ConfigMap和Secret是Kubernetes中兩種特殊類型的存儲(chǔ)卷，ConfigMap這種資源對(duì)象主要用于提供配置數(shù)據(jù)以定制程序行為，不過一些敏感的配置信息，比如像用戶名、密碼、密鑰等通常都是由Secret這種資源對(duì)象來進(jìn)行配置的，他們將相應(yīng)的配置信息保存于對(duì)象中，而后在Pod資源上以存儲(chǔ)卷的形式將其掛載并獲取相應(yīng)配置，以實(shí)現(xiàn)配置與鏡像文件的解耦。

創(chuàng)新互聯(lián)-專業(yè)網(wǎng)站定制、快速模板網(wǎng)站建設(shè)、高性價(jià)比石獅網(wǎng)站開發(fā)、企業(yè)建站全套包干低至880元,成熟完善的模板庫(kù),直接使用。一站式石獅網(wǎng)站制作公司更省心,省錢,快速模板網(wǎng)站建設(shè)找我們，業(yè)務(wù)覆蓋石獅地區(qū)。費(fèi)用合理售后完善，十余年實(shí)體公司更值得信賴。

一、Secret資源對(duì)象

1） Secret概述

Secret資源對(duì)象存儲(chǔ)數(shù)據(jù)的方式是以鍵值對(duì)的方式進(jìn)行存儲(chǔ)的，在Pod資源進(jìn)行Secret的方式是通過環(huán)境變量或存儲(chǔ)卷的方式進(jìn)行訪問數(shù)據(jù)，解決了密碼、token、密鑰等敏感數(shù)據(jù)的配置問題，而不需要將這些敏感數(shù)據(jù)暴露到鏡像或者Pod的spec字段中。另外，Secret對(duì)象的數(shù)據(jù)存儲(chǔ)和打印格式為Base64編碼的字符串，因此用戶在創(chuàng)建Secret對(duì)象時(shí)，也需要提供該類型的編碼格式的數(shù)據(jù)。在容器中以環(huán)境變量或存儲(chǔ)卷的方式訪問時(shí)，會(huì)自動(dòng)解碼為明文格式。需要注意的是，如果是在Master節(jié)點(diǎn)上，Secret對(duì)象以非加密的格式存儲(chǔ)在etcd中，所以需要對(duì)etcd的管理和權(quán)限進(jìn)行嚴(yán)格控制。

2）Secret資源的類型

Secret有四種類型：
1）Service Account ：用來訪問Kubernetes API，由Kubernetes自動(dòng)創(chuàng)建，并且會(huì)自動(dòng)掛載到Pod的/run/secrets/kubernetes.io/serviceaccount目錄中；
2）Opaque ：base64編碼格式的Secret，用來存儲(chǔ)密碼、密鑰、信息、證書等，類型標(biāo)識(shí)符為generic；
3）kubernetes.io/dockerconfigjson ：用來存儲(chǔ)私有docker registry的認(rèn)證信息，類型標(biāo)識(shí)為docker-registry；
4）kubernetes.io/tls：用于為SSL通信模式存儲(chǔ)證書和私鑰文件，命令式創(chuàng)建類型標(biāo)識(shí)為tls；

3）創(chuàng)建Secret的方式

假設(shè)存儲(chǔ)的數(shù)據(jù)是：
username：root
password：123.com
以下的存儲(chǔ)方式都是存儲(chǔ)該信息！

1）使用--from-literal（文字）的方式

[root@master ~]# kubectl create secret generic mysecret01 --from-literal=username=root --from-literal=password=123.com
#創(chuàng)建一個(gè)secret資源對(duì)象，名稱為mysecret01，采用的加密方式是generic（通用的、一般的加密方式）
#注意：這種方式每一條只能保存一條信息
[root@master ~]# kubectl get secrets mysecret01 
NAME         TYPE     DATA   AGE
mysecret01   Opaque   2      25s
[root@master ~]# kubectl describe secrets mysecret01     #查看該資源的詳細(xì)信息
Name:         mysecret01
Namespace:    default
Labels:       <none>
Annotations:  <none>

Type:  Opaque                         #不透明的，看不到的

Data
====
password:  7 bytes                     #只能查看鍵的名稱，無法查看到鍵對(duì)應(yīng)的值
username:  4 bytes
[root@master ~]# kubectl get secrets mysecret01 -o yaml            
#將該資源以yaml文件的方式進(jìn)行顯示
apiVersion: v1
data:
  password: MTIzLmNvbQ==                       #鍵對(duì)應(yīng)的值都是亂碼，加密使用的是base64編碼格式
  username: cm9vdA==
kind: Secret
metadata:
  creationTimestamp: "2020-02-14T10:08:21Z"
  name: mysecret01
  namespace: default
  resourceVersion: "2474"
  selfLink: /api/v1/namespaces/default/secrets/mysecret01
  uid: 1aee0635-7bfb-4e8a-a21e-be993e534156
type: Opaque
[root@master ~]# echo -n cm9vdAo= | base64 --d              #將亂碼解碼后的結(jié)果
root
[root@master ~]# echo -n MTIzLmNvbQ== | base64 --d
123.com

2）使用--from-file（文件）的方式

這種方式更第一種方式差不多，可能稍微顯得麻煩一些！

[root@master ~]# echo root > username
[root@master ~]# echo 123.com > password
#需要先將要存儲(chǔ)的鍵值對(duì)寫入到文件中，并且每個(gè)文件只能寫入一個(gè)值
[root@master ~]# kubectl create secret generic mysecret02 --from-file=username --from-file=password
[root@master ~]# rm -rf username password              
#即使文件刪除之后，該資源鍵對(duì)應(yīng)的值依然也是存在的
[root@master ~]# kubectl get secrets mysecret02
NAME         TYPE     DATA   AGE
mysecret02   Opaque   2      58s
[root@master ~]# kubectl describe secrets mysecret02
Name:         mysecret02
Namespace:    default
Labels:       <none>
Annotations:  <none>

Type:  Opaque

Data
====
password:  8 bytes
username:  5 bytes

3）通過 --from-env-file（環(huán)境變量）的方式

這種方式可以在同一個(gè)文件中寫入多個(gè)鍵值對(duì)，推薦使用！

[root@master ~]# tee  env.txt <<EOF            #將多個(gè)需要存儲(chǔ)的鍵值寫入同一個(gè)文件中
 username=root
 password=123.com
 EOF
[root@master ~]# kubectl create secret generic mysecret03 --from-env-file=env.txt
secret/mysecret03 created
[root@master ~]# kubectl get secrets mysecret03
NAME         TYPE     DATA   AGE
mysecret03   Opaque   2      19s
[root@master ~]# kubectl describe secrets mysecret03
Name:         mysecret03
Namespace:    default
Labels:       <none>
Annotations:  <none>

Type:  Opaque

Data
====
username:  4 bytes
password:  7 bytes

4）通過yaml文件的方式

 [root@master ~]# echo root | base64                  #需要將鍵對(duì)應(yīng)的值進(jìn)行加密
cm9vdAo=
[root@master ~]# echo 123.com | base64
MTIzLmNvbQo=
[root@master ~]# vim secret.yaml  
apiVersion: v1
kind: Secret
metadata:
  name: mysecret04
data:
  username: cm9vdAo=                            #將加密后的值寫到配置文件中
  password: MTIzLmNvbQo=
[root@master ~]# kubectl apply -f secret.yaml
[root@master ~]# kubectl get secrets mysecret04
NAME         TYPE     DATA   AGE
mysecret04   Opaque   2      118s
[root@master ~]# kubectl describe secrets mysecret04
Name:         mysecret04
Namespace:    default
Labels:       <none>
Annotations:  
Type:         Opaque

Data
====
password:  8 bytes
username:  5 bytes

4）Secret資源的使用方式

1）以volume掛載的方式使用

[root@master ~]# vim secret-pod01.yaml
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: mypod
    image: busybox
    args:
      - /bin/sh
      - -c
      - sleep 3000000                  #以上字段僅僅是創(chuàng)建一個(gè)容器
    volumeMounts:
    - name: secret-test
      mountPath: "/etc/secret-test"                  #指定容器中的目錄
      readOnly: true                                         #以只讀的方式掛載
  volumes:
  - name: secret-test
    secret:
      secretName: mysecret04          #指定的是已有的secret資源的名稱
[root@master ~]# kubectl apply -f secret-pod01.yaml 
[root@master ~]# kubectl exec -it mypod /bin/sh        #進(jìn)入容器
/ # cat -n /etc/secret-test/username /etc/secret-test/password     #查看對(duì)應(yīng)的目錄是否存在數(shù)據(jù)
     1  root
     2  123.com
#而且是已經(jīng)解密后的數(shù)據(jù)         
/ # echo 12324235532 > /etc/secret-test/username 
/bin/sh: can't create /etc/secret-test/username: Read-only file system

現(xiàn)在，我們可以驗(yàn)證一下，如果此時(shí)更改secret04的內(nèi)容，那么容器內(nèi)對(duì)應(yīng)的掛載目錄下的內(nèi)容是否更改？

[root@master ~]# echo zhangsan | base64
emhhbmdzYW4K
[root@master ~]# echo 123456 | base64
MTIzNDU2Cg==
[root@master ~]# vim secret.yaml 
apiVersion: v1
kind: Secret
metadata:
  name: mysecret04
data:
  username: emhhbmdzYW4K
  password: MTIzNDU2Cg==
[root@master ~]# kubectl apply -f secret.yaml 
[root@master ~]# kubectl exec -it mypod /bin/sh
/ # cat -n /etc/secret-test/username /etc/secret-test/password 
     1  zhangsan
     2  123456
#再次查看容器中數(shù)據(jù)，發(fā)現(xiàn)已經(jīng)發(fā)生了變化！    

注意：如果采用volume掛載的方式調(diào)用secert存儲(chǔ)的值，容器內(nèi)的值會(huì)隨著secert存儲(chǔ)的值發(fā)生改變而變化！

2）用環(huán)境變量的方式運(yùn)行

[root@master ~]# vim secret-pod02.yaml 
apiVersion: v1
kind: Pod
metadata:
  name: mypod2
spec:
  containers:
  - name: mypod
    image: busybox
    args:
      - /bin/sh
      - -c
      - sleep 3000000
    env:                                   #設(shè)置環(huán)境變量
      - name: SECRET_USERNAME               #指容器中的變量名稱
        valueFrom:
          secretKeyRef:
            name: mysecret02                 #調(diào)用的是mysecret02 
            key: username                       #對(duì)應(yīng)的是mysecret02中username對(duì)應(yīng)的值
      - name: SECRET_PASSWORD     #同上
        valueFrom:
          secretKeyRef:
            name: mysecret02
            key: password
[root@master ~]# kubectl apply -f secret-pod02.yaml
[root@master ~]# kubectl exec -it mypod2 /bin/sh
/ # echo ${SECRET_USERNAME}
root
/ # echo ${SECRET_PASSWORD}
123.com
#進(jìn)入容器之后，查看變量對(duì)應(yīng)的值

注意：如果采用變量的方式調(diào)用secert存儲(chǔ)的值，容器內(nèi)的變量值并不會(huì)隨著secert存儲(chǔ)的值發(fā)生改變，除非重新生成pod。

二、ConfigMap資源對(duì)象

1）ConfigMap概述

我們知道，在幾乎所有的應(yīng)用開發(fā)中，都會(huì)涉及到配置文件的變更，比如說在web的程序中，需要連接數(shù)據(jù)庫(kù)，緩存甚至是隊(duì)列等等。而我們的一個(gè)應(yīng)用程序從寫第一行代碼開始，要經(jīng)歷開發(fā)環(huán)境、測(cè)試環(huán)境、預(yù)發(fā)布環(huán)境只到最終的線上環(huán)境。而每一個(gè)環(huán)境都要定義其獨(dú)立的各種配置。如果我們不能很好的管理這些配置文件，你的運(yùn)維工作將頓時(shí)變的無比的繁瑣。為此業(yè)內(nèi)的一些大公司專門開發(fā)了自己的一套配置管理中心，如360的Qcon，百度的disconf等。kubernetes也提供了自己的一套方案，即ConfigMap。kubernetes通過ConfigMap來實(shí)現(xiàn)對(duì)容器中應(yīng)用的配置管理。

2）ConfigMap的創(chuàng)建方式

其實(shí)configMap和secert資源對(duì)象的創(chuàng)建方式完全一樣！

1）通過--from-literal的方式

[root@master ~]# kubectl create configmap configmap01 --from-literal=username=root --from-literal=password=123.com
#創(chuàng)建一個(gè)configmap資源，名稱為configmap01
[root@master ~]# kubectl describe configmaps configmap01 
Name:         configmap01
Namespace:    default
Labels:       <none>
Annotations:  <none>

Data      #可以很明確的看出存儲(chǔ)的鍵對(duì)應(yīng)的值，所以一般用于存儲(chǔ)配置文件信息
====
password:
----
123.com
username:
----
root
Events:  <none>

2）通過--from-file的方式

[root@master ~]# echo root > username
[root@master ~]# echo 123.com > password
[root@master ~]# kubectl create configmap configmap02 --from-file=username --from-file=password
configmap/configmap02 created
[root@master ~]# kubectl describe configmaps configmap02
Name:         configmap02
Namespace:    default
Labels:       <none>
Annotations:  <none>

Data
====
password:
----
123.com

username:
----
root

Events:  <none>

3）通過--from-env-file的方式

[root@master ~]# tee 123.txt <<EOF
> username=root
> password=123.com
> EOF
[root@master ~]# kubectl create configmap configmap03 --from-env-file=123.txt
configmap/configmap03 created
[root@master ~]# kubectl describe configmaps configmap03
Name:         configmap03
Namespace:    default
Labels:       <none>
Annotations:  <none>

Data
====
username:
----
root
password:
----
123.com
Events:  <none>

4）通過yaml文件的方式

[root@master ~]# vim configmap.yaml
apiVersion: v1
kind: ConfigMap
metadata:
  name: configmap04
data: 
  username: root                       #configmap使用yaml文件進(jìn)行創(chuàng)建時(shí)，鍵對(duì)應(yīng)的值無需事先加密
  password: 123.com                     #對(duì)應(yīng)的值如果是數(shù)字，則需要單引號(hào)引起
[root@master ~]# kubectl apply -f configmap.yaml
[root@master ~]# kubectl describe configmaps configmap04
Name:         configmap04
Namespace:    default
Labels:       <none>
Annotations:  kubectl.kubernetes.io/last-applied-configuration:
                {"apiVersion":"v1","data":{"password":"123.com","username":"root"},"kind":"ConfigMap","metadata":{"annotations":{},"name":"configmap04","n...

Data
====
password:
----
123.com
username:
----
root
Events:  <none>

3）ConfigMap的使用方式

1）以volume掛載的方式使用

[root@master ~]# vim configmap-pod01.yaml
apiVersion: v1
kind: Pod
metadata:
  name: configmap-pod01
spec:
  containers:
  - name: configmap-pod01
    image: busybox
    args:
      - /bin/sh
      - -c
      - sleep 3000000
    volumeMounts:
    - name: configmap-test
      mountPath: "/etc/configmap-test"
      readOnly: true
  volumes:
  - name: configmap-test
    configMap:
      name: configmap01
[root@master ~]# kubectl apply -f configmap-pod01.yaml
[root@master ~]# kubectl exec -it configmap-pod01 /bin/sh
/ # cat -n /etc/configmap-test/username /etc/configmap-test/password
     1  root
     2  123.com

ConfigMap資源采用volume掛載的方式，與Secret資源采用volume掛載的方式幾乎是一樣的，會(huì)隨著源數(shù)據(jù)的變化而變化！

2）用環(huán)境變量的方式運(yùn)行

[root@master ~]# vim configmap-pod02.yaml
apiVersion: v1
kind: Pod
metadata:
  name: configmap-pod02
spec:
  containers:
  - name: configmap-pod02
    image: busybox
    args:
      - /bin/sh
      - -c
      - sleep 3000000
    env:
      - name: CONFIGMAP_USERNAME
        valueFrom:
          configMapKeyRef:
            name: configmap04
            key: username                   #調(diào)用的是configmap04中username的值
      - name: CONFIGMAP_PASSWORD
        valueFrom:
          configMapKeyRef:
            name: configmap04
            key: password
[root@master ~]# kubectl apply -f configmap-pod02.yaml                      
[root@master ~]# kubectl exec -it configmap-pod02 /bin/sh
/ # echo ${CONFIGMAP_USERNAME}
root
/ # echo ${CONFIGMAP_PASSWORD}
123.com

ConfigMap資源采用環(huán)境變量的方式，與Secret資源采用變量變量的方式幾乎是一樣的，不會(huì)隨著源數(shù)據(jù)的變化！

三、Secret與ConfigMap的異同點(diǎn)

1）相同點(diǎn)

都是用來保存輕量級(jí)信息的，可以供其他資源對(duì)象（Deployment、RC、RS和POd）進(jìn)行掛載使用。
這兩種資源對(duì)象的創(chuàng)建方法（4種）及引用方法（2種）都是一樣的，都是以鍵值對(duì)的方式進(jìn)行存儲(chǔ)的。

2）不同點(diǎn)

Secret是用來保存敏感信息的，而configMap是用來保存一些不太重要的數(shù)據(jù)的，具體表現(xiàn)在當(dāng)我們執(zhí)行“kubectl describe ....”命令時(shí)，Secret這種類型的資源對(duì)象時(shí)查看不到其具體的信息的，而configMap是可以查看到其保存的具體內(nèi)容的。

3）注意事項(xiàng)

1）Secret、ConfigMap必須在Pod之前創(chuàng)建；
2）只有與當(dāng)前Secret、ConfigMap在同一個(gè)namespace內(nèi)的pod才能使用這個(gè)Secret、ConfigMap，換句話說，Secret、ConfigMap不能跨命名空間調(diào)用。

——————————本文到此結(jié)束，感謝閱讀————————————

當(dāng)前文章：Kubernetes數(shù)據(jù)持久化之Secret與ConfigM
本文路徑：http://jinyejixie.com/article34/jpdepe.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站設(shè)計(jì)、企業(yè)建站、網(wǎng)站制作、網(wǎng)站排名、、定制網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)