kubernetes ConfigMap和Secret:配置應用程式
- 2019 年 10 月 3 日
- 筆記
7.1.配置容器化應用程式
7.2.向容器傳遞命令行參數
7.2.1.待Docker中定義命令與參數
1.了解ENTRYPOINT與CMD
ENTRYPOINT定義容器啟動時被調用的可以執行程式
CMD指定傳遞給ENTRYP的參數
dockerfile 內容如下
FROM daocloud.io/centos:latest ADD aaa /usr/local/aaa CMD ["-f","/var/log/aa.log"] ENTRYPOINT ["tail"]
當啟動鏡像時,容器啟動時執行如下命令:tail -f /var/log/aa.log
或者在docker run <images> <arguments> 中指定,arguments會覆蓋CMD中內容
7.2.2.在kubernetes中覆蓋命令行和參數
在k8s中定義容器時,鏡像的ENTRYPOINT和CMD都可以被覆蓋,僅需在容器定義中設置熟悉command和args的值
對應參數如下:
| Docker | kubernetes | 描述 |
| ENTRYPOINT | command | 容器中運行的可執行文件 |
| CMD | args | 傳給可執行文件的參數 |
相關yml程式碼如下:
kind: pod spec: containers: - image: some/image command: ["/bin/command"] args: ["args1","args2","args3"]
7.3.為容器設置環境變數
7.3.1.在容器定義中指定環境變數
與容器的命令和參數設置相同,環境變數列表無法在pod創建後被修改。
在pod的yml文件中設置容器環境變數程式碼如下:
kind: pod spec: containers: - image: luksa/fortune:env env: - name: INTERVAL value: "30" name: value-test-yh
7.3.2.在環境變數值中引用其他環境變數
使用$( VAR )引用環境變數,
相關ym程式碼如下:
env: - name: FIRST_VAR value: "foo" - name: SECOND_VAR value: "$(FIRST_VAR)bar" //最終變數值為foobar
7.4.利用ConfigMap解耦配置
7.4.1.ConfigMap介紹
kubernetes允許將配置選項分離到獨立的資源對象ConfigMap中,本質上就是一個鍵/值對映射,值可以是短字面變數,也可以是完整的配置文件。
應用無須直接讀取ConfigMap,甚至根本不需要知道其是否存在。
映射的內容通過環境變數或者卷文件的形式傳遞給容器,而並非直接傳遞給容器,命令行參數的定義中也是通過$(ENV_VAR)語法變數
7.4.2.創建ConfigMap
使用kubectl creat configmap創建ConfigMap中間不用加-f。
1.使用指令創建ConfigMap
#kubectl creat configmap configmap-yaohong --from-literal=foo=bar --from-literal=sleep-interval=25
2.從文件內容創建ConfigMap條目
#kubectl create configmap my-conf-yh --from-file=config-file.conf
使用如下命令,會將文件內容存儲在自定義的條目下。與字面量使用相同
#kubectl create configmap my-conf-yh --from-file=customkey=config-file.conf
3.從文件夾創建ConfigMap
#kubectl create configmap my-conf-yh --from-file=/path/to/dir
4.合併不同選項
#kubectl create configmap my-conf-yh --from-file=/path/to/dir/ --from-file=bar=foobar.conf --from-literal=some=thing
5.獲取ConfigMap
#kubectl -n <namespace> get configmap
7.4.3.給容器傳遞ConfigMap條目作為環境變數
引用環境變數中的參數值給當前變數
apiVersion: v1 kind: pod metadata: name: fortune-env-from-configmap spec: containers: - image: luksa/fortune:env env: - name: INTERVAL //設置環境變數 valueFrom: configMapkeyRef: name: fortune-configmap key: sleep-interval //變數的值取自fortune-configmap的slee-interval對應的值
7.4.4.一次性傳遞ConfigMap的所有條目作為環境變數
apiVersion: v1 kind: pod metadata: name: fortune-env-from-configmap spec: containers: - image: luksa/fortune:env envFrom: - prefix: CONFIG_ confgMapRef: name: my-confg-map //引用my-config-map的ConfigMap並在變數前面都加上CONFIG_
7.4.5.使用ConfigMap卷將條目暴露為文件
apiVersion: v1 kind: pod metadata: name: configmap-volume-yh spec: containers: - image: nginx:aplin name: web-server volumeMounts: ... - name: config
defaultMode: "6600" //設置文件的許可權為rw-rw mountPath: /etc/nginx/con.conf
subPath: my.conf //subPath欄位可以用於掛載卷中某個獨立的文件或者文件夾,而且不覆蓋該卷下其他文件 ... volume: ... - name: config configMap: name: fortune-config //引用fortune-config configMap的卷,然後掛載在/etc/nginx/conf.d
可以使用如下命令查看到/etc/nginx/conf.d文件下面包含fortune-config
#kubectl exec config-volume-yh -c web-server ls /etc/nginx/conf.d
7.5.使用Secert給容器傳遞敏感數據
7.5.1.介紹Secert
Secret結構和ConfigMap類似,均是鍵/值對的映射。
使用方法也和ConfigMap一樣,可以:
1.將Secret條目作為環境變數傳遞給容器,
2.將Secret條目暴露為卷中文件
ConfigMap存儲非敏感的文本配置數據,採用Secret存儲天生敏感的數據
7.5.2.默認令牌Secret
1.查看secret
# kubectl get secrets NAME TYPE DATA AGE default-token-x9cjb kubernetes.io/service-account-token 3 78d
2.描述secret
# kubectl describe secrets default-token-x9cjb Name: default-token-x9cjb Namespace: default Labels: <none> Annotations: kubernetes.io/service-account.name: default kubernetes.io/service-account.uid: 64a41a09-98ce-11e9-9fa5-fa163e6fdb6b Type: kubernetes.io/service-account-token Data ==== token: eyJhbGciOiJSUzI1NiIsImtpZCI6IiJ9.eyJpc3MiOiJrdWJlcm5lduaW8vc2VydmljZTxCv6HdtP-ZW3ZC2IKKR5YBhaokFIl35mix79pU4Ia2pJ_fuPTBGNyrCHyNQYH4ex5DhND3_b2puQmn8RSErQ ca.crt: 1298 bytes namespace: 7 bytes
7.5.3.創建Secret
1.創建一個名為https-yh的generic secret
#kubectl create secret generic https-yh --from-file=https.key --from-file=https.cert --from-file=foo
2.創建一個secret.yaml文件,內容用base64編碼
$ echo -n 'admin' | base64 YWRtaW4= $ echo -n '1f2d1e2e67df' | base64 MWYyZDFlMmU2N2Rm
yaml文件內容:
apiVersion: v1 kind: Secret metadata: name: mysecret type: Opaque data: username: YWRtaW4= password: MWYyZDFlMmU2N2Rm
創建:
$ kubectl create -f ./secret.yaml secret "mysecret" created
解析Secret中內容
$ kubectl get secret mysecret -o yaml apiVersion: v1 data: username: YWRtaW4= password: MWYyZDFlMmU2N2Rm kind: Secret metadata: creationTimestamp: 2016-01-22T18:41:56Z name: mysecret namespace: default resourceVersion: "164619" selfLink: /api/v1/namespaces/default/secrets/mysecret uid: cfee02d6-c137-11e5-8d73-42010af00002 type: Opaque
base64解碼:
$ echo 'MWYyZDFlMmU2N2Rm' | base64 --decode 1f2d1e2e67df
7.5.4.對比ConfigMap與Secret
Secret的條目內容會進行Base64格式編碼,而ConfigMap直接以純文本展示。
1.為二進位數據創建Secret
Base64可以將二進位數據轉換為純文本,並以YAML或Json格式進行展示
但要注意Secret的大小限制是1MB
2.stringDate欄位介紹
Secret可以通過StringDate欄位設置條目的純文本
kind: Secret apiVersion: v1 stringDate: foo: plain txt date: https.cert: HGIOPUPSDF63456BJ3BBJL34563456BLKJBK634563456BLBKJBLKJ63456BLK3456LK http.key: OHOPGPIU42342345OIVBGOI3456345OVB6O3456BIPO435B6IPU345UI
7.5.5.在pod中使用Secret
secret可以作為數據卷掛載或者作為環境變數暴露給Pod中的容器使用,也可以被系統中的其他資源使用。比如可以用secret導入與外部系統交互需要的證書文件等。
在Pod中以文件的形式使用secret
- 創建一個Secret,多個Pod可以引用同一個Secret
- 修改Pod的定義,在
spec.volumes[]加一個volume,給這個volume起個名字,spec.volumes[].secret.secretName記錄的是要引用的Secret名字 - 在每個需要使用Secret的容器中添加一項
spec.containers[].volumeMounts[],指定spec.containers[].volumeMounts[].readOnly = true,spec.containers[].volumeMounts[].mountPath要指向一個未被使用的系統路徑。 - 修改鏡像或者命令行使系統可以找到上一步指定的路徑。此時Secret中
data欄位的每一個key都是指定路徑下面的一個文件名
下面是一個Pod中引用Secret的列子:
apiVersion: v1 kind: Pod metadata: name: mypod spec: containers: - name: mypod image: redis volumeMounts: - name: foo mountPath: "/etc/foo" readOnly: true volumes: - name: foo secret: secretName: mysecret
每一個被引用的Secret都要在spec.volumes中定義
如果Pod中的多個容器都要引用這個Secret那麼每一個容器定義中都要指定自己的volumeMounts,但是Pod定義中聲明一次spec.volumes就好了。
映射secret key到指定的路徑
可以控制secret key被映射到容器內的路徑,利用spec.volumes[].secret.items來修改被映射的具體路徑
apiVersion: v1 kind: Pod metadata: name: mypod spec: containers: - name: mypod image: redis volumeMounts: - name: foo mountPath: "/etc/foo" readOnly: true volumes: - name: foo secret: secretName: mysecret items: - key: username path: my-group/my-username
發生了什麼呢?
- username被映射到了文件
/etc/foo/my-group/my-username而不是/etc/foo/username - password沒有變
Secret文件許可權
可以指定secret文件的許可權,類似linux系統文件許可權,如果不指定默認許可權是0644,等同於linux文件的-rw-r--r--許可權
設置默認許可權位
apiVersion: v1 kind: Pod metadata: name: mypod spec: containers: - name: mypod image: redis volumeMounts: - name: foo mountPath: "/etc/foo" volumes: - name: foo secret: secretName: mysecret defaultMode: 256
上述文件表示將secret掛載到容器的/etc/foo路徑,每一個key衍生出的文件,許可權位都將是0400
由於JSON不支援八進位數字,因此用十進位數256表示0400,如果用yaml格式的文件那麼就很自然的使用八進位了
同理可以單獨指定某個key的許可權
apiVersion: v1 kind: Pod metadata: name: mypod spec: containers: - name: mypod image: redis volumeMounts: - name: foo mountPath: "/etc/foo" volumes: - name: foo secret: secretName: mysecret items: - key: username path: my-group/my-username mode: 511
從volume中讀取secret的值
值得注意的一點是,以文件的形式掛載到容器中的secret,他們的值已經是經過base64解碼的了,可以直接讀出來使用。
$ ls /etc/foo/ username password $ cat /etc/foo/username admin $ cat /etc/foo/password 1f2d1e2e67df
被掛載的secret內容自動更新
也就是如果修改一個Secret的內容,那麼掛載了該Secret的容器中也將會取到更新後的值,但是這個時間間隔是由kubelet的同步時間決定的。最長的時間將是一個同步周期加上快取生命周期(period+ttl)
特例:以subPath形式掛載到容器中的secret將不會自動更新
以環境變數的形式使用Secret
- 創建一個Secret,多個Pod可以引用同一個Secret
- 修改pod的定義,定義環境變數並使用
env[].valueFrom.secretKeyRef指定secret和相應的key - 修改鏡像或命令行,讓它們可以讀到環境變數
apiVersion: v1 kind: Pod metadata: name: secret-env-pod spec: containers: - name: mycontainer image: redis env: - name: SECRET_USERNAME valueFrom: secretKeyRef: name: mysecret key: username - name: SECRET_PASSWORD valueFrom: secretKeyRef: name: mysecret key: password restartPolicy: Never
容器中讀取環境變數,已經是base64解碼後的值了:
$ echo $SECRET_USERNAME admin $ echo $SECRET_PASSWORD 1f2d1e2e67df
使用imagePullSecrets
創建一個專門用來訪問鏡像倉庫的secret,當創建Pod的時候由kubelet訪問鏡像倉庫並拉取鏡像,具體描述文檔在 這裡
設置自動導入的imagePullSecrets
可以手動創建一個,然後在serviceAccount中引用它。所有經過這個serviceAccount創建的Pod都會默認使用關聯的imagePullSecrets來拉取鏡像,
