k8s配置中心--ConfigMap及Secret
一、配置中心ConfigMap
1.1、ConfigMap概述
1.1.1、什么是Configmap
Configmap是k8s中的資源對象,用於保存非機密性的配置的,數據可以用key/value鍵值對的形式保存,也可通過文件的形式保存。
1.1.2、Configmap能解決哪些問題
我們在部署服務的時候,每個服務都有自己的配置文件,如果一台服務器上部署多個服務:nginx、tomcat、apache等,那么這些配置都存在這個節點上,假如一台服務器不能滿足線上高並發的要求,需要對服務器擴容,擴容之后的服務器還是需要部署多個服務:nginx、tomcat、apache,新增加的服務器上還是要管理這些服務的配置,如果有一個服務出現問題,需要修改配置文件,每台物理節點上的配置都需要修改,這種方式肯定滿足不了線上大批量的配置變更要求。 所以,k8s中引入了Configmap資源對象,可以當成volume掛載到pod中,實現統一的配置管理。
1、Configmap是k8s中的資源, 相當於配置文件,可以有一個或者多個Configmap;
2、Configmap可以做成Volume,k8s pod啟動之后,通過 volume 形式映射到容器內部指定目錄上;
3、容器中應用程序按照原有方式讀取容器特定目錄上的配置文件。
4、在容器看來,配置文件就像是打包在容器內部特定目錄,整個過程對應用沒有任何侵入。
1.1.3、Configmap應用場景
1)使用k8s部署應用,當你將應用配置寫進代碼中,更新配置時也需要打包鏡像,configmap可以將配置信息和docker鏡像解耦,以便實現鏡像的可移植性和可復用性,因為一個configMap其實就是一系列配置信息的集合,可直接注入到Pod中給容器使用。configmap注入方式有兩種,一種將configMap做為存儲卷,一種是將configMap通過env中configMapKeyRef注入到容器中。
2)使用微服務架構的話,存在多個服務共用配置的情況,如果每個服務中單獨一份配置的話,那么更新配置就很麻煩,使用configmap可以友好的進行配置共享。
1.1.4、局限性
ConfigMap在設計上不是用來保存大量數據的。在ConfigMap中保存的數據不可超過1 MiB。如果你需要保存超出此尺寸限制的數據,可以考慮掛載存儲卷或者使用獨立的數據庫或者文件服務。
1.2、Configmap創建方法
1.2.1、命令行直接創建
# 直接在命令行中指定configmap參數創建,通過--from-literal指定參數
[root@k8s-master1 ~]# kubectl create configmap tomcat-config --from-literal=tomcat_port=8080 --from-literal=server_name=myapp.tomcat.com
[root@k8s-master1 ~]# kubectl describe configmap tomcat-config
Name: tomcat-config
Namespace: default
Labels: <none>
Annotations: <none>
Data
====
server_name:
----
myapp.tomcat.com
tomcat_port:
----
8080
Events: <none>
1.2.2、通過文件創建
# 通過指定文件創建一個configmap,--from-file=<文件>
[root@k8s-master1 ~]# vim nginx.conf
server {
server_name www.nginx.com;
listen 80;
root /home/nginx/www/
}
# 定義一個key是www,值是nginx.conf中的內容
[root@k8s-master1 ~]# kubectl create configmap www-nginx --from-file=www=./nginx.conf
[root@k8s-master1 ~]# kubectl describe configmap www-nginx
Name: www-nginx
Namespace: default
Labels: <none>
Annotations: <none>
Data
====
www:
----
server {
server_name www.nginx.com;
listen 80;
root /home/nginx/www/
}
1.2.3、指定目錄創建
[root@k8s-master1 ~]# mkdir test-a
[root@k8s-master1 ~]# cd test-a/
[root@k8s-master1 test-a]# cat my-server.cnf
server-id=1
[root@k8s-master1 test-a]# cat my-slave.cnf
server-id=2
# 指定目錄創建configmap
[root@k8s-master1 test-a]# kubectl create configmap mysql-config --from-file=/root/test-a/
# 查看configmap詳細信息
[root@k8s-master1 test-a]# kubectl describe configmap mysql-config
Name: mysql-config
Namespace: default
Labels: <none>
Annotations: <none>
Data
====
my-server.cnf:
----
server-id=1
my-slave.cnf:
----
server-id=2
Events: <none>
1.2.4、編寫configmap資源清單
[root@k8s-master1 mysql]# cat mysql-configmap.yaml
apiVersion: v1
kind: ConfigMap
metadata:
name: mysql
labels:
app: mysql
data:
master.cnf: |
[mysqld]
log-bin
log_bin_trust_function_creators=1
lower_case_table_names=1
slave.cnf: |
[mysqld]
super-read-only
log_bin_trust_function_creators=1
1.3、使用ConfigMap
1.3.1、通過環境變量引入:使用configMapKeyRef
# 創建一個存儲mysql配置的configmap
[root@k8s-master1 ~]# cat mysql-configmap.yaml
apiVersion: v1
kind: ConfigMap
metadata:
name: mysql
labels:
app: mysql
data:
log: "1"
lower: "1"
[root@k8s-master1 ~]# kubectl apply -f mysql-configmap.yaml
# 創建pod,引用Configmap中的內容
[root@k8s-master1 ~]# cat mysql-pod.yaml
apiVersion: v1
kind: Pod
metadata:
name: mysql-pod
spec:
containers:
- name: mysql
image: busybox
imagePullPolicy: IfNotPresent
command: [ "/bin/sh", "-c", "sleep 3600" ]
env:
- name: log_bin #定義環境變量log_bin
valueFrom:
configMapKeyRef:
name: mysql #指定configmap的名字
key: log #指定configmap中的key
- name: lower #定義環境變量lower
valueFrom:
configMapKeyRef:
name: mysql
key: lower
restartPolicy: Never
# 更新資源清單文件
[root@k8s-master1 ~]# kubectl apply -f mysql-pod.yaml
[root@k8s-master1 ~]# kubectl exec -it mysql-pod -- /bin/sh
/ # printenv
log_bin=1
lower=1
1.3.2、通過環境變量引入:使用envfrom
[root@k8s-master1 ~]# cat mysql-pod-envfrom.yaml
apiVersion: v1
kind: Pod
metadata:
name: mysql-pod-envfrom
spec:
containers:
- name: mysql
image: busybox
imagePullPolicy: IfNotPresent
command: [ "/bin/sh", "-c", "sleep 3600" ]
envFrom:
- configMapRef:
name: mysql #指定configmap的名字
restartPolicy: Never
# 更新資源清單文件
[root@k8s-master1 ~]# kubectl apply -f mysql-pod-envfrom.yaml
[root@k8s-master1 ~]# kubectl exec -it mysql-pod-envfrom -- /bin/sh
/ # printenv
lower=1
log=1
1.3.3、把configmap做成volume,掛載到pod
[root@k8s-master1 ~]# cat mysql-configmap.yaml
apiVersion: v1
kind: ConfigMap
metadata:
name: mysql
labels:
app: mysql
data:
log: "1"
lower: "1"
my.cnf: |
[mysqld]
Welcome=lawrence
[root@k8s-master1 ~]# kubectl apply -f mysql-configmap.yaml
[root@k8s-master1 ~]# cat mysql-pod-volume.yaml
apiVersion: v1
kind: Pod
metadata:
name: mysql-pod-volume
spec:
containers:
- name: mysql
image: busybox
imagePullPolicy: IfNotPresent
command: [ "/bin/sh","-c","sleep 3600" ]
volumeMounts:
- name: mysql-config
mountPath: /tmp/config
volumes:
- name: mysql-config
configMap:
name: mysql
restartPolicy: Never
[root@k8s-master1 ~]# kubectl apply -f mysql-pod-volume.yaml
[root@k8s-master1 ~]# kubectl exec -it mysql-pod-volume -- /bin/sh
/ # cd /tmp/config/
/tmp/config # ls
log lower my.cnf
1.4、Configmap熱更新
# 把logs: “1”變成log: “2”
[root@k8s-master1 ~]# kubectl edit configmap mysql
# 等待幾秒
[root@k8s-master1~]# kubectl exec -it mysql-pod-volume -- /bin/sh
/ # cat /tmp/config/log
2
注意事項:
1)使用環境變量注入的ConfigMap ,修改后不會同步更新
2)使用該 ConfigMap 掛載的 Volume 中的數據需要一段時間(實測大概10秒)才能同步更新
二、配置中心Secret
2.1、Secret概述
Configmap一般是用來存放明文數據的,如配置文件,對於一些敏感數據,如密碼、私鑰等數據時,要用secret類型。Secret解決了密碼、token、秘鑰等敏感數據的配置問題,而不需要把這些敏感數據暴露到鏡像或者Pod Spec中。Secret可以以Volume或者環境變量的方式使用。
要使用 secret,pod 需要引用 secret。Pod 可以用兩種方式使用 secret:
1)作為 volume 中的文件被掛載到 pod 中的一個或者多個容器里
2)當 kubelet 為 pod 拉取鏡像時使用。
secret可選參數有三種:
generic: 通用類型,通常用於存儲密碼數據。tls:此類型僅用於存儲私鑰和證書。docker-registry: 若要保存docker倉庫的認證信息的話,就必須使用此種類型來創建。
Secret類型:
Service Account:用於被 serviceaccount 引用。serviceaccout 創建時 Kubernetes 會默認創建對應的 secret。Pod 如果使用了 serviceaccount,對應的 secret 會自動掛載到 Pod 的 /run/secrets/kubernetes.io/serviceaccount 目錄中。Opaque:base64編碼格式的Secret,用來存儲密碼、秘鑰等。可以通過base64 --decode解碼獲得原始數據,因此安全性弱kubernetes.io/dockerconfigjson:用來存儲私有docker registry的認證信息。
2.2、Secret使用
2.2.1、通過環境變量引入Secret
# 把mysql的root用戶的password創建成secret
[root@k8s-master1 ~]# kubectl create secret generic mysql-password --from-literal=password=lawrence123
[root@k8s-master1 ~]# kubectl get secret
NAME TYPE DATA AGE
default-token-cm4mx kubernetes.io/service-account-token 3 2d14h
mysql-password Opaque 1 116s
nfs-provisioner-token-tjm9b kubernetes.io/service-account-token 3 12h
[root@k8s-master1 ~]# kubectl describe secret mysql-password
Name: mysql-password
Namespace: default
Labels: <none>
Annotations: <none>
Type: Opaque
Data
====
password: 11 bytes
#password的值是加密的,
#但secret的加密是一種偽加密,它僅僅是將數據做了base64的編碼.
#創建pod,引用secret
[root@k8s-master1 ~]# cat pod-secret.yaml
apiVersion: v1
kind: Pod
metadata:
name: pod-secret
labels:
app: myapp
spec:
containers:
- name: myapp
image: ikubernetes/myapp:v1
imagePullPolicy: IfNotPresent
ports:
- name: http
containerPort: 80
env:
- name: MYSQL_ROOT_PASSWORD #它是Pod啟動成功后,Pod中容器的環境變量名.
valueFrom:
secretKeyRef:
name: mysql-password #這是secret的對象名
key: password #它是secret中的key名
[root@k8s-master1 ~]# kubectl apply -f pod-secret.yaml
[root@k8s-master1 ~]# kubectl exec -it pod-secret -- /bin/sh
/ # printenv
MYSQL_ROOT_PASSWORD=lawrence123
2.2.2、通過volume掛載Secret
# 1)創建Secret:手動加密,基於base64加密
[root@k8s-master1 ~]# echo -n 'admin' | base64
YWRtaW4=
[root@k8s-master1 ~]# echo -n 'lawrence123' | base64
bGF3cmVuY2UxMjM=
# 解碼:
[root@k8s-master1 ~]# echo bGF3cmVuY2UxMjM= | base64 -d
lawrence123
# 2)創建yaml文件
[root@k8s-master1 ~]# vim secret.yaml
apiVersion: v1
kind: Secret
metadata:
name: mysecret
type: Opaque
data:
username: YWRtaW4=
password: bGF3cmVuY2UxMjM=
[root@k8s-master1 ~]# kubectl apply -f secret.yaml
[root@k8s-master1]# kubectl describe secret mysecret
Name: mysecret
Namespace: default
Labels: <none>
Annotations: <none>
Type: Opaque
Data
====
password: 15 bytes
username: 5 bytes
# 3)將Secret掛載到Volume中
[root@k8s-master1 ~]# vim pod_secret_volume.yaml
apiVersion: v1
kind: Pod
metadata:
name: pod-secret-volume
spec:
containers:
- name: myapp
image: registry.cn-beijing.aliyuncs.com/google_registry/myapp:v1
volumeMounts:
- name: secret-volume
mountPath: /etc/secret
readOnly: true
volumes:
- name: secret-volume
secret:
secretName: mysecret
[root@k8s-master1 ~]# kubectl apply -f pod_secret_volume.yaml
[root@k8s-master1 ~]# kubectl exec -it pod-secret-volume -- /bin/sh
/ # ls /etc/secret
password username
/ #
/ # cat /etc/secret/username
admin/ #
/ #
/ # cat /etc/secret/password
lawrence123/ #
#由上可見,在pod中的secret信息實際已經被解密