Linux学习-Kubernetes之Secret和ConfigMap

最新推荐文章于 2024-09-07 15:35:48 发布
原创 最新推荐文章于 2024-09-07 15:35:48 发布 · 273 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #学习 #kubernetes

Secret

将加密数据存储在etcd,Pod容器可以通过挂载Volume方式或通过变量方式访问

#通过yaml创建Secret
apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  username: bG90dXM=    #以bash64方式加密username
  password: MTIzNDU2    #以bash64方式加密password
[root@k8s-master k8syaml]# kubectl apply -f secret.yaml 

#通过变量形式使用Secret中信息
apiVersion: v1
kind: Pod
metadata:
  name: mypodvarsecret
spec:
  containers:
  - name: nginx
    image: nginx
    env:
    - name: SECRET_USERNAME
      valueFrom:
        secretKeyRef:
          name: mysecret
          key: username
    - name: SECRET_PASSWORD
      valueFrom:
        secretKeyRef:
          name: mysecret
          key: password
[root@k8s-master k8syaml]# kubectl exec -it mypodvarsecret bash
root@mypodvarsecret:/# echo $SECRET_USERNAME
lotus
root@mypodvarsecret:/# echo $SECRET_PASSWORD
123456

#以存储卷方式挂载Secret
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: nginx
    image: nginx
    volumeMounts:
    - name: foo
      mountPath: "/etc/foo"
  volumes:
  - name: foo
    secret:
      secretName: mysecret
#进入容器查看变量情况
[root@k8s-master k8syaml]# kubectl exec -it mypod bash
kubectl exec [POD] [COMMAND] is DEPRECATED and will be removed in a future version. Use kubectl exec [POD] -- [COMMAND] instead.
root@mypod:/# ls /etc/foo    
password  username
root@mypod:/# cat /etc/foo/password
123456
ConfigMap

存储不加密数据到etcd,让Pod以变量或者Volume挂载到容器中,一般用于配置文件

#创建一个redis配置文件
[root@k8s-master k8syaml]# cat redis.properties 
redis.host=127.0.0.1
redis.port=6379
redis.password=123456
#创建configmap
[root@k8s-master k8syaml]# kubectl create configmap redis-config --from-file=redis.properties
configmap/redis-config created
[root@k8s-master k8syaml]# kubectl get configmap
NAME               DATA   AGE
kube-root-ca.crt   1      108d
redis-config       1      7s
#查看详细信息
[root@k8s-master k8syaml]# kubectl describe configmap redis-config
Name:         redis-config
Namespace:    default
Labels:       <none>
Annotations:  <none>

Data
====
redis.properties:
----
redis.host=127.0.0.1
redis.port=6379
redis.password=123456


BinaryData
====

Events:  <none>
#以volume方式挂载
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: busybox
    image: busybox
    command: ["/bin/sh","-c","cat /etc/config/redis.properties"]
    volumeMounts:
    - name: config-volume
      mountPath: /etc/config
  volumes:
    - name: config-volume
      configMap:
        name: redis-config
  restartPolicy: Never
[root@k8s-master k8syaml]# kubectl get pods
NAME                   READY   STATUS      RESTARTS   AGE
mypod                  0/1     Completed   0          24s
[root@k8s-master k8syaml]# kubectl logs mypod
redis.host=127.0.0.1
redis.port=6379
redis.password=123456
#以变量形式挂载
apiVersion: v1
kind: ConfigMap
metadata:
  name: myconfig
  namespace: default
data:
  special.level: info
  special.type: hello
[root@k8s-master k8syaml]# kubectl apply -f configmap_var.yaml
configmap/myconfig created
[root@k8s-master k8syaml]# kubectl get configmap
NAME               DATA   AGE
kube-root-ca.crt   1      108d
myconfig           2      13s
redis-config       1      21m

apiVersion: v1
kind: Pod
metadata: 
  name: mypod
spec:
  containers:
  - name : busybox
    image: busybox
    command: ["/bin/sh","-c","echo $(LEVEL)  $(TYPE)"]
    env:
    - name: LEVEL
      valueFrom:
        configMapKeyRef:
          name: myconfig
          key: special.level
    - name: TYPE
      valueFrom:
        configMapKeyRef:
          name: myconfig
          key: special.type
  restartPolicy: Never

[root@k8s-master k8syaml]# kubectl apply -f configmap_pod_var.yaml 
pod/mypod created
[root@k8s-master k8syaml]# kubectl logs mypod
info hello
人生苦短,我用k8s--------------secretconfigmap的配置管理
weixin_47219935的博客
10-16 536
官网地址 文章目录一:secret配置管理1、Secret机密2、创建secret(1)方式一:基于文件创建secret(2)方式二:基于参数创建secret3、pod使用secret(1)方式一:使用secret中的变量导入到pod中(2)方式二使用挂载二、ConfigMap配置管理1、使用kubectl创建(yaml文件)2、使用变量参数形式创建configmap资源 一:secret配置管理 1、Secret机密 Secret解决了密码、token、密钥等敏感数据的配置问题,将加密数据存放在etcd.
六、Kubernetes配置管理ConfigMapSecret
Cyan_Jiang的博客
11-19 869
应用部署的一个最佳实践是将应用所需的配置信息与程序分离,这样可以使应用程序被更好地复用,通过不同的配置也能实现更灵活的功能。将应用打包为容器镜像后,可以通过环境变量或者外挂文件的方式在创建容器时进行配置注入,但在大规模容器集群的环境中,对多个容器进行不同的配置将变得非常复杂。配置管理问题风险:配置文件写在代码,管理不方便,且有风险。 配置文件分离,是主要作用,独立配置文件,管理操作都方便。如果有热加载,变更配置文件,不需要影响pod。ConfigMap用于明文配置文件,redis文件等。Secret用于
Linux/Secret
ve9etable的博客
03-15 1076
第一次扫描发现系统对外开放了22,803000端口,端口详细信息如下可以看到22端口对应的是ssh服务,803000都是http服务,80端口使用nginx,3000使用了Node.js。
linux http secret
weixin_33725272的博客
10-24 275
在/var/www/html创建一个secret目录,仅允许本地用户访问 1,访问需要密码 yum install httpd* service httpd restart tcp 80 chkconfig httpd on mkdir /var/www/html/secret vim /etc/httpd/conf/httpd.conf <Direc...
Linux(企业级)——kubernetes(secret)
weixin_45699877的博客
07-30 273
Secretsecret简介- serviceaccout- Opaque Secret- 从文件中创建- 通过yaml文件创建-Secret挂载到Volume中- 向指定路径映射 secret 密钥- kubernetes.io/dockerconfigjson secret简介 Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌 ssh key。 敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全灵活。 Pod 可以用两种方式使用 secret
Linux企业运维——Kubernetes(十)存储之Secret配置管理
weixin_44310047的博客
08-06 540
Linux企业运维——Kubernetes(十)存储之Secret配置管理 文章目录Linux企业运维——Kubernetes(十)存储之Secret配置管理1、Secret简介2、ServiceAccount3、Opaque Secret3.1、从文件中创建secret3.2、使用yaml文件创建secret3.3、将Secret挂载到Volume中3.4、向指定路径映射 secret 密钥3.5、将Secret设置为环境变量3.6、kubernetes.io/dockerconfigjson存储dock
Linux Kubernetes Secret存储
weixin_45029822的博客
08-20 285
Kubernetes 存储 之 Secret一、Secret简介二、Service Account三、Opaque Secret通过命令创建Secret通过yaml文件创建SecretSecret挂载到Volume中将Secret设置为环境变量四、kubernetes.io/dockerconfigjson 类型 一、Secret简介 Secret对象类型用来保存敏感信息,例如密码、OAuth令牌ssh key。 敏感信息放在Secret中比放在Pod的定义或者容器镜像中来说更加安全灵活。 Pod可以
kubernetessecretconfigmap
syztoo
09-12 647
在日常单机甚至集群状态下,我们需要对一个应用进行配置,只需要修改其配置文件即可。那么在容器中又该如何提供配置信息呢???例如,为Nginx配置一个指定的server_name或worker进程数,为Tomcat的JVM配置其堆内存大小。 传统的实践过程中通常有以下几种方式: 启动容器时,通过命令传递参数; 将定义好的配置文件通过镜像文件进行写入; 通过环境变量的方式传递配置数据; 挂载D...
Kubernetes:(十三)secretconfigmap的那些事
ver_mouth__的博客
08-07 631
目录一:Secret1.1secret 简介1.2创建及使用1.2.1基于文件形式 1.2.2基于参数创建secret 1.2.3secret资源的使用方式 二:configmap 2.1configmap 简介2.2创建 ConfigMap 2.2.1基于kubectl形式2.2.2基于变量参数形式前言:配置管理原理当需要修改很多配置文件时,创建一个配置资源,将配置资源挂载到各个pod当中,给pod所使用,这样就只要修改配置资源就可以了Secret 解决了密码、token、秘钥等敏感数据的配置问题,而不
Kubernetes 的配置资源 ConfigMap(01部分)
Linux学习的那些事儿
08-12 1243
Kubernetes 的配置资源 ConfigMap(01部分)
kubernetesConfigMapSecret
qq_41619571的博客
10-03 2765
1. Secret 是一种包含少量敏感信息,例如密码、token 或 key 的对象这样的信息可能会被放在Pod spec 中或者镜像中;将其放在一个secret 对象中可以更好地控制它的用途,并降低意外暴露的风险2.ConfigMap 主要解决配置文件的存储问题,而Secret 主要用来解决密码、token、秘钥等敏感数据①在创建、查看编辑Pod的流程中Secret 暴露风险较小②系统会对Secret 对象采取额外的预防措施,例如避免将其写入磁盘中可能的位置③。
Linux高级---configmapsecret
m0_54232496的博客
05-27 1402
ConfigMap 并不提供保密或者加密功能。如果你想存储的数据是机密的,请使用Secret, 或者使用其他第三方工具来保证你的数据的私密性,而不是用 ConfigMap。。
linux下,C语言实现,使用系统给予的secret进行HmacSHA1加密求值(28位密钥)
小小英
11-09 5678
前序: 为了求得后台提交数据所需的sign值,真的研究了几天的时间。首先求得HmacSHA1的值,值是原始的二进制流数据,接着使用base64编码,base64编码所得值是自带换行符的,需处理,最后把数据再进行URLEncode。这才得出完整的sign值,简直要崩溃了。。。。。 在线计算HMAC https://1024tools.com/hmac 1.使用openssl工具库求HmacSHA1 ...
linux加装硬盘
topsecret的博客
08-20 1272
      最近公司看有些同事的硬盘有点小,所以买了一些硬盘加装,我有幸分到了一块,所以就试着自己装了一下。       硬件方面的安装就不多说了,实在没有供电的就把光驱拆了,用光驱的电源线连接线,软件方面进去后先sudo fdisk -l查看分区: 因为我装的是2T的,所以很明显是/dev/sda这个分区,如果你不了解自己的盘的话需要在安装之前看一下有哪些分区,装了之后才能对比出来多出来那...
网络学习-eNSP配置路由器
丢爸
09-07 5462
【代码】网络学习-eNSP配置路由器。
Linux学习-shell实现100以内的奇数偶数的
丢爸
01-30 5117
#!/bin/bash # #定义两个变量用于存放奇数偶数的 declare -i EVENSUM=0 declare -i OLDSUM=0 for i in {1..100}; do #通过取余的方法判断是否为偶数 if [ $[$i%2] -eq 0 ]; then let OLDSUM+=$i else let EVENSUM+=$i fi done echo "EVENSUM:$EVENSUM,OLDSUM:$OLDSUM" ...
Linux学习-/bin/bash丢失解决方法
丢爸
03-24 4748
如不小心,删除了系统中的/bin/bash程序,系统将无法正常启动,可以通过光盘启动,进入紧急救援模式重新安装bash即可,操作过程如下: 按F2进入BIOS设置系统启动顺序,将Boot下面的CD-ROM Driver调整到最上面,然后保存退出。 选择Resue installed system选择,进入紧急救援模式 选择相应的配置 先挂载光盘,然后进入软件包目录,进入bash的安装,指定root目录将bash安装到源系统的根目录下 安装完成后,切根查看是否正常,正常后,重新启动系统即
Linux学习之远程拷贝数据命令
丢爸
09-27 3533
Linux中常用的远程复制命令有三个。
你看看我这个吧 apiVersion: apps/v1 kind: Deployment metadata: labels: app: grafana name: grafana namespace: monitoring spec: replicas: 1 selector: matchLabels: app: grafana template: metadata: labels: app: grafana spec: initContainers: - name: init-grafana image: harbor.local/mdw/busybox:latest command: - sh - -c - | mkdir -p /var/lib/grafana/plugins mkdir -p /var/lib/grafana/data mkdir -p /var/lib/grafana/sessions mkdir -p /var/lib/grafana/csv mkdir -p /var/lib/grafana/alerting chown -R 65534:65534 /var/lib/grafana chmod -R 755 /var/lib/grafana echo "Directory structure:" ls -la /var/lib/grafana/ volumeMounts: - name: grafana-storage mountPath: /var/lib/grafana containers: - name: grafana image: harbor.local/mdw/grafana:6.4.3 env: - name: GF_PATHS_DATA value: "/var/lib/grafana" - name: GF_PATHS_LOGS value: "/var/log/grafana" - name: GF_PATHS_PLUGINS value: "/var/lib/grafana/plugins" containers: - image: harbor.local/mdw/grafana:6.4.3 name: grafana ports: - containerPort: 3000 name: http readinessProbe: httpGet: path: /api/health port: http resources: limits: cpu: 200m memory: 200Mi requests: cpu: 100m memory: 100Mi volumeMounts: - mountPath: /var/lib/grafana name: grafana-storage readOnly: false - mountPath: /etc/grafana/provisioning/datasources name: grafana-datasources readOnly: false - mountPath: /etc/grafana/provisioning/dashboards name: grafana-dashboards readOnly: false - mountPath: /grafana-dashboard-definitions/0/apiserver name: grafana-dashboard-apiserver readOnly: false - mountPath: /grafana-dashboard-definitions/0/cluster-total name: grafana-dashboard-cluster-total readOnly: false - mountPath: /grafana-dashboard-definitions/0/controller-manager name: grafana-dashboard-controller-manager readOnly: false - mountPath: /grafana-dashboard-definitions/0/k8s-resources-cluster name: grafana-dashboard-k8s-resources-cluster readOnly: false - mountPath: /grafana-dashboard-definitions/0/k8s-resources-namespace name: grafana-dashboard-k8s-resources-namespace readOnly: false - mountPath: /grafana-dashboard-definitions/0/k8s-resources-node name: grafana-dashboard-k8s-resources-node readOnly: false - mountPath: /grafana-dashboard-definitions/0/k8s-resources-pod name: grafana-dashboard-k8s-resources-pod readOnly: false - mountPath: /grafana-dashboard-definitions/0/k8s-resources-workload name: grafana-dashboard-k8s-resources-workload readOnly: false - mountPath: /grafana-dashboard-definitions/0/k8s-resources-workloads-namespace name: grafana-dashboard-k8s-resources-workloads-namespace readOnly: false - mountPath: /grafana-dashboard-definitions/0/kubelet name: grafana-dashboard-kubelet readOnly: false - mountPath: /grafana-dashboard-definitions/0/namespace-by-pod name: grafana-dashboard-namespace-by-pod readOnly: false - mountPath: /grafana-dashboard-definitions/0/namespace-by-workload name: grafana-dashboard-namespace-by-workload readOnly: false - mountPath: /grafana-dashboard-definitions/0/node-cluster-rsrc-use name: grafana-dashboard-node-cluster-rsrc-use readOnly: false - mountPath: /grafana-dashboard-definitions/0/node-rsrc-use name: grafana-dashboard-node-rsrc-use readOnly: false - mountPath: /grafana-dashboard-definitions/0/nodes name: grafana-dashboard-nodes readOnly: false - mountPath: /grafana-dashboard-definitions/0/persistentvolumesusage name: grafana-dashboard-persistentvolumesusage readOnly: false - mountPath: /grafana-dashboard-definitions/0/pod-total name: grafana-dashboard-pod-total readOnly: false - mountPath: /grafana-dashboard-definitions/0/pods name: grafana-dashboard-pods readOnly: false - mountPath: /grafana-dashboard-definitions/0/prometheus-remote-write name: grafana-dashboard-prometheus-remote-write readOnly: false - mountPath: /grafana-dashboard-definitions/0/prometheus name: grafana-dashboard-prometheus readOnly: false - mountPath: /grafana-dashboard-definitions/0/proxy name: grafana-dashboard-proxy readOnly: false - mountPath: /grafana-dashboard-definitions/0/scheduler name: grafana-dashboard-scheduler readOnly: false - mountPath: /grafana-dashboard-definitions/0/statefulset name: grafana-dashboard-statefulset readOnly: false - mountPath: /grafana-dashboard-definitions/0/workload-total name: grafana-dashboard-workload-total readOnly: false securityContext: runAsUser: 65534 runAsGroup: 65534 allowPrivilegeEscalation: false nodeSelector: beta.kubernetes.io/os: linux #nodeName: k8s-node-1 securityContext: runAsNonRoot: true runAsUser: 65534 fsGroup: 65534 serviceAccountName: grafana volumes: #- emptyDir: {} # name: grafana-storage - name: grafana-storage persistentVolumeClaim: claimName: pvc-sc-grafana - name: grafana-datasources secret: secretName: grafana-datasources - configMap: name: grafana-dashboards name: grafana-dashboards - configMap: name: grafana-dashboard-apiserver name: grafana-dashboard-apiserver - configMap: name: grafana-dashboard-cluster-total name: grafana-dashboard-cluster-total - configMap: name: grafana-dashboard-controller-manager name: grafana-dashboard-controller-manager - configMap: name: grafana-dashboard-k8s-resources-cluster name: grafana-dashboard-k8s-resources-cluster - configMap: name: grafana-dashboard-k8s-resources-namespace name: grafana-dashboard-k8s-resources-namespace - configMap: name: grafana-dashboard-k8s-resources-node name: grafana-dashboard-k8s-resources-node - configMap: name: grafana-dashboard-k8s-resources-pod name: grafana-dashboard-k8s-resources-pod - configMap: name: grafana-dashboard-k8s-resources-workload name: grafana-dashboard-k8s-resources-workload - configMap: name: grafana-dashboard-k8s-resources-workloads-namespace name: grafana-dashboard-k8s-resources-workloads-namespace - configMap: name: grafana-dashboard-kubelet name: grafana-dashboard-kubelet - configMap: name: grafana-dashboard-namespace-by-pod name: grafana-dashboard-namespace-by-pod - configMap: name: grafana-dashboard-namespace-by-workload name: grafana-dashboard-namespace-by-workload - configMap: name: grafana-dashboard-node-cluster-rsrc-use name: grafana-dashboard-node-cluster-rsrc-use - configMap: name: grafana-dashboard-node-rsrc-use name: grafana-dashboard-node-rsrc-use - configMap: name: grafana-dashboard-nodes name: grafana-dashboard-nodes - configMap: name: grafana-dashboard-persistentvolumesusage name: grafana-dashboard-persistentvolumesusage - configMap: name: grafana-dashboard-pod-total name: grafana-dashboard-pod-total - configMap: name: grafana-dashboard-pods name: grafana-dashboard-pods - configMap: name: grafana-dashboard-prometheus-remote-write name: grafana-dashboard-prometheus-remote-write - configMap: name: grafana-dashboard-prometheus name: grafana-dashboard-prometheus - configMap: name: grafana-dashboard-proxy name: grafana-dashboard-proxy - configMap: name: grafana-dashboard-scheduler name: grafana-dashboard-scheduler - configMap: name: grafana-dashboard-statefulset name: grafana-dashboard-statefulset - configMap: name: grafana-dashboard-workload-total name: grafana-dashboard-workload-total
最新发布
09-26
### 配置含义分析 对于给定的 Grafana Deployment 配置文件,其中关键部分如下: ```yaml 19: - image: 192.168.1.100:5000/grafana:6.4.3 ``` 这一行指定了 Grafana 容器所使用的镜像,`192.168.1.100:5000` 是镜像仓库的地址,`grafana:6.4.3` 明确了使用的是 Grafana 6.4.3 版本的镜像。 ### 优化建议 - **资源请求与限制**:在 Deployment 配置中添加资源请求限制,有助于合理分配集群资源,避免 Grafana 容器过度占用资源。示例如下: ```yaml apiVersion: apps/v1 kind: Deployment metadata: name: grafana-deployment spec: replicas: 1 selector: matchLabels: app: grafana template: metadata: labels: app: grafana spec: containers: - name: grafana image: 192.168.1.100:5000/grafana:6.4.3 resources: requests: memory: "256Mi" cpu: "250m" limits: memory: "512Mi" cpu: "500m" ``` - **持久化存储**:为了保证 Grafana 的数据在容器重启或重建时不丢失,需要配置持久化存储。可以使用 PersistentVolumeClaim(PVC)来实现。示例如下: ```yaml apiVersion: apps/v1 kind: Deployment metadata: name: grafana-deployment spec: replicas: 1 selector: matchLabels: app: grafana template: metadata: labels: app: grafana spec: containers: - name: grafana image: 192.168.1.100:5000/grafana:6.4.3 volumeMounts: - name: grafana-data mountPath: /var/lib/grafana volumes: - name: grafana-data persistentVolumeClaim: claimName: grafana-pvc ``` 同时,需要创建一个 PVC: ```yaml apiVersion: v1 kind: PersistentVolumeClaim metadata: name: grafana-pvc spec: accessModes: - ReadWriteOnce resources: requests: storage: 1Gi ``` - **环境变量配置**:可以通过环境变量来配置 Grafana 的一些参数,如管理员用户名密码。示例如下: ```yaml apiVersion: apps/v1 kind: Deployment metadata: name: grafana-deployment spec: replicas: 1 selector: matchLabels: app: grafana template: metadata: labels: app: grafana spec: containers: - name: grafana image: 192.168.1.100:5000/grafana:6.4.3 env: - name: GF_SECURITY_ADMIN_USER value: "admin" - name: GF_SECURITY_ADMIN_PASSWORD value: "password" ``` ### 错误排查 - **镜像拉取失败**:检查镜像仓库地址是否正确,以及是否有访问权限。可以使用 `kubectl describe pod <pod-name>` 查看详细的错误信息。 - **容器启动失败**:查看容器的日志,使用 `kubectl logs <pod-name>` 命令获取容器的日志,从中查找启动失败的原因。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值