[云原生] k8s配置资源管理

这篇具有很好参考价值的文章主要介绍了[云原生] k8s配置资源管理。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

一、Secret的资源配置 

1.1 Secret配置的相关说明 

Secret 是用来保存密码、token、密钥等敏感数据的 k8s 资源,这类数据虽然也可以存放在 Pod 或者镜像中,但是放在 Secret 中是为了更方便的控制如何使用数据,并减少暴露的风险。

Secret 有三种类型: 
●kubernetes.io/service-account-token:由 Kubernetes 自动创建,用来访问 APIServer 的 Secret,Pod 会默认使用这个 Secret 与 APIServer 通信, 并且会自动挂载到 Pod 的 /run/secrets/kubernetes.io/serviceaccount 目录中;
●Opaque :base64 编码格式的 Secret,用来存储用户自定义的密码、密钥等,默认的 Secret 类型;
●kubernetes.io/dockerconfigjson :用来存储私有 docker registry 的认证信息。

Pod 需要先引用才能使用某个 secret,Pod 有 3 种方式来使用 secret:
●作为挂载到一个或多个容器上的卷 中的文件。
●作为容器的环境变量。
●由 kubelet 在为 Pod 拉取镜像时使用。

应用场景:
Secrets | KubernetesA Secret is an object that contains a small amount of sensitive data such as a password, a token, or a key. Such information might otherwise be put in a Pod specification or in a container image. Using a Secret means that you don't need to include confidential data in your application code.Because Secrets can be created independently of the Pods that use them, there is less risk of the Secret (and its data) being exposed during the workflow of creating, viewing, and editing Pods.https://kubernetes.io/docs/concepts/configuration/secret/

 1.2 陈述式创建Secret配置

 Secret 的创建是根据文件中保存到相应信息,进行。例如我们要通过一个用户名文件和密码文件来创建具体的Secret资源配置。

#首先准备好相对应的用户和密码文件
#echo 中 “-n” 选项为不换行
echo -n 'zhangsan'>username.txt
echo -n 'abc1234'>passwd.txt
 

[云原生] k8s配置资源管理,k8s,云原生,kubernetes,容器,运维,k8s

#进行陈述创建secret配置
 
kubectl create secret generic mysecret --from-file=username.txt --from-file=password.txt

[云原生] k8s配置资源管理,k8s,云原生,kubernetes,容器,运维,k8s

kubectl describe secrets mysecret 

 

[云原生] k8s配置资源管理,k8s,云原生,kubernetes,容器,运维,k8s

1.3 声明式+base64编码创建Secret  

echo zhangsan|base64
echo abc1234|base64

[云原生] k8s配置资源管理,k8s,云原生,kubernetes,容器,运维,k8s

#对已存在的secret资源进行模板导入yaml文件
kubectl get secrets mysecret -o yaml >secrets-demo.yaml
#对模板进行修改编辑
vim secrets-demo.yaml 
 
apiVersion: v1
kind: Secret
metadata:
  name: mysecret1
  namespace: default
type: Opaque
data:
  username: emhhbmdzYW4K
  passwd: YWJjMTIzNAo=
 
kubectl apply -f secrets-demo.yaml 

[云原生] k8s配置资源管理,k8s,云原生,kubernetes,容器,运维,k8s

 1.4 将secret以volume形式挂载到pod中 

#创建一个pod模板,对其进行修改编辑
kubectl run nginx --image=nginx:1.14 --dry-run=client -o yaml > secret-test.yaml
 
vim scret-test.yaml
 
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - image: nginx:1.14
    name: nginx
    volumeMounts:
    - name: secrets
      mountPath: "/opt/secrets"
      readOnly: true
  volumes:
  - name: secrets
    secret:
      secretName: mysecret1
 
 
 
kubectl creat -f scret-test.yaml

[云原生] k8s配置资源管理,k8s,云原生,kubernetes,容器,运维,k8s [云原生] k8s配置资源管理,k8s,云原生,kubernetes,容器,运维,k8s

1.5  将Secret导入到pod中,充当环境变量 

 

#复制上一个模板,进行修改编辑
cp secret-test.yaml secret-env.yaml
 
#进行编辑修改
vim secret-env.yaml
 
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - image: nginx:1.14
    name: nginx
    env:
    - name: TEST_USER
      valueFrom:
        secretKeyRef:
          name: mysecret1
          key: username
    - name: TEST_PASSWD
      valueFrom:
        secretKeyRef:
          name: mysecret1
          key: passwd
    envFrom:
    - secretRef:
        name: mysecret1
 
kubectl create -f secret-env.yaml                       
 

[云原生] k8s配置资源管理,k8s,云原生,kubernetes,容器,运维,k8s

1.6 实战运用:使用secret配置免密交互拉取habor私有仓库镜像 

 我们在搭建好docker的私有仓库后,在使用私有仓库时需要通过docker login指令来登录到私有仓库中。但同时在使用的过程中也会把habor仓库的用户名和密码暴露在命令行中,存在一定的安全隐患。k8s中的secret配置的运用能够实现并且规避这一问题的存在

进行私有仓库的secret资源创建
#私有仓库的secret配置
kubectl create secret docker-registry myharbor --docker-server=192.168.73.108 --docker-username=admin --docker-password=Harbor12345 --docker-email=admin@qq.com
引用secret资源拉取私有仓库镜像创建pod 
vim harbor-test.yaml
 
apiVersion: v1
kind: Pod
metadata:
  name: harbor-pod
spec:
  nodeName: node02
  imagePullSecrets:
  - name: myharbor
  containers:
  - image: 192.168.73.108/test/nginx-test:v1
    name: harbor-pod
  dnsPolicy: ClusterFirst
  restartPolicy: Always       

注意:登录harbor仓库的默认配置为https,所以我们要在配置上修改(所有node节点,如果只是测试,可以在pod中指定node节点,修改一个node即可):

二、ConfigMap资源配置

与Secret类似,区别在于ConfigMap保存的是不需要加密配置的信息。
ConfigMap 功能在 Kubernetes1.2 版本中引入,许多应用程序会从配置文件、命令行参数或环境变量中读取配置信息。ConfigMap API 给我们提供了向容器中注入配置信息的机制,ConfigMap 可以被用来保存单个属性,也可以用来保存整个配置文件或者JSON二进制大对象。
应用场景:应用配置

2.1 使用目录来创建configMap资源

 创建一个目录并且在一个目录中填写两个文件:

mkdir /opt/configmap/
 
vim /opt/configmap/game.config
enemy.types=aliens,monsters
player.maximum-lives=5 
 
vim /opt/configmap/ui.config
color.good=purple
color.bad=yellow
allow.textmode=true
 
ls /opt/configmap/

[云原生] k8s配置资源管理,k8s,云原生,kubernetes,容器,运维,k8s

kubectl create configmap game-config --from-file=/opt/cm/
//--from-file 指定在目录下的所有文件都会被用在 ConfigMap 里面创建一个键值对,键的名字就是文件名,值就是文件的内容

[云原生] k8s配置资源管理,k8s,云原生,kubernetes,容器,运维,k8s

2.2 使用文件创建configMap资源  

#只要指定为一个文件就可以从单个文件中创建 ConfigMap
--from-file 这个参数可以使用多次,即可以使用两次分别指定上个实例中的那两个配置文件,效果就跟指定整个目录是一样的
kubectl create configmap game-config2 --from-file=/opt/cm/game.config --from-file=/opt/cm/ui.config 

[云原生] k8s配置资源管理,k8s,云原生,kubernetes,容器,运维,k8s

2.3 直接使用参数创建confidenceMap资源 

#使用文字值创建,利用 --from-literal 参数传递配置信息,该参数可以使用多次
 
kubectl create configmap special-config --from-literal=name=zhangsan --from-literal=sex=man

[云原生] k8s配置资源管理,k8s,云原生,kubernetes,容器,运维,k8s

2.4 pod利用configMap资源 

(1)使用 ConfigMap 来替代环境变量
vim env.yaml
apiVersion: v1
kind: ConfigMap
metadata:
  name: special-config
  namespace: default
data:
  special.how: very
  special.type: good
---
apiVersion: v1
kind: ConfigMap
metadata:
  name: env-config
  namespace: default
data:
  log_level: INFO
 
 
kubectl create -f env.yaml 

[云原生] k8s配置资源管理,k8s,云原生,kubernetes,容器,运维,k8s

(2)创建pod,并且引用configMap资源 
vim test-pod.yaml
apiVersion: v1
kind: Pod
metadata:
  name: test-pod
spec:
  containers:
  - name: busybox
    image: busybox:1.28.4
    command: [ "/bin/sh", "-c", "env" ]
    env:
      - name: SPECIAL_HOW_KEY
        valueFrom:
          configMapKeyRef:
            name: special-config
            key: special.how
      - name: SPECIAL_TYPE_KEY
        valueFrom:
          configMapKeyRef:
            name: special-config
            key: special.type
    envFrom:
      - configMapRef:
          name: env-config
  restartPolicy: Never


kubectl create -f test-pod.yaml

kubectl get pods

[云原生] k8s配置资源管理,k8s,云原生,kubernetes,容器,运维,k8s

[云原生] k8s配置资源管理,k8s,云原生,kubernetes,容器,运维,k8s

2.5 使用 ConfigMap 设置命令行参数

vim test-pod2.yaml
apiVersion: v1
kind: Pod
metadata:
  name: test-pod2
spec:
  containers:
  - name: busybox
    image: busybox:1.28.4
    command: 
	- /bin/sh
	- -c
	- echo "$(SPECIAL_HOW_KEY) $(SPECIAL_TYPE_KEY)"
    env:
      - name: SPECIAL_HOW_KEY
        valueFrom:
          configMapKeyRef:
            name: special-config
            key: special.how
      - name: SPECIAL_TYPE_KEY
        valueFrom:
          configMapKeyRef:
            name: special-config
            key: special.type
    envFrom:
      - configMapRef:
          name: env-config
  restartPolicy: Never
 
 
kubectl create -f test-pod2.yaml

[云原生] k8s配置资源管理,k8s,云原生,kubernetes,容器,运维,k8s

2.6 通过数据卷插件使用ConfigMap   

在数据卷里面使用 ConfigMap,就是将文件填入数据卷,在这个文件中,键就是文件名,键值就是文件内容
vim test-pod3.yaml
apiVersion: v1
kind: Pod
metadata:
  name: test-pod3
spec:
  containers:
  - name: busybox
    image: busybox:1.28.4
    command: [ "/bin/sh", "-c", "sleep 36000" ]
    volumeMounts:
    - name: config-volume
      mountPath: /etc/config
  volumes:
    - name: config-volume
      configMap:
        name: special-config
  restartPolicy: Never


kubectl create -f test-pod3.yaml 

kubectl get pods

[云原生] k8s配置资源管理,k8s,云原生,kubernetes,容器,运维,k8s [云原生] k8s配置资源管理,k8s,云原生,kubernetes,容器,运维,k8s

比如:我想通过configMap实现单独挂载pod中的nginx.conf配置 

#首先获取nginx.conf 下载或则之前保存都可以
#nginx.conf 在/opt/conf/ 下
kubectl create cm mycm-nginx --from-file=/opt/conf
 
vim pod-demo1.yaml 
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  volumes:
  - name: nginx
    configMap:
      name: mycm-nginx
  containers:
  - image: nginx:1.14
    name: nginx
    volumeMounts:
    - name: nginx
      mountPath: /etc/nginx/nginx.conf
      subPath: nginx.conf     #subPath  可以实现只覆盖修改该文件,而不影响目录
 
kubectl apply -f pod-demo1.yaml

2.7 configMap的热更新 

#创建一个cm资源
kubectl create configmap name-config --from-literal=name=zhangsan
 
#创建一个pod,并且通过volume的方式挂载configMap中的name-config
vim  pod-demo1.yaml
apiVersion: v1
kind: Pod
metadata:
  name: namepod
spec:
  volumes:
  - name: update-test
    configMap:
      name: name-config
  containers:
  - image: nginx:1.14
    name: mypod
    volumeMounts:
    - name: update-test
      mountPath: /opt/name.txt

[云原生] k8s配置资源管理,k8s,云原生,kubernetes,容器,运维,k8s

进行实时更新修改(开启另一个终端):

kubectl  edit cm name-config 

[云原生] k8s配置资源管理,k8s,云原生,kubernetes,容器,运维,k8s

[云原生] k8s配置资源管理,k8s,云原生,kubernetes,容器,运维,k8s

 PS:更新 ConfigMap 后:
●使用该 ConfigMap 挂载的 Env 不会同步更新。
●使用该 ConfigMap 挂载的 Volume 中的数据需要一段时间(实测大概10秒)才能同步更新。
 

总结 

ConfigMap资源(简称cm)    用于保存配置文件、环境变量等不需要加密的信息。它可以实现将配置信息与应用程序解耦
创建cm资源
kubectl create cm <资源名称> --from-file=文件|目录  --from-literal=<键名>=<键值>

查看cm资源数据
kubectl get -n <命名空间> cm <cm资源名称> -o yaml
kubectl describe -n <命名空间> cm <cm资源名称>

使用cm资源
作为存储卷挂载的方式:
在Pod资源配置中用spec.volumes字段设置configMap类型的卷
在容器配置中用volumeMounts将卷挂载到容器的指定的目录,cm资源数据的键名会作为文件名,cm资源数据的键值会作为文件内容(支持热更新)
在容器配置中用volumeMounts.subPath字段指定文件名,实现将卷挂载到容器中指定的文件上(不支持热更新)

作为容器环境变量的方式:(不支持热更新)
在容器配置中用env.name字段自定义容器的环境变量名,用env.valueFrom.configMapKeyRef.key/name字段指定环境变量的值从哪个cm资源的键获取
在容器配置中用envFrom.configMapRef.name字段指定cm资源的名称,使得cm资源数据的键名和键值直接作为容器的环境变量名和值


Secret资源     用于保存密码文件、ssl证书/私钥文件、token令牌字符串、镜像私有仓库认证信息等需要加密的敏感信息
Secrets的主要目的是将敏感数据与应用程序代码分离,并提供一种安全的方式来存储和传递这些敏感数据给容器化的应用程序。它们以加密的形式保存,并且只能在需要时才能被解密和使用。

Secret的4种类型:
Opaque:默认的Secret资源类型,可以通过选项引用文件、目录、键值对的方式创建Secret资源,并且资源数据的键值会被自动转换为base64编码格式加密
kubernetes.io/service-account-token:当创建serviceaccout账户资源后K8S会自动创建同名的Secert资源,用于Pod访问apiserver时会使用此Secret卷中的token做认证
kubernetes.io/dockerconfigjson:用于存储K8S从Harbor等镜像私有仓库拉取镜像时做认证的信息
kubernetes.io/tls:用于存储tls/ssl证书和私钥文件的信息

创建Secret资源
kubectl create secret generic <资源名称> --from-file=文件|目录  --from-literal=<键名>=<键值>
kubectl create secret docker-registry <资源名称> --docker-server=<私有仓库URL路径> --docker-username=<仓库用户名> --docker-password=<用户密码> --docker-email=<邮箱地址>
kubectl create secret tls <资源名称> --cert=证书文件 --key=私钥文件

查看Secret资源(键值会以base64编码格式加密显示)
kubectl get -n <命名空间> secret <Secret资源名称> -o yaml
kubectl describe -n <命名空间> secret <Secret资源名称>

使用Secret资源
作为存储卷挂载的方式:
在Pod资源配置中用spec.volumes字段设置secret类型的卷
在容器配置中用volumeMounts将卷挂载到容器的指定的目录,Secret资源数据的键名会作为文件名,Secret资源数据的键值会作为文件内容

作为容器环境变量的方式:
在容器配置中用env.name字段自定义容器的环境变量名,用env.valueFrom.secretKeyRef.key/name字段指定环境变量的值从哪个Secret资源的键获取
在容器配置中用envFrom.secretRef.name字段指定Secret资源的名称,使得Secret资源数据的键名和键值直接作为容器的环境变量名和值

Pod配置从私有仓库拉取镜像:
在Pod资源配置中用spec.imagePullSecrets.name字段指定kubernetes.io/dockerconfigjson类型的Secret资源名称文章来源地址https://www.toymoban.com/news/detail-839224.html

到了这里,关于[云原生] k8s配置资源管理的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • yum部署kubernetes(k8s)集群、k8s常用资源管理

    目录 一、环境搭建 1、准备环境 1)计算机说明,建议系统版本7.4或者7.6 2)修改所有主机的计算机名设置host文件  2、安装master节点 1)安装etcd配置etcd 2)安装k8s-master节点 3)配置apiserver 4)配置controller和scheduler 5)启动k8s服务 3、安装k8s-master上的node 1)安装node 2)配置kube

    2024年02月13日
    浏览(64)
  • 【云原生】k8s声明式资源管理

      kubectl get deployment nginx -o yaml //解释资源配置清单 kubectl explain deployment.metadata 查看deployment资源清单       离线修改 离线修改的过程: (1)首先将配置资源导入通过重定向符号导入到yaml文件中 (2)通过vim编辑器进行yaml配置文件,删除多余的选项,修改配置项,进行保存

    2024年02月12日
    浏览(40)
  • 【云原生】k8s中kubectl陈述式资源管理

    陈述式资源管理方法 --主要依赖命令行工具kubectl进行管理 优点 可以满足90%以上的使用场景 对资源的增、删、查操作比较容易 缺点 命令冗长,复杂,难以记忆 特定场景下,无法实现管理需求 对资源的修改麻烦,需要patch来使用json串更改。 声明式资源管理方法 主要依赖统一

    2024年02月12日
    浏览(60)
  • 云原生(第三篇)-k8s资源管理的两种方式

    1.kubernetes 集群管理集群资源的唯一入口是通过相应的方法调用 apiserver 的接口 2.kubectl 是官方的CLI命令行工具,用于与 apiserver 进行通信,将用户在命令行输入的命令,组织并转化为 apiserver 能识别的信息,进而实现管理 k8s 各种资源的一种有效途径 3.kubectl 的命令大全 kubectl

    2024年02月13日
    浏览(59)
  • 【K8S 】K8S配置资源管理

    1、概念 用来保存密码。token,敏感的K8S资源 这类数据可以直接存放在镜像中,但是放在Secret中可以更方便的控制,减少暴露的风险 Secret:保存加密的信息 2、Secret类型: docker-registry:存储docker仓库的认证信息,以及docker的组件认证信息(私有) generic:是Secret的默认模式,

    2024年01月17日
    浏览(48)
  • k8s---配置资源管理

    目录 内容预知 secret资源配置 secert的几种模式 pod如何来引用secret 陈述式创建secret 声明式+base64编码配置secret 将secret用vlumes的方式挂载到pod中 传参的方式将环境变量导入pod 如何通过secret加密方式获取仓库密码 configmap的资源配置 陈述式创建configmap资源配置 声明式配置configma

    2024年01月21日
    浏览(57)
  • k8s配置资源管理

    Secret Configmap Secret :保存密码,token,敏感的k8s资源 这类数据可以存放在镜像当中,但是防止secret当中可以更方便控制,减少暴露的风险 保存加密的信息 Docker-registry: 存储docker仓库认证信息,以及docker组件认证成功(私有) Generic: 是secret的默认模式,opaque base64加密编码的

    2024年01月21日
    浏览(50)
  • k8s- 配置资源管理

    配置资源管理 //Secret Secret 是用来保存密码、token、密钥等敏感数据的 k8s 资源,这类数据虽然也可以存放在 Pod 或者镜像中,但是放在 Secret 中是为了更方便的控制如何使用数据,并减少暴露的风险。 Secret 有四种类型:  ●kubernetes.io/service-account-token:由 Kubernetes 自动创建,

    2024年02月16日
    浏览(50)
  • k8s的配置资源管理

    Secret用来保存密码、token密钥以及一些敏感的k8s资源。这类数据虽然可以存放在镜像当中,但是放在secret当中可以更方便控制。减少暴露的风险。 Secret的作用:保存加密的信息 docker-registry()主要用于存储docker仓库的认证信息,以及docker组件认证信息。(私有) generic(jienairuike)是

    2024年01月17日
    浏览(39)
  • K8S:配置资源管理 Secret和configMap

    (1)Secret 是用来保存密码、token、密钥等敏感数据的 k8s 资源,这类数据虽然也可以存放在 Pod 或者镜像中,但是放在 secret 中是为了更方便的控制如何使用数据,并减少暴露的风险 (2)类似挂载的方式,使用的时候调用即可 ①kubernetes.io/service-account-token 由Kubernetes自动创建

    2024年02月03日
    浏览(58)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包