k8s配置中心--ConfigMap及Secret
一、配置中心ConfigMap
1.1、ConfigMap概述
1.1.1、什么是Configmap
Configmap是k8s中的资源对象,用于保存非机密性的配置的,数据可以用key/value键值对的形式保存,也可通过文件的形式保存。
1.1.2、Configmap能解决哪些问题
我们在部署服务的时候,每个服务都有自己的配置文件,如果一台服务器上部署多个服务:nginx、tomcat、apache等,那么这些配置都存在这个节点上,假如一台服务器不能满足线上高并发的要求,需要对服务器扩容,扩容之后的服务器还是需要部署多个服务:nginx、tomcat、apache,新增加的服务器上还是要管理这些服务的配置,如果有一个服务出现问题,需要修改配置文件,每台物理节点上的配置都需要修改,这种方式肯定满足不了线上大批量的配置变更要求。 所以,k8s中引入了Configmap资源对象,可以当成volume挂载到pod中,实现统一的配置管理。
1、Configmap是k8s中的资源, 相当于配置文件,可以有一个或者多个Configmap;
2、Configmap可以做成Volume,k8s pod启动之后,通过 volume 形式映射到容器内部指定目录上;
3、容器中应用程序按照原有方式读取容器特定目录上的配置文件。
4、在容器看来,配置文件就像是打包在容器内部特定目录,整个过程对应用没有任何侵入。
1.1.3、Configmap应用场景
1)使用k8s部署应用,当你将应用配置写进代码中,更新配置时也需要打包镜像,configmap可以将配置信息和docker镜像解耦,以便实现镜像的可移植性和可复用性,因为一个configMap其实就是一系列配置信息的集合,可直接注入到Pod中给容器使用。configmap注入方式有两种,一种将configMap做为存储卷,一种是将configMap通过env中configMapKeyRef注入到容器中。
2)使用微服务架构的话,存在多个服务共用配置的情况,如果每个服务中单独一份配置的话,那么更新配置就很麻烦,使用configmap可以友好的进行配置共享。
1.1.4、局限性
ConfigMap在设计上不是用来保存大量数据的。在ConfigMap中保存的数据不可超过1 MiB。如果你需要保存超出此尺寸限制的数据,可以考虑挂载存储卷或者使用独立的数据库或者文件服务。
1.2、Configmap创建方法
1.2.1、命令行直接创建
# 直接在命令行中指定configmap参数创建,通过--from-literal指定参数
[root@k8s-master1 ~]# kubectl create configmap tomcat-config --from-literal=tomcat_port=8080 --from-literal=server_name=myapp.tomcat.com
[root@k8s-master1 ~]# kubectl describe configmap tomcat-config
Name: tomcat-config
Namespace: default
Labels: <none>
Annotations: <none>
Data
====
server_name:
----
myapp.tomcat.com
tomcat_port:
----
8080
Events: <none>
1.2.2、通过文件创建
# 通过指定文件创建一个configmap,--from-file=<文件>
[root@k8s-master1 ~]# vim nginx.conf
server {
server_name www.nginx.com;
listen 80;
root /home/nginx/www/
}
# 定义一个key是www,值是nginx.conf中的内容
[root@k8s-master1 ~]# kubectl create configmap www-nginx --from-file=www=./nginx.conf
[root@k8s-master1 ~]# kubectl describe configmap www-nginx
Name: www-nginx
Namespace: default
Labels: <none>
Annotations: <none>
Data
====
www:
----
server {
server_name www.nginx.com;
listen 80;
root /home/nginx/www/
}
1.2.3、指定目录创建
[root@k8s-master1 ~]# mkdir test-a
[root@k8s-master1 ~]# cd test-a/
[root@k8s-master1 test-a]# cat my-server.cnf
server-id=1
[root@k8s-master1 test-a]# cat my-slave.cnf
server-id=2
# 指定目录创建configmap
[root@k8s-master1 test-a]# kubectl create configmap mysql-config --from-file=/root/test-a/
# 查看configmap详细信息
[root@k8s-master1 test-a]# kubectl describe configmap mysql-config
Name: mysql-config
Namespace: default
Labels: <none>
Annotations: <none>
Data
====
my-server.cnf:
----
server-id=1
my-slave.cnf:
----
server-id=2
Events: <none>
1.2.4、编写configmap资源清单
[root@k8s-master1 mysql]# cat mysql-configmap.yaml
apiVersion: v1
kind: ConfigMap
metadata:
name: mysql
labels:
app: mysql
data:
master.cnf: |
[mysqld]
log-bin
log_bin_trust_function_creators=1
lower_case_table_names=1
slave.cnf: |
[mysqld]
super-read-only
log_bin_trust_function_creators=1
1.3、使用ConfigMap
1.3.1、通过环境变量引入:使用configMapKeyRef
# 创建一个存储mysql配置的configmap
[root@k8s-master1 ~]# cat mysql-configmap.yaml
apiVersion: v1
kind: ConfigMap
metadata:
name: mysql
labels:
app: mysql
data:
log: "1"
lower: "1"
[root@k8s-master1 ~]# kubectl apply -f mysql-configmap.yaml
# 创建pod,引用Configmap中的内容
[root@k8s-master1 ~]# cat mysql-pod.yaml
apiVersion: v1
kind: Pod
metadata:
name: mysql-pod
spec:
containers:
- name: mysql
image: busybox
imagePullPolicy: IfNotPresent
command: [ "/bin/sh", "-c", "sleep 3600" ]
env:
- name: log_bin #定义环境变量log_bin
valueFrom:
configMapKeyRef:
name: mysql #指定configmap的名字
key: log #指定configmap中的key
- name: lower #定义环境变量lower
valueFrom:
configMapKeyRef:
name: mysql
key: lower
restartPolicy: Never
# 更新资源清单文件
[root@k8s-master1 ~]# kubectl apply -f mysql-pod.yaml
[root@k8s-master1 ~]# kubectl exec -it mysql-pod -- /bin/sh
/ # printenv
log_bin=1
lower=1
1.3.2、通过环境变量引入:使用envfrom
[root@k8s-master1 ~]# cat mysql-pod-envfrom.yaml
apiVersion: v1
kind: Pod
metadata:
name: mysql-pod-envfrom
spec:
containers:
- name: mysql
image: busybox
imagePullPolicy: IfNotPresent
command: [ "/bin/sh", "-c", "sleep 3600" ]
envFrom:
- configMapRef:
name: mysql #指定configmap的名字
restartPolicy: Never
# 更新资源清单文件
[root@k8s-master1 ~]# kubectl apply -f mysql-pod-envfrom.yaml
[root@k8s-master1 ~]# kubectl exec -it mysql-pod-envfrom -- /bin/sh
/ # printenv
lower=1
log=1
1.3.3、把configmap做成volume,挂载到pod
[root@k8s-master1 ~]# cat mysql-configmap.yaml
apiVersion: v1
kind: ConfigMap
metadata:
name: mysql
labels:
app: mysql
data:
log: "1"
lower: "1"
my.cnf: |
[mysqld]
Welcome=lawrence
[root@k8s-master1 ~]# kubectl apply -f mysql-configmap.yaml
[root@k8s-master1 ~]# cat mysql-pod-volume.yaml
apiVersion: v1
kind: Pod
metadata:
name: mysql-pod-volume
spec:
containers:
- name: mysql
image: busybox
imagePullPolicy: IfNotPresent
command: [ "/bin/sh","-c","sleep 3600" ]
volumeMounts:
- name: mysql-config
mountPath: /tmp/config
volumes:
- name: mysql-config
configMap:
name: mysql
restartPolicy: Never
[root@k8s-master1 ~]# kubectl apply -f mysql-pod-volume.yaml
[root@k8s-master1 ~]# kubectl exec -it mysql-pod-volume -- /bin/sh
/ # cd /tmp/config/
/tmp/config # ls
log lower my.cnf
1.4、Configmap热更新
# 把logs: “1”变成log: “2”
[root@k8s-master1 ~]# kubectl edit configmap mysql
# 等待几秒
[root@k8s-master1~]# kubectl exec -it mysql-pod-volume -- /bin/sh
/ # cat /tmp/config/log
2
注意事项:
1)使用环境变量注入的ConfigMap ,修改后不会同步更新
2)使用该 ConfigMap 挂载的 Volume 中的数据需要一段时间(实测大概10秒)才能同步更新
二、配置中心Secret
2.1、Secret概述
Configmap一般是用来存放明文数据的,如配置文件,对于一些敏感数据,如密码、私钥等数据时,要用secret类型。Secret解决了密码、token、秘钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。
要使用 secret,pod 需要引用 secret。Pod 可以用两种方式使用 secret:
1)作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里
2)当 kubelet 为 pod 拉取镜像时使用。
secret可选参数有三种:
generic
: 通用类型,通常用于存储密码数据。tls
:此类型仅用于存储私钥和证书。docker-registry
: 若要保存docker仓库的认证信息的话,就必须使用此种类型来创建。
Secret类型:
Service Account
:用于被 serviceaccount 引用。serviceaccout 创建时 Kubernetes 会默认创建对应的 secret。Pod 如果使用了 serviceaccount,对应的 secret 会自动挂载到 Pod 的 /run/secrets/kubernetes.io/serviceaccount 目录中。Opaque
:base64编码格式的Secret,用来存储密码、秘钥等。可以通过base64 --decode解码获得原始数据,因此安全性弱kubernetes.io/dockerconfigjson
:用来存储私有docker registry的认证信息。
2.2、Secret使用
2.2.1、通过环境变量引入Secret
# 把mysql的root用户的password创建成secret
[root@k8s-master1 ~]# kubectl create secret generic mysql-password --from-literal=password=lawrence123
[root@k8s-master1 ~]# kubectl get secret
NAME TYPE DATA AGE
default-token-cm4mx kubernetes.io/service-account-token 3 2d14h
mysql-password Opaque 1 116s
nfs-provisioner-token-tjm9b kubernetes.io/service-account-token 3 12h
[root@k8s-master1 ~]# kubectl describe secret mysql-password
Name: mysql-password
Namespace: default
Labels: <none>
Annotations: <none>
Type: Opaque
Data
====
password: 11 bytes
#password的值是加密的,
#但secret的加密是一种伪加密,它仅仅是将数据做了base64的编码.
#创建pod,引用secret
[root@k8s-master1 ~]# cat pod-secret.yaml
apiVersion: v1
kind: Pod
metadata:
name: pod-secret
labels:
app: myapp
spec:
containers:
- name: myapp
image: ikubernetes/myapp:v1
imagePullPolicy: IfNotPresent
ports:
- name: http
containerPort: 80
env:
- name: MYSQL_ROOT_PASSWORD #它是Pod启动成功后,Pod中容器的环境变量名.
valueFrom:
secretKeyRef:
name: mysql-password #这是secret的对象名
key: password #它是secret中的key名
[root@k8s-master1 ~]# kubectl apply -f pod-secret.yaml
[root@k8s-master1 ~]# kubectl exec -it pod-secret -- /bin/sh
/ # printenv
MYSQL_ROOT_PASSWORD=lawrence123
2.2.2、通过volume挂载Secret
# 1)创建Secret:手动加密,基于base64加密
[root@k8s-master1 ~]# echo -n 'admin' | base64
YWRtaW4=
[root@k8s-master1 ~]# echo -n 'lawrence123' | base64
bGF3cmVuY2UxMjM=
# 解码:
[root@k8s-master1 ~]# echo bGF3cmVuY2UxMjM= | base64 -d
lawrence123
# 2)创建yaml文件
[root@k8s-master1 ~]# vim secret.yaml
apiVersion: v1
kind: Secret
metadata:
name: mysecret
type: Opaque
data:
username: YWRtaW4=
password: bGF3cmVuY2UxMjM=
[root@k8s-master1 ~]# kubectl apply -f secret.yaml
[root@k8s-master1]# kubectl describe secret mysecret
Name: mysecret
Namespace: default
Labels: <none>
Annotations: <none>
Type: Opaque
Data
====
password: 15 bytes
username: 5 bytes
# 3)将Secret挂载到Volume中
[root@k8s-master1 ~]# vim pod_secret_volume.yaml
apiVersion: v1
kind: Pod
metadata:
name: pod-secret-volume
spec:
containers:
- name: myapp
image: registry.cn-beijing.aliyuncs.com/google_registry/myapp:v1
volumeMounts:
- name: secret-volume
mountPath: /etc/secret
readOnly: true
volumes:
- name: secret-volume
secret:
secretName: mysecret
[root@k8s-master1 ~]# kubectl apply -f pod_secret_volume.yaml
[root@k8s-master1 ~]# kubectl exec -it pod-secret-volume -- /bin/sh
/ # ls /etc/secret
password username
/ #
/ # cat /etc/secret/username
admin/ #
/ #
/ # cat /etc/secret/password
lawrence123/ #
#由上可见,在pod中的secret信息实际已经被解密