetes-server-linux-amd64.tar.gz 安装包
08-28
理解Kubernetes涉及到的概念和操作流程是至关重要的,这包括Pods、Services、Deployments、StatefulSets、ConfigMapsSecrets等。学习如何使用YAML文件定义这些对象,并用`kubectl`进行部署和管理,是成为...
云原生Kubernetes----RBAC用户资源权限
wyq2070857323的博客
06-09 778
Kubernetes的安全机制主要围绕三个核心组件:认证、鉴权和准入控制。认证是安全机制的第一道防线,负责确认请求者的身份;鉴权则是根据用户的身份和权限策略,确定其是否有权执行特定操作;最后,准入控制对API资源对象的修改和校验进行把关。
云原生Kubernetes----Kubernetes集群部署Prometheus 和Grafana
hy199707的博客
06-16 1371
云原生时代,Kubernetes(简称K8s)已经成为了容器编排的事实标准。然而,如何监控这个庞大的集群,确保其稳定运行,是每个运维人员都需要面对的问题。Prometheus和Grafana作为开源的监控和可视化工具,被广泛应用于Kubernetes集群的监控中。本文将详细介绍如何在Kubernetes集群中部署Prometheus和Grafana,以实现对集群的全面监控。
Kubernetes-ConfigMap详解
刘某的博客
01-05 1000
ConfigMap的三种创建方法以及pod如何使用。
kubernetes学习之 ConfigMap和Secret配置应用程序(1)
fan_ping的博客
01-08 210
容器传递命令行参数 在docker中定义命令行参数 了解ENTRYPOINT和CMD 在dockerfile中的两种指令分别定义命令参数这两个部分 ENTRYPOINT定义容器启动时被调用的可执行程序 CMD指定传递给ENTRYPOINT的参数 利用ConfigMap解耦配置 kubernetes允许将配置选项分离到单独的资源对象ConfigMap中,本质上就是一个key/value对映射,值可以时短字面量,也可以时完整的配置文件。 映射的内容通过环境变量或者卷文件的形式传递给容器,而并非
每天5分钟玩转Kubernetes | 创建Secret
COCO_gsta的博客
06-23 653
书籍来源:cloudman《每天5分钟玩转Kubernetes》一边学习一边整理老师的课程内容及试验笔记,并大家分享,侵权即删,谢谢支持!有四种方法创建Secret:(1)通过--from-literal: 每个--from-literal对应一个信息条目。(2)通过--from-file: 每个文件内容对应一个信息条目。(3)通过--from-env-file: 文件env.txt中每行Key=Value对应一个信息条目。(4)通过YAML配置文件,如下所示。 文件中的敏感数据必须是通过
kubernetes之十四–kubernetes secrets
运维阿峰
08-09 1238
1. 简介 有时候,我们在群集中有一些机密数据,比如说密码、API key的密钥或者证书。这些机密信息只允许那些授权过的或者特定的服务可见,其它运行在群集中的服务不能访问这些数据。 针对这个原因 ,kubernetes提供了secrets. 一对key-value密钥对就是那些key是唯一的,而密钥是敏感数据。往往存储在etcd中。Kubernetes可以配置密钥在etcd、传输中都是加密的,...
Kubernetes的ConfigMap
duke_ding2的博客
01-23 1357
Kubernetes的ConfigMap
Kubernetes之configmap
Harry的博客
10-16 2196
​ ConfigMap 是一种 API 对象,用来将非机密性的数据保存到键值对中。使用时,Pods可以将其用作环境变量、命令行参数或者存储卷中的配置文件。
8、Kubernetes核心技术 - ConfigMap
weixiaohuai的博客
08-03 1273
ConfigMap 功能在 Kubernetes1.2 版本中引入,许多应用程序会从配置文件、命令行参数或环境变量中读取配 置信息。ConfigMap API给我们提供了向容器中注入配置信息的机制,ConfigMap 可以被用来保存单个属性,也可以用来保存整个配置文件或者JSON 二进制大对象。ConfigMap 的主要作用就是为了让镜像和配置文件解耦,以便实现镜像的可移植性和可复用性。注意:ConfigMap 并不提供保密或者加密功能。如果你想存储的数据是加密的,请使用Secret。
Kubernetes-configmap资源详解
m0_45954026的博客
09-06 1055
configmap是k8s中的资源对象,用于保存非机密性的配置,数据可以用key/value键值对 的形式保存,也可通过文件的形式保存。主要作用:让镜像和配置文件进行解耦,以便实现镜像的可移植性和可复用性。
Ruby-Mortar工具简化Kubernetes资源管理
Kubernetes资源管理涉及多个层面,包括Pods(最小部署单元)、Services、Deployments、ConfigMapsSecrets等众多概念。 使用Mortar工具能够帮助用户以更简洁的方式进行Kubernetes资源的定义、部署、监控以及日志...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值