|
|
今天我们来了解有关Secret加密以及Configmapd配置介绍
一、Configmapd配置介绍
ConfigMap 功能在 Kubernetes1.2 版本中引入,许多应用程序会从配置文件、命令行参数或环境变量中读取配置信息。ConfigMap API 给我们提供了向容器中注入配置信息的机制,ConfigMap 可以被用来保存单个属性,也可以用来保存整个配置文件或者 JSON 二进制大对象。
将配置信息放到configmap对象中,然后在pod的对象中导入configmap对象,实现导入配置的操作。
ConigMap是一种 API对象,用来将非机密性的数据保存到键值对中。使用时可以用作环境变量、命令行参数或者存储卷中的配置文件。
ConfigMap将环境配置信息和容器镜像解耦,便于应用配置的修改。当你需要储存机密信息时可以使用Secret对象。
备注: ConfigMap 并不提供保密或者加密功能。如果你想存储的数据是机密的,请使用Secret;或者使用其他第三方工具来保证数据的私密性,而不是用ConfigMap。
二,项目中的应用
1. 创建 ConfigMap 的资源清单
- apiVersion: v1 # 版本,通过 kubectl explain cm 可以查看<br>kind: ConfigMap<br>metadata:<br> name: special-config # ConfigMap 的名字<br> namespace: default # 名称空间<br>data: # key: value 结构,配置数据<br> special.how: very<br> special.type: charm<br><br><br>kubectl apply -f comfigmap.yaml
创建 /root/k8s/yaml/configmap/game.properties 文件:
- enemies=aliens<br>lives=3<br>enemies.cheat=true<br>enemies.cheat.level=noGoodRotten<br>secret.code.passphrase=UUDDLRLRBABAS<br>secret.code.allowed=true<br>secret.code.lives=30
- color.good=purple<br>color.bad=yellow<br>allow.textmode=true<br>how.nice.to.look=fairlyNice
- kubectl create configmap game-config --from-file=../configmap/
- $ kubectl get cm<br>NAME DATA AGE<br>game-config 2 6m40s<br><br># 查看详细信息<br>kubectl get cm game-config -o yaml<br>kubectl describe cm game-config
通过 --from-file 参数只要指定为一个文件就可以从单个文件中创建 ConfigMap
–from-file 这个参数可以使用多次,你可以使用两次分别指定上个实例中的那两个配置文件,效果就跟指定整个目录是一样的
- kubectl create configmap game-config-2 --fromfile=game.properties<br><br>kubectl get configmaps game-config-2 -o yaml
使用文字值创建,利用 --from-literal 参数传递配置信息,该参数可以使用多次,例如:ZFQ-1阻火呼吸阀
- kubectl create configmap special-config --from-literal=special.how=very --fromliteral=special.type=charm<br><br>kubectl get configmaps special-config -o yaml
创建两个 ConfigMap(configmap.yaml)
- apiVersion: v1<br>kind: ConfigMap<br>metadata:<br> name: special-config<br> namespace: default<br>data:<br> special.how: very<br> special.type: charm<br>---<br>apiVersion: v1<br>kind: ConfigMap<br>metadata:<br> name: env-config<br> namespace: default<br>data:<br> log_level: INFO
- apiVersion: v1<br>kind: Pod<br>metadata:<br> name: dapi-test-pod<br>spec:<br> containers:<br> - name: test-container<br> image: wangyanglinux/myapp:v1<br> command: [ "/bin/sh", "-c", "env" ] # 打印 env<br> env: # 从 ConfigMap 中选择读取的键,并起个别名<br> - name: SPECIAL_LEVEL_KEY # 键别名,在这值应该是 very<br> valueFrom:<br> configMapKeyRef:<br> name: special-config # ComfigMap 的名称<br> key: special.how # 上句指定 ConfigMap 中的键名<br> - name: SPECIAL_TYPE_KEY # 键别名,在这值应该是 charm<br> valueFrom:<br> configMapKeyRef:<br> name: special-config # ComfigMap 的名称<br> key: special.type # 上句指定 ConfigMap 中的键名<br> envFrom: # 直接从 ConfigMap 中读取全部配置<br> - configMapRef:<br> name: env-config # ComfigMap 的名称<br> restartPolicy: Never
使用 ConfigMap 设置命令行参数
创建 ConfigMap
- apiVersion: v1<br>kind: ConfigMap<br>metadata:<br> name: special-config<br> namespace: default<br>data:<br> special.how: very<br> special.type: charm
- apiVersion: v1<br>kind: Pod<br>metadata:<br> name: dapi-test-pod<br>spec:<br> containers:<br> - name: test-container<br> image: wangyanglinux/myapp:v1<br> command: [ "/bin/sh", "-c", "echo $(SPECIAL_LEVEL_KEY) $(SPECIAL_TYPE_KEY)" ] #可以调整启动Pod时的命令<br> env: # 从 ConfigMap 中选择读取的键,并起个别名<br> - name: SPECIAL_LEVEL_KEY # 键别名,在这值应该是 very<br> valueFrom:<br> configMapKeyRef:<br> name: special-config # ComfigMap 的名称<br> key: special.how # 上句指定 ConfigMap 中的键名<br> - name: SPECIAL_TYPE_KEY # 键别名,在这值应该是 charm<br> valueFrom:<br> configMapKeyRef:<br> name: special-config # ComfigMap 的名称<br> key: special.type<br> restartPolicy: Never
kubectl logs dapi-test-pod
very charm
通过数据卷插件使用ConfigMap
通过 Volume 方式挂载,ConfigMap 中的键名就是 文件名,键值就是 文件内容
创建 ConfigMap
- apiVersion: v1<br>kind: ConfigMap<br>metadata:<br> name: special-config<br> namespace: default<br>data:<br> special.how: very<br> special.type: charm
- apiVersion: v1<br>kind: Pod<br>metadata:<br> name: dapi-test-pod<br>spec:<br> containers:<br> - name: test-container<br> image: wangyanglinux/myapp:v1<br> command: ["/bin/sh", "-c", "cat /etc/config/special.how"] # 打印挂载目录下的文件内容<br> volumeMounts: # volume 挂载<br> - name: config-volume # 挂载下面指定的 volume<br> mountPath: /etc/config # 挂载到的目录(容器内路径,该目录下,文件名就里键名,文件内容就是键值)<br> volumes:<br> - name: config-volume # volume 名称<br> configMap: # 来自 ConfigMap<br> name: special-config # ConfigMap 名字<br> restartPolicy: Never
kubectl logs dapi-test-pod
very
8,ConfigMap 的热更新
创建一个 ConfigMap 和 Deployment:
- apiVersion: v1<br>kind: ConfigMap<br>metadata:<br> name: log-config<br> namespace: default<br>data:<br> log_level: INFO<br>---<br>apiVersion: extensions/v1beta1<br>kind: Deployment<br>metadata:<br> name: my-nginx<br>spec:<br> replicas: 1<br> template:<br> metadata:<br> labels:<br> run: my-nginx<br> spec:<br> containers:<br> - name: my-nginx<br> image: wangyanglinux/myapp:v1<br> ports:<br> - containerPort: 80<br> volumeMounts: # 这块儿不懂看上一节《通过数据卷插件使用ConfigMap》<br> - name: config-volume<br> mountPath: /etc/config # 容器内这个目录下会有 log_level 这个文件,内容为 INFO<br> volumes:<br> - name: config-volume<br> configMap:<br> name: log-config
kubectl exec my-nginx-c484b98b4-sbls9 -it -- cat /etc/config/log_level
INFO
修改 ConfigMap
kubectl edit configmap log-config
再次查看 /etc/config/log_level 文件的内容,可以看到,Pod 中的配置也改了
注意:更新 ConfigMap 后:
使用该 ConfigMap 挂载的 Env 不会同步更新
使用该 ConfigMap 挂载的 Volume 中的数据需要一段时间(实测大概10秒)才能同步更新
让 Pod 滚动更新
ConfigMap 更新后,并不会让相应的文件重载。例如,Nginx 在启动时,会加载一次配置文件(配置文件中有 ConfigMap 的相关参数),加载完成后,无论这个配置文件再怎么变化,Nginx 都不会再加载它。因此需要 ConfigMap 更新后滚动更新 Pod。
可以通过修改 pod annotations 的方式强制触发滚动更新
这里我们在 .spec.template.metadata.annotations 中添加 version/config ,每次通过修改 version/config 的时间来触发滚动更新
- kubectl patch deployment my-nginx --patch \<br>'{"spec": {"template": {"metadata": {"annotations":{"version/config": "20211110" }}}}}'
Secret 解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者 Pod Spec 中。Secret 可以以 Volume 或者环境变量的方式使用
用户可以创建 secret,同时系统也创建了一些 secret。
Secret 有三种类型:
- Service Account:用来访问 Kubernetes API,由 Kubernetes 自动创建,并且会自动挂载到 Pod 的 /run/secrets/kubernetes.io/serviceaccount 目录中
- Opaque:base64 编码格式的 Secret,用来存储密码、密钥等。加密程度不高
- kubernetes.io/dockerconfigjson:用来存储私有 docker registry 的认证信息
要使用 secret,pod 需要引用 secret。Pod 可以用两种方式使用 secret:
作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里,
当 kubelet 为 pod 拉取镜像时使用。
1. Service Account(不常用)
Service Account 用来访问 Kubernetes API,由 Kubernetes 自动创建,并且会自动挂载到 Pod 的 /run/secrets/kubernetes.io/serviceaccount 目录中
- # 1. 随便找一个需要访问 Kubernetes API 的 Pod<br>$ kubectl get pod -n kube-system<br>NAME READY STATUS RESTARTS AGE<br>kube-proxy-2pqkk 1/1 Running 6 40d<br><br># 2. 查看该 Pod 中 /run/secrets/kubernetes.io/serviceaccount 目录下的文件<br>$ kubectl exec kube-proxy-2pqkk -n kube-system -it -- ls /run/secrets/kubernetes.io/serviceaccount<br>ca.crt:访问 API Service 时的证书<br>namespace:名称空间<br>token:认证的密钥信息
Opaque 类型的数据是一个 map 类型,要求 value 是 base64 编码格式:
(1)创建 Opaque Secret
给用户名和密码用 base64 加密
- $ echo -n admin | base64<br>YWRtaW4=<br>$ echo -n 123 | base64<br>MTIz
- $ echo -n YWRtaW4= | base64 -d<br>admin
- apiVersion: v1 # kubectl explain secret 查看<br>kind: Secret<br>metadata:<br> name: mysecret # Secret 名称<br>type: Opaque # Secret 的类型<br>data:<br> password: MTIz # 密码<br> username: YWRtaW4= # 用户名
default-token-xxxxx:k8s 默认会在每个名称空间下都创建一个,用于 Pod 的挂载
- $ kubectl get secret<br>NAME TYPE DATA AGE<br>default-token-fm46c kubernetes.io/service-account-token 3 40d<br>mysecret Opaque 2 12s
创建 Pod
- apiVersion: v1<br>kind: Pod<br>metadata:<br> labels:<br> name: secret-test<br> name: secret-test<br>spec:<br> volumes: # 创建一个卷<br> - name: secrets # 卷名<br> secret: # 卷使用的方案<br> secretName: mysecret # 来自于上一节创建的 mysecret<br> containers:<br> - image: wangyanglinux/myapp:v1<br> name: db<br> volumeMounts: # 卷挂载<br> - name: secrets # 挂载的是上面声明的 secrets<br> mountPath: "/etc/secrets" # 挂载的目录(容器内目录)<br> readOnly: true # 只读
- # Opaque Secret 中的用户名和密码都已经挂载进来了<br>$ kubectl exec secret-test -it -- ls /etc/secrets<br>password username<br><br># 查看内容,发现内容已经自动被解密<br>$ kubectl exec secret-test -it -- cat /etc/secrets/password<br>123<br>$ kubectl exec secret-test -it -- cat /etc/secrets/username<br>admin
创建 Deployment
- apiVersion: extensions/v1beta1<br>kind: Deployment<br>metadata:<br> name: pod-deployment<br>spec:<br> replicas: 2<br> template:<br> metadata:<br> labels:<br> app: pod-deployment<br> spec:<br> containers:<br> - name: pod-1<br> image: wangyanglinux/myapp:v1<br> ports:<br> - containerPort: 80<br> env:<br> - name: TEST_USER # 环境变量名<br> valueFrom:<br> secretKeyRef: # 从 Secret 中获取<br> name: mysecret # Secret 的名字<br> key: username # Secret 中的键名<br> - name: TEST_PASSWORD # 环境变量名<br> valueFrom:<br> secretKeyRef: # 从 Secret 中获取<br> name: mysecret # Secret 的名字<br> key: password # Secret 中的键名(相比 configmap,Secret 在这儿不需要使用明文,稍微安全一点)
- # 进入容器<br>$ kubectl exec pod-deployment-747f78bc67-2w9wk -it -- /bin/sh<br><br># 查看环境变量<br>$ echo $TEST_USER<br>admin<br>$ echo $TEST_PASSWORD<br>123
使用 Kuberctl 创建 docker registry 认证的 secret
- # kubectl create secret docker-registry \ # 创建 Secret 的类型<br># myregistrykey \ # Secret 的名称<br># --docker-server=hub.zyx.com \ # docker server 的地址<br># --docker-username=admin \ # docker 用户名<br># --docker-password=Harbor12345 \ # docker 密码<br># --docker-email=aa@qq.com # docker 邮箱<br>kubectl create secret docker-registry \<br> myregistrykey \<br> --docker-server=hub.zyx.com \<br> --docker-username=admin \<br> --docker-password=Harbor12345 \<br> --docker-email=aa@qq.com
- apiVersion: v1<br>kind: Pod<br>metadata:<br> name: foo<br>spec:<br> containers:<br> - name: foo<br> image: hub.zyx.com/zyx/myapp:v1<br> imagePullSecrets: # 当去私有仓库拉取时的认证信息<br> - name: myregistrykey # 认证信息,上一步创建的 docker registry
免责声明:由于采集信息均来自互联网,如果侵犯了您的权益,请联系我们【E-Mail:cb@itdo.tech】 我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
x
|
