您好,欢迎来到网暖!

当前位置:网暖 » 站长资讯 » 建站基础 » 网络技术 » 文章详细 订阅RssFeed

Kubernetes数据持久化之Secret与ConfigMap

来源:网络整理 浏览:140次 时间:2020-08-05

ConfigMap和Secret是Kubernetes中两种特殊类型的存储卷,ConfigMap这种资源对象主要用于提供配置数据以定制程序行为,不过一些敏感的配置信息,比如像用户名、密码、密钥等通常都是由Secret这种资源对象来进行配置的,他们将相应的配置信息保存于对象中,而后在Pod资源上以存储卷的形式将其挂载并获取相应配置,以实现配置与镜像文件的解耦。

一、Secret资源对象1) Secret概述

Secret资源对象存储数据的方式是以键值对的方式进行存储的,在Pod资源进行Secret的方式是通过环境变量或存储卷的方式进行访问数据,解决了密码、token、密钥等敏感数据的配置问题,而不需要将这些敏感数据暴露到镜像或者Pod的spec字段中。另外,Secret对象的数据存储和打印格式为Base64编码的字符串,因此用户在创建Secret对象时,也需要提供该类型的编码格式的数据。在容器中以环境变量或存储卷的方式访问时,会自动解码为明文格式。需要注意的是,如果是在Master节点上,Secret对象以非加密的格式存储在etcd中,所以需要对etcd的管理和权限进行严格控制。

2)Secret资源的类型

Secret有四种类型:
1)Service Account :用来访问Kubernetes API,由Kubernetes自动创建,并且会自动挂载到Pod的/run/secrets/kubernetes.io/serviceaccount目录中;
2)Opaque :base64编码格式的Secret,用来存储密码、密钥、信息、证书等,类型标识符为generic;
3)kubernetes.io/dockerconfigjson :用来存储私有docker registry的认证信息,类型标识为docker-registry;
4)kubernetes.io/tls:用于为SSL通信模式存储证书和私钥文件,命令式创建类型标识为tls;

3)创建Secret的方式

假设存储的数据是:
username:root
password:123.com
以下的存储方式都是存储该信息!

1)使用--from-literal(文字)的方式
[root@master ~]# kubectl create secret generic mysecret01 --from-literal=username=root --from-literal=password=123.com#创建一个secret资源对象,名称为mysecret01,采用的加密方式是generic(通用的、一般的加密方式)#注意:这种方式每一条只能保存一条信息[root@master ~]# kubectl get secrets mysecret01 NAME         TYPE     DATA   AGEmysecret01   Opaque   2      25s[root@master ~]# kubectl describe secrets mysecret01     #查看该资源的详细信息Name:         mysecret01Namespace:    defaultLabels:       <none>Annotations:  <none>Type:  Opaque                         #不透明的,看不到的Data====password:  7 bytes                     #只能查看键的名称,无法查看到键对应的值username:  4 bytes[root@master ~]# kubectl get secrets mysecret01 -o yaml            #将该资源以yaml文件的方式进行显示apiVersion: v1data:  password: MTIzLmNvbQ==                       #键对应的值都是乱码,加密使用的是base64编码格式  username: cm9vdA==kind: Secretmetadata:  creationTimestamp: "2020-02-14T10:08:21Z"  name: mysecret01  namespace: default  resourceVersion: "2474"  selfLink: /api/v1/namespaces/default/secrets/mysecret01  uid: 1aee0635-7bfb-4e8a-a21e-be993e534156type: Opaque[root@master ~]# echo -n cm9vdAo= | base64 --d              #将乱码解码后的结果root[root@master ~]# echo -n MTIzLmNvbQ== | base64 --d123.com
2)使用--from-file(文件)的方式

这种方式更第一种方式差不多,可能稍微显得麻烦一些!

[root@master ~]# echo root > username[root@master ~]# echo 123.com > password#需要先将要存储的键值对写入到文件中,并且每个文件只能写入一个值[root@master ~]# kubectl create secret generic mysecret02 --from-file=username --from-file=password[root@master ~]# rm -rf username password              #即使文件删除之后,该资源键对应的值依然也是存在的[root@master ~]# kubectl get secrets mysecret02NAME         TYPE     DATA   AGEmysecret02   Opaque   2      58s[root@master ~]# kubectl describe secrets mysecret02Name:         mysecret02Namespace:    defaultLabels:       <none>Annotations:  <none>Type:  OpaqueData====password:  8 bytesusername:  5 bytes
3)通过 --from-env-file(环境变量)的方式

这种方式可以在同一个文件中写入多个键值对,推荐使用!

[root@master ~]# tee  env.txt <<EOF            #将多个需要存储的键值写入同一个文件中 username=root password=123.com EOF[root@master ~]# kubectl create secret generic mysecret03 --from-env-file=env.txtsecret/mysecret03 created[root@master ~]# kubectl get secrets mysecret03NAME         TYPE     DATA   AGEmysecret03   Opaque   2      19s[root@master ~]# kubectl describe secrets mysecret03Name:         mysecret03Namespace:    defaultLabels:       <none>Annotations:  <none>Type:  OpaqueData====username:  4 bytespassword:  7 bytes
4)通过yaml文件的方式
 [root@master ~]# echo root | base64                  #需要将键对应的值进行加密cm9vdAo=[root@master ~]# echo 123.com | base64MTIzLmNvbQo=[root@master ~]# vim secret.yaml  apiVersion: v1kind: Secretmetadata:  name: mysecret04data:  username: cm9vdAo=                            #将加密后的值写到配置文件中  password: MTIzLmNvbQo=[root@master ~]# kubectl apply -f secret.yaml[root@master ~]# kubectl get secrets mysecret04NAME         TYPE     DATA   AGEmysecret04   Opaque   2      118s[root@master ~]# kubectl describe secrets mysecret04Name:         mysecret04Namespace:    defaultLabels:       <none>Annotations:  Type:         OpaqueData====password:  8 bytesusername:  5 bytes
4)Secret资源的使用方式1)以volume挂载的方式使用
[root@master ~]# vim secret-pod01.yamlapiVersion: v1kind: Podmetadata:  name: mypodspec:  containers:  - name: mypod    image: busybox    args:      - /bin/sh      - -c      - sleep 3000000                  #以上字段仅仅是创建一个容器    volumeMounts:    - name: secret-test      mountPath: "/etc/secret-test"                  #指定容器中的目录      readOnly: true                                         #以只读的方式挂载  volumes:  - name: secret-test    secret:      secretName: mysecret04          #指定的是已有的secret资源的名称[root@master ~]# kubectl apply -f secret-pod01.yaml [root@master ~]# kubectl exec -it mypod /bin/sh        #进入容器/ # cat -n /etc/secret-test/username /etc/secret-test/password     #查看对应的目录是否存在数据     1  root     2  123.com#而且是已经解密后的数据         / # echo 12324235532 > /etc/secret-test/username /bin/sh: can't create /etc/secret-test/username: Read-only file system

现在,我们可以验证一下,如果此时更改secret04的内容,那么容器内对应的挂载目录下的内容是否更改?

[root@master ~]# echo zhangsan | base64emhhbmdzYW4K[root@master ~]# echo 123456 | base64MTIzNDU2Cg==[root@master ~]# vim secret.yaml apiVersion: v1kind: Secretmetadata:  name: mysecret04data:  username: emhhbmdzYW4K  password: MTIzNDU2Cg==[root@master ~]# kubectl apply -f secret.yaml [root@master ~]# kubectl exec -it mypod /bin/sh/ # cat -n /etc/secret-test/username /etc/secret-test/password      1  zhangsan     2  123456#再次查看容器中数据,发现已经发生了变化!    

注意:如果采用volume挂载的方式调用secert存储的值,容器内的值会随着secert存储的值发生改变而变化!

2)用环境变量的方式运行
[root@master ~]# vim secret-pod02.yaml apiVersion: v1kind: Podmetadata:  name: mypod2spec:  containers:  - name: mypod    image: busybox    args:      - /bin/sh      - -c      - sleep 3000000    env:                                   #设置环境变量      - name: SECRET_USERNAME               #指容器中的变量名称        valueFrom:          secretKeyRef:            name: mysecret02                 #调用的是mysecret02             key: username                       #对应的是mysecret02中username对应的值      - name: SECRET_PASSWORD     #同上        valueFrom:          secretKeyRef:            name: mysecret02            key: password[root@master ~]# kubectl apply -f secret-pod02.yaml[root@master ~]# kubectl exec -it mypod2 /bin/sh/ # echo ${SECRET_USERNAME}root/ # echo ${SECRET_PASSWORD}123.com#进入容器之后,查看变量对应的值

注意:如果采用变量的方式调用secert存储的值,容器内的变量值并不会随着secert存储的值发生改变,除非重新生成pod。

二、ConfigMap资源对象1)ConfigMap概述

我们知道,在几乎所有的应用开发中,都会涉及到配置文件的变更,比如说在web的程序中,需要连接数据库,缓存甚至是队列等等。而我们的一个应用程序从写第一行代码开始,要经历开发环境、测试环境、预发布环境只到最终的线上环境。而每一个环境都要定义其独立的各种配置。如果我们不能很好的管理这些配置文件,你的运维工作将顿时变的无比的繁琐。为此业内的一些大公司专门开发了自己的一套配置管理中心,如360的Qcon,百度的disconf等。kubernetes也提供了自己的一套方案,即ConfigMap。kubernetes通过ConfigMap来实现对容器中应用的配置管理。

2)ConfigMap的创建方式

其实configMap和secert资源对象的创建方式完全一样!

1)通过--from-literal的方式
[root@master ~]# kubectl create configmap configmap01 --from-literal=username=root --from-literal=password=123.com#创建一个configmap资源,名称为configmap01[root@master ~]# kubectl describe configmaps configmap01 Name:         configmap01Namespace:    defaultLabels:       <none>Annotations:  <none>Data      #可以很明确的看出存储的键对应的值,所以一般用于存储配置文件信息====password:----123.comusername:----rootEvents:  <none>
2)通过--from-file的方式
[root@master ~]# echo root > username[root@master ~]# echo 123.com > password[root@master ~]# kubectl create configmap configmap02 --from-file=username --from-file=passwordconfigmap/configmap02 created[root@master ~]# kubectl describe configmaps configmap02Name:         configmap02Namespace:    defaultLabels:       <none>Annotations:  <none>Data====password:----123.comusername:----rootEvents:  <none>
3)通过--from-env-file的方式
[root@master ~]# tee 123.txt <<EOF> username=root> password=123.com> EOF[root@master ~]# kubectl create configmap configmap03 --from-env-file=123.txtconfigmap/configmap03 created[root@master ~]# kubectl describe configmaps configmap03Name:         configmap03Namespace:    defaultLabels:       <none>Annotations:  <none>Data====username:----rootpassword:----123.comEvents:  <none>
4)通过yaml文件的方式
[root@master ~]# vim configmap.yamlapiVersion: v1kind: ConfigMapmetadata:  name: configmap04data:   username: root                       #configmap使用yaml文件进行创建时,键对应的值无需事先加密  password: 123.com                     #对应的值如果是数字,则需要单引号引起[root@master ~]# kubectl apply -f configmap.yaml[root@master ~]# kubectl describe configmaps configmap04Name:         configmap04Namespace:    defaultLabels:       <none>Annotations:  kubectl.kubernetes.io/last-applied-configuration:                {"apiVersion":"v1","data":{"password":"123.com","username":"root"},"kind":"ConfigMap","metadata":{"annotations":{},"name":"configmap04","n...Data====password:----123.comusername:----rootEvents:  <none>
3)ConfigMap的使用方式1)以volume挂载的方式使用
[root@master ~]# vim configmap-pod01.yamlapiVersion: v1kind: Podmetadata:  name: configmap-pod01spec:  containers:  - name: configmap-pod01    image: busybox    args:      - /bin/sh      - -c      - sleep 3000000    volumeMounts:    - name: configmap-test      mountPath: "/etc/configmap-test"      readOnly: true  volumes:  - name: configmap-test    configMap:      name: configmap01[root@master ~]# kubectl apply -f configmap-pod01.yaml[root@master ~]# kubectl exec -it configmap-pod01 /bin/sh/ # cat -n /etc/configmap-test/username /etc/configmap-test/password     1  root     2  123.com

ConfigMap资源采用volume挂载的方式,与Secret资源采用volume挂载的方式几乎是一样的,会随着源数据的变化而变化!

2)用环境变量的方式运行
[root@master ~]# vim configmap-pod02.yamlapiVersion: v1kind: Podmetadata:  name: configmap-pod02spec:  containers:  - name: configmap-pod02    image: busybox    args:      - /bin/sh      - -c      - sleep 3000000    env:      - name: CONFIGMAP_USERNAME        valueFrom:          configMapKeyRef:            name: configmap04            key: username                   #调用的是configmap04中username的值      - name: CONFIGMAP_PASSWORD        valueFrom:          configMapKeyRef:            name: configmap04            key: password[root@master ~]# kubectl apply -f configmap-pod02.yaml                      [root@master ~]# kubectl exec -it configmap-pod02 /bin/sh/ # echo ${CONFIGMAP_USERNAME}root/ # echo ${CONFIGMAP_PASSWORD}123.com

ConfigMap资源采用环境变量的方式,与Secret资源采用变量变量的方式几乎是一样的,不会随着源数据的变化!

三、Secret与ConfigMap的异同点1)相同点

都是用来保存轻量级信息的,可以供其他资源对象(Deployment、RC、RS和POd)进行挂载使用。
这两种资源对象的创建方法(4种)及引用方法(2种)都是一样的,都是以键值对的方式进行存储的。

2)不同点

Secret是用来保存敏感信息的,而configMap是用来保存一些不太重要的数据的,具体表现在当我们执行“kubectl describe ....”命令时,Secret这种类型的资源对象时查看不到其具体的信息的,而configMap是可以查看到其保存的具体内容的。

3)注意事项

1)Secret、ConfigMap必须在Pod之前创建;
2)只有与当前Secret、ConfigMap在同一个namespace内的pod才能使用这个Secret、ConfigMap,换句话说,Secret、ConfigMap不能跨命名空间调用。

——————————本文到此结束,感谢阅读————————————

推荐站点

  • 腾讯腾讯

    腾讯网(www.QQ.com)是中国浏览量最大的中文门户网站,是腾讯公司推出的集新闻信息、互动社区、娱乐产品和基础服务为一体的大型综合门户网站。腾讯网服务于全球华人用户,致力成为最具传播力和互动性,权威、主流、时尚的互联网媒体平台。通过强大的实时新闻和全面深入的信息资讯服务,为中国数以亿计的互联网用户提供富有创意的网上新生活。

    www.qq.com
  • 搜狐搜狐

    搜狐网是全球最大的中文门户网站,为用户提供24小时不间断的最新资讯,及搜索、邮件等网络服务。内容包括全球热点事件、突发新闻、时事评论、热播影视剧、体育赛事、行业动态、生活服务信息,以及论坛、博客、微博、我的搜狐等互动空间。

    www.sohu.com
  • 网易网易

    网易是中国领先的互联网技术公司,为用户提供免费邮箱、游戏、搜索引擎服务,开设新闻、娱乐、体育等30多个内容频道,及博客、视频、论坛等互动交流,网聚人的力量。

    www.163.com
  • 新浪新浪

    新浪网为全球用户24小时提供全面及时的中文资讯,内容覆盖国内外突发新闻事件、体坛赛事、娱乐时尚、产业资讯、实用信息等,设有新闻、体育、娱乐、财经、科技、房产、汽车等30多个内容频道,同时开设博客、视频、论坛等自由互动交流空间。

    www.sina.com.cn
  • 百度一下百度一下

    百度一下,你就知道

    www.baidu.com