• k8s配置中心--ConfigMap及Secret


    k8s配置中心--ConfigMap及Secret

    一、配置中心ConfigMap

    1.1、ConfigMap概述

    1.1.1、什么是Configmap

    Configmap是k8s中的资源对象,用于保存非机密性的配置的,数据可以用key/value键值对的形式保存,也可通过文件的形式保存。

    1.1.2、Configmap能解决哪些问题

    我们在部署服务的时候,每个服务都有自己的配置文件,如果一台服务器上部署多个服务:nginx、tomcat、apache等,那么这些配置都存在这个节点上,假如一台服务器不能满足线上高并发的要求,需要对服务器扩容,扩容之后的服务器还是需要部署多个服务:nginx、tomcat、apache,新增加的服务器上还是要管理这些服务的配置,如果有一个服务出现问题,需要修改配置文件,每台物理节点上的配置都需要修改,这种方式肯定满足不了线上大批量的配置变更要求。 所以,k8s中引入了Configmap资源对象,可以当成volume挂载到pod中,实现统一的配置管理

    image-20210711100849692

    1、Configmap是k8s中的资源, 相当于配置文件,可以有一个或者多个Configmap;
    2、Configmap可以做成Volume,k8s pod启动之后,通过 volume 形式映射到容器内部指定目录上;
    3、容器中应用程序按照原有方式读取容器特定目录上的配置文件。
    4、在容器看来,配置文件就像是打包在容器内部特定目录,整个过程对应用没有任何侵入。

    1.1.3、Configmap应用场景

    1)使用k8s部署应用,当你将应用配置写进代码中,更新配置时也需要打包镜像,configmap可以将配置信息和docker镜像解耦,以便实现镜像的可移植性和可复用性,因为一个configMap其实就是一系列配置信息的集合,可直接注入到Pod中给容器使用。configmap注入方式有两种,一种将configMap做为存储卷,一种是将configMap通过env中configMapKeyRef注入到容器中

    2)使用微服务架构的话,存在多个服务共用配置的情况,如果每个服务中单独一份配置的话,那么更新配置就很麻烦,使用configmap可以友好的进行配置共享。

    1.1.4、局限性

    ConfigMap在设计上不是用来保存大量数据的。在ConfigMap中保存的数据不可超过1 MiB。如果你需要保存超出此尺寸限制的数据,可以考虑挂载存储卷或者使用独立的数据库或者文件服务。

    1.2、Configmap创建方法

    1.2.1、命令行直接创建

    # 直接在命令行中指定configmap参数创建,通过--from-literal指定参数
    [root@k8s-master1 ~]# kubectl create configmap tomcat-config --from-literal=tomcat_port=8080 --from-literal=server_name=myapp.tomcat.com
    
    [root@k8s-master1 ~]# kubectl describe configmap tomcat-config
    Name:         tomcat-config
    Namespace:    default
    Labels:       <none>
    Annotations:  <none>
    Data
    ====
    server_name:
    ----
    myapp.tomcat.com
    tomcat_port:
    ----
    8080
    Events:  <none>
    

    1.2.2、通过文件创建

    # 通过指定文件创建一个configmap,--from-file=<文件>
    [root@k8s-master1 ~]# vim nginx.conf
    server {
      server_name www.nginx.com;
      listen 80;
      root /home/nginx/www/
    }
    
    # 定义一个key是www,值是nginx.conf中的内容
    [root@k8s-master1 ~]# kubectl create configmap www-nginx --from-file=www=./nginx.conf
    [root@k8s-master1 ~]# kubectl describe configmap www-nginx
    Name:         www-nginx
    Namespace:    default
    Labels:       <none>
    Annotations:  <none>
    
    Data
    ====
    www:
    ----
    server {
      server_name www.nginx.com;
      listen 80;
      root /home/nginx/www/
    }
    

    1.2.3、指定目录创建

    [root@k8s-master1 ~]# mkdir test-a
    [root@k8s-master1 ~]# cd test-a/
    [root@k8s-master1 test-a]# cat my-server.cnf 
    server-id=1
    [root@k8s-master1 test-a]# cat my-slave.cnf 
    server-id=2
    
    # 指定目录创建configmap
    [root@k8s-master1 test-a]# kubectl create configmap mysql-config --from-file=/root/test-a/
    # 查看configmap详细信息
    [root@k8s-master1 test-a]# kubectl describe configmap mysql-config
    Name:         mysql-config
    Namespace:    default
    Labels:       <none>
    Annotations:  <none>
    Data
    ====
    my-server.cnf:
    ----
    server-id=1
    my-slave.cnf:
    ----
    server-id=2
    Events:  <none>
    

    1.2.4、编写configmap资源清单

    [root@k8s-master1 mysql]# cat mysql-configmap.yaml 
    apiVersion: v1
    kind: ConfigMap
    metadata:
      name: mysql
      labels:
        app: mysql
    data:
      master.cnf: |
        [mysqld]
        log-bin
        log_bin_trust_function_creators=1
        lower_case_table_names=1
      slave.cnf: |
        [mysqld]
        super-read-only
        log_bin_trust_function_creators=1
    

    1.3、使用ConfigMap

    1.3.1、通过环境变量引入:使用configMapKeyRef

    # 创建一个存储mysql配置的configmap
    [root@k8s-master1 ~]# cat mysql-configmap.yaml 
    apiVersion: v1
    kind: ConfigMap
    metadata:
      name: mysql
      labels:
        app: mysql
    data:
        log: "1"
        lower: "1"
    [root@k8s-master1 ~]# kubectl apply -f mysql-configmap.yaml
    
    # 创建pod,引用Configmap中的内容
    [root@k8s-master1 ~]# cat mysql-pod.yaml 
    apiVersion: v1
    kind: Pod
    metadata:
      name: mysql-pod
    spec:
      containers:
      - name: mysql
        image: busybox
        imagePullPolicy: IfNotPresent
        command: [ "/bin/sh", "-c", "sleep 3600" ]
        env:
        - name: log_bin   #定义环境变量log_bin
          valueFrom: 
            configMapKeyRef:
              name: mysql     #指定configmap的名字
              key: log #指定configmap中的key
        - name: lower   #定义环境变量lower
          valueFrom:
            configMapKeyRef:
              name: mysql
              key: lower
      restartPolicy: Never
    
    # 更新资源清单文件
    [root@k8s-master1 ~]# kubectl apply -f mysql-pod.yaml
    [root@k8s-master1 ~]# kubectl exec -it mysql-pod -- /bin/sh
    / # printenv 
    log_bin=1
    lower=1
    

    1.3.2、通过环境变量引入:使用envfrom

    [root@k8s-master1 ~]# cat mysql-pod-envfrom.yaml 
    apiVersion: v1
    kind: Pod
    metadata:
      name: mysql-pod-envfrom
    spec:
      containers:
      - name: mysql
        image: busybox
        imagePullPolicy: IfNotPresent
        command: [ "/bin/sh", "-c", "sleep 3600" ]
        envFrom: 
        - configMapRef:
           name: mysql     #指定configmap的名字
      restartPolicy: Never
    
    # 更新资源清单文件
    [root@k8s-master1 ~]# kubectl apply -f mysql-pod-envfrom.yaml
    [root@k8s-master1 ~]# kubectl exec -it mysql-pod-envfrom -- /bin/sh
    / # printenv
    lower=1
    log=1
    

    1.3.3、把configmap做成volume,挂载到pod

    [root@k8s-master1 ~]# cat mysql-configmap.yaml 
    apiVersion: v1
    kind: ConfigMap
    metadata:
      name: mysql
      labels:
        app: mysql
    data:
        log: "1"
        lower: "1"
        my.cnf: |
          [mysqld]
          Welcome=lawrence
          
    [root@k8s-master1 ~]# kubectl apply -f mysql-configmap.yaml
    [root@k8s-master1 ~]# cat mysql-pod-volume.yaml 
    apiVersion: v1
    kind: Pod
    metadata:
      name: mysql-pod-volume
    spec:
      containers:
      - name: mysql
        image: busybox
        imagePullPolicy: IfNotPresent
        command: [ "/bin/sh","-c","sleep 3600" ]
        volumeMounts:
        - name: mysql-config
          mountPath: /tmp/config
      volumes:
      - name: mysql-config
        configMap:
          name: mysql
      restartPolicy: Never
      
    [root@k8s-master1 ~]# kubectl apply -f mysql-pod-volume.yaml
    [root@k8s-master1 ~]# kubectl exec -it mysql-pod-volume -- /bin/sh
    / # cd /tmp/config/
    /tmp/config # ls
    log    lower   my.cnf
    

    1.4、Configmap热更新

    # 把logs: “1”变成log: “2”
    [root@k8s-master1 ~]# kubectl edit configmap mysql
    
    # 等待几秒
    [root@k8s-master1~]# kubectl exec -it mysql-pod-volume -- /bin/sh
    / # cat /tmp/config/log 
    2
    

    注意事项

    1)使用环境变量注入的ConfigMap ,修改后不会同步更新

    2)使用该 ConfigMap 挂载的 Volume 中的数据需要一段时间(实测大概10秒)才能同步更新

    二、配置中心Secret

    2.1、Secret概述

    Configmap一般是用来存放明文数据的,如配置文件,对于一些敏感数据,如密码、私钥等数据时,要用secret类型。Secret解决了密码、token、秘钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。Secret可以以Volume或者环境变量的方式使用。

    要使用 secret,pod 需要引用 secret。Pod 可以用两种方式使用 secret:

    1)作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里

    2)当 kubelet 为 pod 拉取镜像时使用。

    secret可选参数有三种:

    • generic: 通用类型,通常用于存储密码数据。
    • tls:此类型仅用于存储私钥和证书。
    • docker-registry: 若要保存docker仓库的认证信息的话,就必须使用此种类型来创建。

    Secret类型

    • Service Account:用于被 serviceaccount 引用。serviceaccout 创建时 Kubernetes 会默认创建对应的 secret。Pod 如果使用了 serviceaccount,对应的 secret 会自动挂载到 Pod 的 /run/secrets/kubernetes.io/serviceaccount 目录中。
    • Opaque:base64编码格式的Secret,用来存储密码、秘钥等。可以通过base64 --decode解码获得原始数据,因此安全性弱
    • kubernetes.io/dockerconfigjson:用来存储私有docker registry的认证信息。

    2.2、Secret使用

    2.2.1、通过环境变量引入Secret

    # 把mysql的root用户的password创建成secret
    [root@k8s-master1 ~]# kubectl create secret generic mysql-password --from-literal=password=lawrence123
    [root@k8s-master1 ~]# kubectl get secret
    NAME                          TYPE                                  DATA   AGE
    default-token-cm4mx           kubernetes.io/service-account-token   3      2d14h
    mysql-password                Opaque                                1      116s
    nfs-provisioner-token-tjm9b   kubernetes.io/service-account-token   3      12h
    [root@k8s-master1 ~]# kubectl describe secret mysql-password
    Name:         mysql-password
    Namespace:    default
    Labels:       <none>
    Annotations:  <none>
    
    Type:  Opaque
    
    Data
    ====
    password:  11 bytes   
    #password的值是加密的,
    #但secret的加密是一种伪加密,它仅仅是将数据做了base64的编码.
    
    #创建pod,引用secret
    [root@k8s-master1 ~]# cat pod-secret.yaml 
    apiVersion: v1
    kind: Pod
    metadata:
      name: pod-secret
      labels:
         app: myapp
    spec:
      containers:
      - name: myapp
    image: ikubernetes/myapp:v1
    imagePullPolicy: IfNotPresent
        ports:
        - name: http
          containerPort: 80
        env:
         - name: MYSQL_ROOT_PASSWORD   #它是Pod启动成功后,Pod中容器的环境变量名.
           valueFrom:
              secretKeyRef:
                name: mysql-password  #这是secret的对象名
                key: password      #它是secret中的key名
    [root@k8s-master1 ~]# kubectl apply -f pod-secret.yaml
    [root@k8s-master1 ~]# kubectl exec -it pod-secret -- /bin/sh
    / # printenv
    MYSQL_ROOT_PASSWORD=lawrence123
    

    2.2.2、通过volume挂载Secret

    # 1)创建Secret:手动加密,基于base64加密
    [root@k8s-master1 ~]# echo -n 'admin' | base64
    YWRtaW4=
    [root@k8s-master1 ~]# echo -n 'lawrence123' | base64
    bGF3cmVuY2UxMjM=
    
    # 解码:
    [root@k8s-master1 ~]# echo bGF3cmVuY2UxMjM=  | base64 -d
    lawrence123
    
    # 2)创建yaml文件
    [root@k8s-master1 ~]# vim secret.yaml
    apiVersion: v1
    kind: Secret
    metadata:
      name: mysecret
    type: Opaque
    data:
      username: YWRtaW4=
      password: bGF3cmVuY2UxMjM=
    
    
    [root@k8s-master1 ~]# kubectl apply -f secret.yaml
    [root@k8s-master1]# kubectl describe secret mysecret
    Name:         mysecret
    Namespace:    default
    Labels:       <none>
    Annotations:  <none>
    
    Type:  Opaque
    
    Data
    ====
    password:  15 bytes
    username:  5 bytes
    
    # 3)将Secret挂载到Volume中
    [root@k8s-master1 ~]# vim pod_secret_volume.yaml
    apiVersion: v1
    kind: Pod
    metadata:
      name: pod-secret-volume
    spec:
      containers:
      - name: myapp
        image: registry.cn-beijing.aliyuncs.com/google_registry/myapp:v1
        volumeMounts:
        - name: secret-volume
          mountPath: /etc/secret
          readOnly: true
      volumes:
      - name: secret-volume
        secret:
          secretName: mysecret
    
    [root@k8s-master1 ~]# kubectl apply -f pod_secret_volume.yaml
    [root@k8s-master1 ~]# kubectl exec -it pod-secret-volume -- /bin/sh
    / # ls /etc/secret
    password  username
    / # 
    / # cat /etc/secret/username
    admin/ # 
    / # 
    / # cat /etc/secret/password
    lawrence123/ #
    
    #由上可见,在pod中的secret信息实际已经被解密
    
    作者:Lawrence

    -------------------------------------------

    个性签名:独学而无友,则孤陋而寡闻。做一个灵魂有趣的人!

    扫描上面二维码关注我
    如果你真心觉得文章写得不错,而且对你有所帮助,那就不妨帮忙“推荐"一下,您的“推荐”和”打赏“将是我最大的写作动力!
    本文版权归作者所有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接.
  • 相关阅读:
    JDBC操作数据库的步骤 ?
    switch 是否能作用在 byte 上,是否能作用在 long 上, 是否能作用在 String 上?
    有哪些不同类型的IOC(依赖注入)方式?
    ApplicationContext通常的实现是什么?
    如何给Spring 容器提供配置元数据?
    一个”.java”源文件中是否可以包含多个类(不是内部类)? 有什么限制?
    数据库连接(Database link)?
    你怎样定义类的作用域?
    JSP的常用指令有哪些?
    Mapper 编写有哪几种方式?
  • 原文地址:https://www.cnblogs.com/hujinzhong/p/14998130.html
Copyright © 2020-2023  润新知