青冥
沉梦昂志
2025-04-11
目录

ConfigMap & Secret

内容概述

# 1. ConfigMap

# 1.1 简介

在 Kubernetes 中,ConfigMap 是一种用于存储非敏感信息的 Kubernetes 对象。它用于存储配置数据,如键值对、整个配置文件或 JSON 数据等。ConfigMap 通常用于容器镜像中的配置文件、命令行参数和环境变量等。

ConfigMap 可以通过三种方式进行配置数据的注入:

  1. 环境变量注入:将配置数据注入到 Pod 中的容器环境变量中。
  2. 配置文件注入:将配置数据注入到 Pod 中的容器文件系统中,容器可以读取这些文件。
  3. 命令行参数注入:将配置数据注入到容器的命令行参数中。

# 1.2 优点

  1. 避免了硬编码,将配置数据与应用代码分离。
  2. 便于维护和更新,可以单独修改 ConfigMap 而不需要重新构建镜像。
  3. 可以通过多种方式注入配置数据,更加灵活。
  4. 可以通过 Kubernetes 的自动化机制对 ConfigMap 进行版本控制和回滚。
  5. ConfigMap 可以被多个 Pod 共享,减少了配置数据的重复存储。

# 1.3 定义 ConfigMap

# 基本操作

查看 configmap

$ kubectl get configmap|cm
1

查看详细

$ kubectl describe configmap|cm <configmap-name>
1
2

删除 configmap

$ kubectl delete configmap|cm <configmap-name>
1

# 创建 ConfigMap

命令行创建

  • 可以使用kubectl create configmap命令来创建configmap,具体命令如下:
$ kubectl create configmap <configmap-name> --from-literal=key1=value1 --from-literal=key2=value2
1

通过配置文件创建 推荐

  • 可以通过创建YAML文件的方式来定义 configmap 的内容。例如,创建一个名为my-config的 configmap,内容如下:
apiVersion: v1
kind: ConfigMap
metadata:
  name: my-config
data:
  key1: value1
  key2: value2
1
2
3
4
5
6
7
apiVersion: v1
kind: ConfigMap
metadata:
  name: app-config
data:
  application.yml: |
    name: xiaochen
1
2
3
4
5
6
7
  • 然后使用kubectl apply -f命令来创建 configmap。
$ kubectl apply -f my-config.yml
1

通过文件创建

$ echo -n admin >./username
$ echo -n 123456 > ./password
$ kubectl create configmap <configmap-name> --from-file=./username --from-file=./password
1
2
3

通过文件夹创建

  • 可以将多个配置文件放在同一个文件夹下,然后使用kubectl create configmap命令来创建 configmap,例如:
$ kubectl create configmap my-config --from-file=config-files/
1
  • 这将创建一个名为my-config的 configmap,其中包含config-files/文件夹下所有的文件内容作为键值对。

通过环境变量创建

  • 可以将环境变量的值转换为 configmap。例如,使用以下命令将当前环境变量的值转换为 configmap:
$ kubectl create configmap <configmap-name> --from-env-file=<(env)
1

# 1.4 使用

环境变量中使用

apiVersion: v1
kind: Pod
metadata:
  name: my-pod
spec:
  containers:
    - name: my-container
      image: busybox
      command: [ "/bin/sh", "-c", "echo $BUSY_NAME ; sleep 3600;" ]
      env:
        # name: 是容器需要环境变量名称
        - name: BUSY_NAME
          valueFrom: # valueForm: value 来源与什么
            configMapKeyRef: # 值来源与 configmap  来源与哪个 configmap 来源与哪个 configmap 中 key
              name: app-cm
              key: name
      envFrom: # 一次性注入这个 configmap
        - configMapRef:
            name: my-config
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
  • 注意: env 是指定 configmap 中某个 key 进行注入,envForm 将 configmap 中内容全部注入

通过 Volume 使用配置

apiVersion: v1
kind: Pod
metadata:
  name: myapp-pod
spec:
  containers:
    - name: myapp-container
      image: busybox
      command: [ "/bin/sh","-c","sleep 3600" ]
      volumeMounts:
        - name: data-volume
          mountPath: /data
  volumes:
    - name: data-volume
      configMap:
        name: application-cm
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

# 2. Secret

# 2.1 简介

在 Kubernetes 中,Secret 是一种用于存储和管理敏感信息的对象类型如密码、API密钥、证书等等。它们与 ConfigMap 相似,但在处理敏感信息时,Secret 会提供更高的安全性和保密性

Secret 可以用于将这些敏感信息注入到容器中,并确保这些信息在运行时不会被意外泄漏或暴露给其他人。 Secret 可以通过多种方式定义和使用,例如直接定义、从文件中加载、从环境变量中加载等。

在 Kubernetes 中,Secrets 通常被用于以下场景:

  • 作为卷挂载到 Pod 中,用于存储证书、密钥等敏感文件
  • 在 Pod 中使用环境变量,用于存储用户名和密码等敏感信息
  • 用于存储 Docker 镜像仓库的登录信息
  • 用于存储外部服务的 API 密钥

Secrets 可以在 Pod 的 spec 中通过 volume 和环境变量的方式引用。当容器使用 volume 来引用 Secret 时, Secret 会以文件的形式挂载到容器中。当容器使用环境变量来引用 Secret 时,Secret 中的数据会以 base64 编码后, 以键值对的形式注入到容器的环境变量中。

需要注意的是,Secret 并不提供强大的安全保证,只是简单地将数据存储在 base64 编码的形式下,并不提供加密或其他安全措施, 因此,不要将高度敏感的信息存储在 Secret 中。在处理高度敏感的信息时,需要使用更高级别的保护机制, 如使用加密数据的 Volume 类型,或者使用第三方加密解决方案等。

# 2.1 定义 Secret

使用命令行创建

  • 可以使用 kubectl create secret 命令来创建 secret,例如:
$ kubectl create secret generic my-secret --from-literal=username=admin --from-literal=password=admin123
1

使用 YAML 文件定义

  • 可以创建一个 YAML 文件来定义 Secret 对象,例如:
apiVersion: v1
kind: Secret
metadata:
  name: my-secret
type: Opaque
data:
  username: YWRtaW4=          # base64 编码后的用户名 admin
  password: MWYyZDFlMmU2N2Rm  # base64 编码后的密码 1f2d1e2e67df
1
2
3
4
5
6
7
8
  • 注意: 这个 YAML 文件定义了一个名为 my-secret 的 Secret 对象, 其中包含了两个 base64 编码后的 key-value 对:username 和 password。\

使用文件创建

$ echo -n admin >./username
$ echo -n 123456 > ./password
$ kubectl create secret generic mysecret --from-file=./username --from-file=./password
1
2
3

通过环境变量创建

  • 可以将环境变量的值转换为 secret。例如,使用以下命令将当前环境变量的值转换为 secret:
$ kubectl create secret generic  my-config --from-env-file=<(env)
1

其实,Secret 的定义方式和 ConfigMap 基本类似

# 2.2 使用

环境变量,命令行参数使用 Secret

apiVersion: v1
kind: Pod
metadata:
  name: my-pod
spec:
  containers:
    - name: myapp-container
      image: busybox
      command: [ "/bin/sh","-c","sleep 3600" ]
      env:
        - name: USERNAME
          valueFrom:
            secretKeyRef:
              name: my-secret
              key: username
        - name: PASSWORD
          valueFrom:
            secretKeyRef:
              name: my-secret
              key: password
      # 一次性注入这个 secret
      envFrom:
        - secretRef:
            name: my-secret
  restartPolicy: Never
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

Volume 使用

apiVersion: v1
kind: Pod
metadata:
  name: myapp-pod
spec:
  containers:
    - name: myapp-container
      image: busybox
      command: [ "/bin/sh","-c","sleep 3600" ]
      volumeMounts:
        - name: secret-volume
          mountPath: /data
  volumes:
    - name: secret-volume
      secret:
        secretName: aaa
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
#K8s#ConfigMap#Secret
最近更新: 2025/04/11, 14:29:15
Kubernetes Volumes
Kubernetes Ingress

Kubernetes Ingress

最近更新
01
Kubernetes Helm
04-11
02
Kubernetets Namespace
04-11
03
Kubernetes Ingress
04-11
更多文章>
Theme by Vdoing | Copyright © 2021-2025 光年矩阵科技有限公司 | All Rights Reserved. |
渝ICP备2021888888号
×