配置容器化應用的方式:①命令行參數;②環境變量;③文件化配置
一、向容器傳遞命令行參數或環境變量
這兩種方式在 Pod 創建后不可被修改
1. 在Docker中定義命令與參數
- ENTRYPOINT:容器啟動時被調用的可執行程序
- CMD:傳遞給 ENTRYPOINT 的默認參數。可被覆蓋
docker run <image> <arguments>
上面兩條指令均支持以下兩種形式
- shell:
ENTRYPOINT node app.js(/bin/sh -c node app.js) - exec:
ENTRYPOINT ["node", "app.js"](node app.js)
e.g.
FROM ubuntu:latest
ADD test.sh /bin/test.sh # test.sh每“$1”秒輸出一行文本
ENTRYPOINT ["/bin/test.sh"]
CMD ["10"]
docker build -t lb/test:args .
docker push lb/test:args
docker run -it lb/test:args
docker run -it lb/test:args 15 # 傳遞參數
2. 向容器傳遞命令行參數
鏡像的 ENTRYPOINT 和 CMD 均可被覆蓋
kind: Pod
spec:
containers:
- image: some/image
command: ["/bin/command"] # 對應ENTRYPOINT,一般情況不覆蓋
args: ["arg1", "arg2"] # 對應CMD
另一種參數表示方式
args:
- foo # 字符串無需引號標記
- "15" # 數值需要
3. 為容器設置環境變量
K8s 可為 Pod 中的每個容器指定環境變量
kind: Pod
spec:
containers:
- image: some/image
env: # 指定環境變量
- name: FOO
value: "foo"
- name: BAR
value: "$(INTERVAL)bar" # 引入其他環境變量(command和args屬性值也可以借此引用環境變量)
在每個容器中,K8s 會自動暴露相同命名空間下每個 service 對應的環境變量
二、ConfigMap
1. 介紹
- 本質為鍵值對映射,值可以為字面量或配置文件
- 應用無需讀取 ConfigMap,映射的內容通過環境變量或卷文件的形式傳遞給容器
- Pod 通過名稱引用 ConfigMap
2. 創建 ConfigMap
apiVersion: v1
kind: ConfigMap
data:
sleep-interval: "25" # 配置條目
metadata:
name: my-config
直接創建
# 可指定字面量或配置文件
kubectl create configmap my-config \
--from-file=foo.json \ # 單獨的文件
--from-file=bar=foobar.conf \ # 自定義鍵名目錄下的文件
--from-file=config-opts/ \ # 完整文件夾
--from-literal=some=thing # 字面量
ConfigMap 鍵名需僅包含數字、字母、破折號、下划線、圓點,可首位圓點。鍵名不合法則不會映射
3. 傳遞 ConfigMap 作為環境變量
kind: Pod
spec:
containers:
- image: some/image
env:
- name: INTERVAL
valueFrom: # 使用ConfigMap中的key初始化
configMapKeyRef:
name: my-config
key: sleep-interval
啟動 Pod 時若無 ConfigMap:Pod 正常調度,容器啟動失敗。后續創建 ConfigMap,失敗容器會重啟。可設置
configMapKeyRef.optional=true,這樣即使 ConfigMap 不存在,容器也能啟動
一次性傳遞所有
spec:
containers:
- image: some/image
envFrom: # 傳遞所有
- prefix: CONFIG_ # 為所有環境變量設置前綴(可選)
configMapKeyRef:
name: my-config
若不是合法的環境變量名稱,K8s 不會自動轉換鍵名(如 CONFIG_FOO-BAR)
4. 傳遞 ConfigMap 作為命令行參數
使用 ConfigMap 初始化某個環境變量,然后在參數字段中引用該環境變量
apiVersion: v1
kind: Pod
spec:
containers:
- image: some/image
env:
- name: INTERVAL
valueFrom:
configMapKeyRef:
name: my-config
key: sleep-interval
args: ["$(INTERVAL)"] # 參數中引用環境變量
5. 傳遞 ConfigMap 作為配置文件
ConfigMap 卷會將每個條目暴露成一個文件,運行在容器中的進程可通過讀取文件內容獲取相應的值
將 ConfigMap 卷掛載到某個文件夾
apiVersion: v1
kind: Pod
metadata:
name: test-configmap
spec:
containers:
- image: nginx:alpine
name: web-server
volumeMounts:
- name: config
mountPath: /etc/nginx/conf.d/ # 掛載到文件夾會隱藏該文件夾中已存在的文件
readOnly: true
volumes:
- name: config
configMap:
name: fortune-config
$ kubectl exec test-configmap -c web-server ls /etc/nginx/conf.d
my-nginx-config.conf
sleep-interval
暴露指定的 ConfigMap 條目
spec:
volumes:
- name: config
configMap:
name: fortune-config
items: # 只暴露指定條目為文件
- key: my-nginx-config.conf
path: test.conf
# 此時 /etc/nginx/conf.d/ 中只有 test.conf
不隱藏文件夾中的其他文件
subPath 可用作掛載卷中的某個獨立文件或文件夾,無需掛載整個卷
spec:
containers:
- image: some/image
volumeMounts:
- name: config
mountPath: /etc/someconfig.conf # 掛載到某個文件
subPath: myconfig.conf # 僅掛載條目myconfig.conf
這種文件掛載方式會有文件更新的缺陷
為 ConfigMap 卷中的文件設置權限
volumes:
- name: config
configMap:
name: fortune-config
defaultMode: "6600" # 默認644
6. 更新配置且不重啟應用程序
更新 ConfigMap 后,卷中引用它的文件也會相應更新,進程發現文件改變后進行重載。K8s 也支持文件更新后手動通知容器
kubectl edit configmap fortune-config
kubectl exec test-configmap -c web-server cat /etc/nginx/conf.d/my-nginx-config.conf
kubectl exec test-configmap -c web-server -- nginx -s reload
- 所有文件會被一次性更新:ConfigMap 更新后,K8s 會創建一個文件夾寫入所有文件,最終將符號鏈接轉為該文件夾
- 如果掛載的是容器中的單個文件而不是完整的卷,ConfigMap 更新后對應的文件不會被更新
三、Secret
與 ConfigMap 類似。區別:①K8s 僅將 Secret 分發到需要訪問 Secret 的 Pod 所在的機器節點;②只存在於節點的內存中;③etcd 以加密形式存儲 Secret
1. 默認令牌 Secret
默認被掛載到所有容器(可通過設置 Pod 定義中或 Pod 使用的服務賬戶中的automountServiceAccountToken=false來關閉該默認行為)
$ kubectl get secrets
NAME TYPE DATA AGE
default-token-zns7b kubernetes.io/service-account-token 3 2d
$ kubectl describe secrets
...
Data # 包含從 Pod 內部安全訪問 K8s API 服務器所需的全部信息
====
ca.crt: 570 bytes
namespace: 7 bytes
token: eyJhbGciO...
$ kubectl describe pod
...
Mounts:
/var/run/secrets/kubernetes.io/serviceaccount from default-token-zns7b
$ kubectl exec mypod ls /var/run/secrets/kubernetes.io/serviceaccount/
ca.crt
namespace
token
2. 創建 Secret
$ kubectl create secret generic fortune-https --from-file=https.key --from-file=https.cert --from-file=foo
$ kubectl get secret fortune-https -o yaml
apiVersion: v1
kind: Secret
data:
foo: YmFyCg==
https.cert: HtD4SF...
https.key: PJgF0G...
Secret 條目的內容會被 Base64 編碼:Secret 條目可涵蓋二進制數據,Base64 編碼可將二進制數據轉為純文本(但 Secret 大小限於 1MB)
向 Secret 添加純文本條目
stringData: # 該字段只寫,查看時不會顯示,而是被編碼后展示在data字段下
foo: bar
3. 使用 Secret
將 Secret 卷暴露給容器后,條目的值會被自動解碼並以真實形式寫入對應文件或環境變量
apiVersion: v1
kind: Pod
metadata:
name: test-secret
spec:
containers:
- image: luksa/fortune:env
name: html-generator
env:
- name: INTERVAL
valueFrom:
configMapKeyRef:
name: fortune-config
key: sleep-interval
volumeMounts:
- name: html
mountPath: /var/htdocs
- image: nginx:alpine
name: web-server
volumeMounts:
- name: html
mountPath: /usr/share/nginx/html
readOnly: true
- name: config
mountPath: /etc/nginx/conf.d
readOnly: true
- name: certs
mountPath: /etc/nginx/certs/
readOnly: true
ports:
- containerPort: 80
- containerPort: 443
volumes:
- name: html
emptyDir: {}
- name: config
configMap:
name: fortune-config
items:
- key: my-nginx-config.conf
path: https.conf
- name: certs
secret:
secretName: fortune-https
Secret 也支持通過 defaultModes 指定卷中文件的默認權限
# Secret 卷采用內存文件系統列出容器的掛載點,不會寫入磁盤
$ kubectl exec test-secret -c web-server -- mount | grep certs
tmpfs on /etc/nginx/certs type tmpfs (ro,relatime)
暴露 Secret 為環境變量
不推薦,該方式可能無意中暴露 Secret 信息
env:
- name: FOO_SECRET
valueFrom:
secretKeyRef:
name: fortune-https
key: foo
4. 鏡像拉取 Secret
從私有鏡像倉庫拉取鏡像時,K8s 需擁有拉取鏡像所需的證書
①創建包含 Docker 鏡像倉庫證書的 Secret
kubectl create secret docker-registry mydockerhubsecret \
--docker-username=myusername --docker-password=mypassword --docker-email=myemail
②Pod 中字段imagePullSecrets引用該 Secret
apiVersion: v1
kind: Pod
metadata:
name: private-pod
spec:
imagePullSecrets:
- name: mydockerhubsecret
containers:
- image: username/private:tag
name: test
后續可添加 Secret 到 ServiceAccount 使所有 Pod 都能自動添加上該 Secret