Kubernetes——配置资源管理

最新推荐文章于 2025-06-27 10:07:30 发布
原创 最新推荐文章于 2025-06-27 10:07:30 发布 · 864 阅读 · 25 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #容器 #云原生

目录

一、Secret

1、定义

2、四种Secret类型

3、Pod使用Secret的方式

●作为挂载到一个或多个容器上的卷 中的文件。

●作为容器的环境变量。

●由 kubelet 在为 Pod 拉取镜像时使用。

4、应用场景

5、Secret的实例

①使用kubectl的create命令来指定文件创建Secret

②内容使用base64编码创建Secret

③通过Volume挂载的方式创建Secret

④通过将Secret导出到环境变量

⑤使用Secret配置实现免密交互拉取Harbor私有仓库镜像

⑤-①创建私有仓库的Secret资源

⑤-②引用Secret资源拉取私有仓库镜像创建pod

⑤-③注意

⑥案例

⑥-①数据库凭证管理:

⑥-②API密钥和访问令牌:

⑥-③SSH密钥:

⑥-④TLS证书:

⑥-⑤配置文件加密:

二、ConfigMap——存储配置信息的资源

1、定义

2、用途

3、实例

①创建configmap资源

②文件创建configmap资源

③字面参数创建configmap资源

④pod中使用configmap

⑤configmap设置命令行参数

⑥通过数据卷插件使用configmap

4、configmap热更新

三、总结

1、secret的类型

2、创建secret的方式

①陈述式

②挂载

③环境变量

3、configmap

3.1创建configmap的方式

3.2configmap资源使用

3.3configmap资源的更新

一、Secret

1、定义

Secret 是用来保存密码、token、密钥等敏感数据的 k8s 资源,这类数据虽然也可以存放在 Pod 或者镜像中,但是放在 Secret 中是为了更方便的控制如何使用数据,并减少暴露的风险。

2、四种Secret类型

①opaque 通用类型(可以通过文件 目录、变量创建)默认类型

②kubernetes.io/service-account-token k8s自动创建的给 serviceaccount 服务账号(podza在k8s集群内部的专属服务用户)访问APiserver使用

③kubernetes.io/dockerconfigjson 给k8s 从harbor私有镜像仓库 去镜像认证使用

④kubernetes.io/tls 通过TLS 证书来认证的 (私有文件、秘钥)

3、Pod使用Secret的方式

Pod 需要先引用才能使用某个 secret,Pod 有 3 种方式来使用 secret:

●作为挂载到一个或多个容器上的卷 中的文件。

在Kubernetes中,Secret资源提供了一种安全的方式来存储和管理敏感信息,如密码、OAuth令牌、SSH密钥等。Pod可以通过以下三种方式使用Secret:

●作为容器的环境变量。

当你想要在Pod的容器中访问Secret中的数据时,可以将Secret挂载为一个卷。这样,Secret中的数据就会以文件的形式出现在容器的文件系统中。例如,你可以将数据库密码挂载到容器的某个目录下,容器内的应用程序就可以通过读取这些文件来获取所需的凭据。

●由 kubelet 在为 Pod 拉取镜像时使用。

如果你的Pod需要从私有Docker Registry拉取镜像,你可以创建一个包含registry认证信息的Secret。这个Secret会被kubelet用来在拉取镜像时进行认证,而不需要在Pod的配置中直接暴露这些认证信息。

4、应用场景

在实际应用中,Secret常用于存储和管理各种凭据,比如数据库访问密码、API服务的访问令牌、SSH密钥等。这些凭据通常不应该直接硬编码在应用程序代码中,也不应该存储在容器镜像或者配置文件中。使用Secret可以确保这些敏感信息的安全性,并且便于管理和更新。

例如,可能有一个Web应用程序,它需要连接到一个后端数据库。可以创建一个包含数据库用户名和密码的Secret,然后在Pod的配置中引用这个Secret,将其作为环境变量或者文件挂载到容器中。这样,应用程序就可以在运行时安全地访问这些凭据,而无需在代码中直接处理敏感信息。

为了确保Secret的安全性,Kubernetes还提供了一些额外的保护措施,比如限制对Secret的访问,以及在Pod被删除后自动清除其在节点上的Secret副本。此外,Kubernetes还支持将Secret标记为不可变的(immutable),以防止意外或不必要的更新导致应用程序中断。

5、Secret的实例

①使用kubectl的create命令来指定文件创建Secret

创建了一个名为cxksecret的Secret,并且包含了两个文件:username.txt和password.txt。这些文件分别包含了用户名和密码。在Kubernetes中,Secret的内容是加密存储的,以确保敏感信息的安全。因此,即使使用kubectl get secret或kubectl describe secret命令,也不会显示Secret的实际内容

mkdir /opt/secrets
cd /opt/secrets/
 
echo -n "rmh" > usrname.txt
echo -n "zhenshuai123" > password.txt
 
kubectl create secret generic rmhsecret --from-file=usrname.txt --from-file=password.txt 
#首先创建了两个文本文件,一个包含用户名,另一个包含密码。然后,使用kubectl create secret generic命令创建了一个名为cxksecret的Secret,并指定了这两个文件作为数据源。
 
kubectl get secrets 
 
kubectl describe secrets rmhsecret 
 
#get或describe指令都不会展示secret的实际内容,这是出于对数据的保护的考虑

②内容使用base64编码创建Secret

使用base64编码创建了一个新的Secret资源cxksecret1。在这个过程中,首先将用户名和密码转换为base64编码的字符串,然后将这些编码后的数据直接写入到一个YAML文件secret.yaml中,最后使用kubectl create -f secret.yaml命令创建了Secret。

echo -n "rmh" | base64
Y3hr
 
echo -n "zhenshaui123" | base64
YWJjMTIz
 
 
#使用echo命令和管道|将用户名和密码通过base64命令进行编码。这样,得到了可以安全传输的编码字符串。

[root@master01 secrets]]#vim secret.yaml

apiVersion: v1
kind: Secret
metadata:
  name: rmhsecret1
type: Opaque
data:
  username: cm1o
  password: emhlbnNodWFp

 
kubectl create -f secret.yaml 
 
kubectl get secrets
 
kubectl describe secrets rmhsecret1
 
 
#创建了一个名为secret.yaml的文件,其中包含了Secret的定义。在这个文件中,指定了Secret的名称cxksecret1,类型为Opaque,并提供了编码后的用户名和密码。

③通过Volume挂载的方式创建Secret
vim volume-sc.yaml
 
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: nginx
    image: nginx
    volumeMounts:
    - name: secrets
      mountPath: "/etc/secrets"
      readOnly: true
  volumes:
  - name: secrets
    secret:
      secretName: rmhsecret
 
#创建了一个名为volume-sc.yaml的YAML文件,定义了一个Pod,其中包含一个容器(使用nginx镜像)。在Pod的spec部分,指定了一个卷secrets,它引用了名为cxksecret的Secret,并将其挂载到容器的/etc/secrets目录。
 
kubectl exec -it mypod sh
 
cd /etc/secrets/
cat password.txt
cat username.txt
#可以查看password.txt和username.txt文件的内容。这些文件包含了在创建Secret时定义的用户名和密码。
 
#请注意,由于在Pod定义中设置了readOnly: true,这意味着Secret卷是以只读模式挂载的,不能修改这些文件。这是处理敏感数据时的一个安全最佳实践。如果需要修改Secret中的数据,应该在Kubernetes集群外部进行,然后更新Secret资源。

④通过将Secret导出到环境变量

创建了一个名为mypod1的Pod,并将mysecret1 Secret中的特定键(usernamepassword)导出为环境变量。这样,Pod中的容器就可以通过环境变量访问这些敏感信息。

kubectl describe secrets rmhsecret1 
 
vim env-sc.yaml
 
apiVersion: v1
kind: Pod
metadata:
  name: mypod1
spec:
  containers:
  - name: nginx
    image: nginx
    env:
      - name: TEST_USER
        valueFrom:
          secretKeyRef:
            name: rmhsecret1
            key: username
      - name: TEST_PASSWORD
        valueFrom:
          secretKeyRef:
            name: rmhsecret1
            key: password
 
kubectl apply -f env-sc.yaml
 
kubectl get pod
 
kubectl exec -it mypod1 bash
 
root@mypod1:/# echo $TEST_USER
rmh
root@mypod1:/# echo $TEST_PASSWORD
zhenshuai123
root@mypod1:/# env|grep TEST
TEST_USER=rmh
TEST_PASSWORD=zhenshuai123

⑤使用Secret配置实现免密交互拉取Harbor私有仓库镜像
⑤-①创建私有仓库的Secret资源

首先,先创建一个Secret资源,这个资源将包含访问Harbor私有仓库所需的认证信息,如用户名和密码。

使用kubectl命令创建一个名为myhabrbor的Secret资源,指定Docker Registry服务器地址、用户名密码和邮箱。

kubectl create secret docker-registry myharbor --docker-server 192.168.170.111 \
--docker-username admin --docker-password Harbor12345 --docker-email [email protected]
⑤-②引用Secret资源拉取私有仓库镜像创建pod

在创建pod时,你需要在pod的配置中引用上面创建的Secret的名称

nodeName: node02
imagePullSecrets:
  - name: myharbor
image: /test/nginx-test:v1
dnsPolicy: ClusterFirst
restartPolicy: Always
⑤-③注意

确保Harbor仓库的默认配置为HTTPS,因为Kubernetes默认使用HTTPSDocker Registry

最低0.47元/天 解锁文章

200万优质内容无限畅学
Kubernetes配置管理kubernetes
2401_85084312的博客
09-27 805
实验环境: 在所有节点上拉取镜像;然后把资源清单拉取到第一个master节点上; 同步会话,导入镜像: configmap/secret 配置文件的映射 变量: 基于valuefrom的方式 cm--》pod 特点:变量的名称可以和之前的不同 可以有选择性的选择--部分变量 基于envfrom 变量的名称和初始名称相同 将cm中的所有变量都引入进pod 字符值 etcd 配置文件 cm pod 数据量小于1M 1:先创建cm,再应用。 2:pod引用的键
K8S之configMap&secret
a91888888的博客
01-16 720
configMap的热更新:热更新可以直接反应到容器的内部,也不会触发pod的更新机制,如果不是需要重启的配置,都可以直接生效。2、config的热更新,在pod运行的情况下,对config的配置信息进行修改。ConfigMap在创建容器中,给他注入我们需要的配置信息,既可以是单个的属性也可以整个容器配置文件。这类数据可以存放在镜像当中,但是防止secret当中可以更方便的控制,减少暴露的风险保存加密的信息。configMap:就是把配置信息传给容器,健偏对形式保存的,非加密的信息。
k8s Secret配置资源,ConfigMap 存储配置资源管理详解
qq_51545656的博客
03-11 1404
为了确保Secret的安全性,Kubernetes还提供了一些额外的保护措施,比如限制对Secret的访问,以及在Pod被删除后自动清除其在节点上的Secret副本。在实际使用中,可以通过Pod的定义来引用这个Secret,并将其作为环境变量或卷挂载到容器中,以便容器内的应用程序可以安全地访问这些凭据。这样,Secret中的数据就会以文件的形式出现在容器的文件系统中。在Kubernetes中,ConfigMap是管理应用配置的一种非常有效的方式,它允许在不修改应用代码的情况下,动态地调整应用的配置
05-Kubernetes-配置管理
最新发布
m0_71788802的博客
06-27 841
​应用部署的一个最佳实践是将应用所需的配置信息与程序分离,这样可以使应用程序被更好地复用,通过不同的配置也能实现更灵活的功能。将应用打包为容器镜像后,可以通过环境变量或者外挂文件的方式在创建容器时进行配置注入,但在大规模容器集群的环境中,对多个容器进行不同的配置将变得非常复杂。​ 官网:https://kubernetes.io/zh-cn/docs/concepts/configuration/configmap/​ConfigMap是一种API对象,用来将非机密性的数据保存到键值对中。
05.Kubernetes配置管理
登高山、方知天高也。
04-14 1124
Kubernetes配置管理一、Secret变量的形式挂载到 Pod数据卷形式挂载二、ConfigMap (cm)创建配置文件创建 ConfigMapVolume 数据卷形式挂载以变量的形式挂载总结 一、Secret 加密数据,存储在 etcd 中,让 Pod 容器以挂载 Volume 方式进行访问 场景: 用户名和密码进行加密 一般场景的是对某个字符串进行 base64 编码 进行加密 echo -n 'admin' | base64 变量的形式挂载到 Pod 创建 Secret 加密数据的 y
k8s---Secret详解
qinxue722的博客
07-23 3271
k8s-Secret
Kubernetes——part7 安全管理
渔阳的博客
10-31 388
学习目标这一节,我们从 基础知识、认证流程、小结 三个方面来学习。资源操作简介解析。
kubernetes——存储之Volumes配置管理
S_K15的博客
08-03 1914
kubernetes——存储之Volumes配置管理一、Volumes的简介二、emptyDir卷1、emptyDir的引入2、emptyDir 的使用场景3、emptyDir 示例 一、Volumes的简介 1、问题引入 容器中的文件在磁盘上是临时存放的,这给容器中运行的特殊应用程序带来一些问题。 首先,当容器崩溃时,kubelet 将重新启动容器容器中的文件将会丢失,因为容器会以纯净的状态重建。 其次,当在一个 Pod 中同时运行多个容器时,常常需要在这些容器之间共享文件。 2、Kubernete
Kubernetes——Helm(一)
qq_40859395的博客
07-03 1335
Helm是一个 Kubernetes 应用的包管理工具,用来管理chart——预先配置好的安装包资源,有点类似于 Ubuntu 的 APT 和 CentOS 中的 YUM。2019 年 11 月 13 日,Helm 3 发布,2020 年 4 月 30 日,从 CNCF 中毕业。本文基于 Helm 3。Helm chart 是用来封装 Kubernetes 原生应用程序的 YAML 文件,可以在你部署应用的时候自定义应用程序的一些 metadata,便与应用程序的分发。
kubernetes——存储之ConfigMap配置管理
S_K15的博客
07-31 646
kubernetes——存储之ConfigMap配置管理一、configmap简介二、创建configmap1、使用字面值创建2、使用文件创建3、使用目录创建4、编写configmap的yaml文件三、如何使用configmap1、使用configmap设置环境变量2、通过在pod的命令行下运行的方式3、使用conigmap设置命令行参数4、通过数据卷使用configmap四、configmap热更新 一、configmap简介 configmap用于保存配置数据,以键值对形式存储。 configmap
k8s 资源配置
qq_15138049的博客
07-13 677
k8s 资源配置
k8s的Secret(密文)和configmap(明文)的使用
很多时候犯错都是在不知情的情况下发生的
08-13 5583
执行一下。
K8S的资源配置管理
mcl914的博客
03-02 360
一、Secret Secret 是用来保存密码、token、密钥等敏感数据的 k8s 资源,这类数据虽然也可以存放在 Pod 或者镜像中,但是放在 Secret 中是为了更方便的控制如何使用数据,并减少暴露的风险。 1、Secret 有三种类型 kubernetes.io/service-account-token:由 Kubernetes 自动创建,用来访问 APIServer 的 Secr...
k8s之configmap、secret
weixin_33908217的博客
12-25 447
配置信息注入 configmap、secret 简介   ConfigMap API资源提供了将配置数据注入容器的方式,同时保证该机制对容器来说是透明的。ConfigMap可以被用来保存单个属性,也可以用来保存整个配置文件或者JSON二进制大对象。   ConfigMap API资源存储键/值对配置数据,这些数据可以在pods里使用。ConfigMap跟Secrets类似,但是ConfigMap...
k8s--configMap、secret
sfakh的博客
12-08 503
k8s--configMap、secretconfigMap是什么创建configMapsecret向容器传递命令行参数 在k8s中向应用传递配置数据可以通过环境变量、configmap、secret等方式。 configmap和secret都是k8s中的资源,用于将pod的配置分离,便于处理和信息的保密 configMap是什么 configMap是K8s中用于数据持久化和共享的资源,常用于将其挂载到pod中的容器。configmap是k8s中用于将配置资源映射到pod容器中的一种资源。可以在pod中的容
kubernetes常见配置
m0_37642477的博客
03-17 1861
subPath 定义: 为了支持单一个pod多次使用同一个volume而设计,subpath翻译过来是子路径的意思,如果是数据卷挂载在容器,指的是存储卷目录的子路径,如果是配置项configMap/Secret,则指的是挂载在容器的子路径 使用场景 同一个pod中多容器挂载同一个卷时提供隔离或者一个容器有多个路径需要挂载,不指定subPath默认存储在存储卷的根目录 将configMap和secret作为文件挂载到容器中而不覆盖挂载目录下的文件 数据卷挂载:一个pod中多容器 nfs-pod.yaml
Kubernetes 篇之 Kubernetes 配置
robinhunan的博客
02-13 671
Secret 对象的名称必须是合法的 DNS 子域名。如果不希望执行这种 base64 字符串的转换操作,你可以选择设置 stringData 字段,其中可以使用任何字符串作为其取值。ConfigMap 是一种 API 对象,用来将非机密性的数据保存到键值对中。使用时,Pods 可以将其用作环境变量、命令行参数或者存储卷中的配置文件。将这些信息放在 secret 中比放在 Pod 的定义或者容器镜像来说更加安全和灵活。作为挂载到一个或多个容器上的卷中的文件。云原生 应用 12 要素 中,提出了配置分离。
Kubernetes 配置基本指南:关键集群设置_kubelet文件(1)
2401_84253251的博客
04-13 2407
识点,真正体系化!**
k8s中的Secret
weixin_43849415的博客
09-17 1442
k8s中的secret用于保存敏感信息,例如service account、密码、docker拉取镜像的凭证等。pod使用secret方式和configMap类型,环境变量和挂载。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值