美文网首页
ConfigMap 补充 和 Secret

ConfigMap 补充 和 Secret

作者: 阿兵云原生 | 来源:发表于2023-07-16 23:03 被阅读0次

    对于上一篇文章我们分享了为什么要使用 ConfigMap ,我们创建 ConfigMap 的时候可以传入单个或者多个键值对,也可以传入文件,还分享了如何简单的传入 ConfigMap 里面的数据作为环境变量

    我们补充一下使用 ConfigMap 一次性传递多个条目吧

    一次性传递 ConfigMap 的所有条目

    若 ConfigMap 里面有多个键值对,如果按照我们上一次分享的做法来操作的话,肯定是会觉得非常的麻烦的,而且数量多了之后就会容易出错,搞的整个人都不好了

    那么我们看看 ConfigMap 如何一次性的传递多个条目吧

    • 创建一个多条目的 ConfigMap

    kubectl create configmap my-config --from-literal=XMTNAME=xiaozhu --from-literal=AGE=15 --from-literal=CITY=sz

    创建有 3 个条目的 ConfigMap 来做个试验

    查看 my-config 详情

    正确创建了包含 3 个键值对的 ConfigMap

    [图片上传失败...(image-fea28d-1689605899009)]

    查看 cm 对应的 yaml 信息

    [图片上传失败...(image-c8301b-1689605899009)]

    • 创建一个应用多个环境变量的镜像

    **写一个小脚本 newinfo.sh **

    #!/bin/bash
    
    while :
    do
      echo "new  -- xmtname = " $XMTNAME  " --- age = " $AGE "  --- city = " $CITY "
      sleep 2
    done
    

    写 Dockerfile

    FROM ubuntu:latest
    ADD newinfo.sh /bin/newinfo.sh
    ENTRYPOINT ["/bin/newinfo.sh"]
    

    构建镜像并推送

    docker build -t xiaomotong888/newinfo .
    docker push xiaomotong888/newinfo
    
    • yaml 清单 newinfo.yaml,配置好 ConfigMap 多条目,创建 pod ,查看效果
    apiVersion: v1
    kind: Pod
    metadata:
      name: newinfo
    spec:
      containers:
      - image: xiaomotong888/newinfo
        name: newinfo
        envFrom:
        - configMapRef:
            name: my-config
    

    此处使用的是 envFromconfigMapRef 来配置一个 configmap 的多个条目

    kubectl create -f newinfo.yaml

    查看对应 pod 的日志:

    [图片上传失败...(image-5fef88-1689605899009)]

    没毛病老铁,正确使用到了 my-config 里面的键值对,这样我们使用单个 ConfigMap 条目或者多个 ConfigMap 的时候,都是可以方便的使用了

    将 ConfigMap 中的数据作为命令行参数传入

    根据上述案例,我们可以看到的,做法都是以环境变量的方式配置的,那么可不可以也像我们之前不使用环境变量而使用命令行传入参数的方式来传入我们需要的参数的呢?

    k8s 对你说,必须可以啊,安排上

    我们也来做一个实验,分为如下几步走,步骤与上述类似,下面我使用图的方式来呈现:

    • 写脚本 env_configmap.sh ,带有传入参数

    [图片上传失败...(image-162e05-1689605899009)]

    • 制作镜像

    [图片上传失败...(image-9163c-1689605899009)]

    docker hub 上生成的镜像是 xiaomotong888/envconfigmap

    • 写 yaml env_configmap.yaml,创建 pod ,查看效果
    apiVersion: v1
    kind: Pod
    metadata:
      name: newinfo-env-configmap
    spec:
      containers:
      - image: xiaomotong888/envconfigmap
        name: newinfo-env-configmap
        env:
        - name: XMTCITY
          valueFrom:
            configMapKeyRef:
              name: my-config
              key: CITY
        args: ["$(XMTCITY)"]
    

    我们可以看到,我们的做法其实和直接使用 ConfigMap 作为环境变量的做法是类似的,只不过是我们这里是先将 ConfigMap 里面的键值对转成环境变量,然后我们在 yaml 清单中将该环境变量用 args 参数当中

    [图片上传失败...(image-4457be-1689605899009)]

    通过 kubectl create -f env_configmap.yaml 之后,我们来查看一下效果

    [图片上传失败...(image-bc172f-1689605899009)]

    nice ,没毛病,老铁 , 看了这几个例子之后,是不是觉得很简单呢,动手来试试吧

    当然,ConfigMap 也可以使用卷的方式,这个做法我们往下看,一起和 secret 一起分享,他们的用法是类似的

    看到这里的兄弟们,明眼人都能看出 ConfigMap 传递的都是明文的信息,那么如果我们有一些需要传递敏感信息,需要加密的信息,我们可以如何传递呢?

    那么接下来我们来分享一下如何传递 ConfigMap 的所有条目作为环境变量,以及如何传递敏感数据呢?

    Secret 的方式传递敏感数据

    Secret 和 ConfigMap 类似,都是用来传递数据,都是键值对的形式,解耦配置的

    只不过 ConfigMap 传递的是明文信息,Secret 传递的是加密的信息,和二进制信息,加密方式是 base64,使用改加密方式的原因是传递二进制数据的时候,base64 转化之后,可以将二进制转化成字符串的形式

    既然 secret 和 ConfigMap 很类似,那么在数据传递上也是类似的,也有如下几种方式

    • secret 暴露为卷中的文件
    • secret 里面的条目作为环境变量传递

    有一点需要注意:

    secret 是不会存储在磁盘中的,只会存储在节点的内存中

    我们会有默认的一个 secret

    kubectl get secrets

    [图片上传失败...(image-2cad5d-1689605899009)]

    [图片上传失败...(image-27e22d-1689605899009)]

    kubectl describe secret default-token-76xjz

    查看详情之后,我们可以看到这个 secret 包含了 3 个条目,分别是

    • ca.crt
    • namespace
    • token

    这些信息是用于 pod 内部安全访问 k8s Apiserver 服务器所需的全部信息

    看到这里,我们知道,既然每一个 pod 访问 Apiserver 都需要这些权限信息,那么上述的加密信息肯定会存在 pod 的某个目录咯?

    [图片上传失败...(image-8c8bcd-1689605899009)]

    兄弟你很聪明,确实是这样的,我们来查看任意一个 pod ,看看详情

    [图片上传失败...(image-d2735e-1689605899009)]

    我们可以看到 这个目录/var/run/secrets/kubernetes.io/serviceaccount 是作为 k8s 的secrets 挂载,那么我们看看里面有啥吧

    [图片上传失败...(image-f58be9-1689605899009)]

    果然猜测没错,该目录下有 3 个文件,是包含权限信息的

    那么我们来创建 secret 并使用他来玩玩吧

    如何创建并使用 secret

    创建证书

    openssl genrsa -out https.key 2048 
    $ openssl req -new -x509 -key https.key -out https.cert-days 365 -subj 
    /CN=www.xmt.com
    

    我们可以看到在我们的当前目录下创建了 2 个文件

    [图片上传失败...(image-4fa7be-1689605899009)]

    创建 secret

    上面说到 ConfigMap 和 secret 类似,那么我们也创建一个文件,里面写上明文的数据,然后加入到 secret 中看看效果吧

    写 hello 文件

    echo xiaozhu > hello
    

    创建 secret

    kubectl create secret generic xmt-https --from-file=https.key --from-file=https.cert --from-file=hello
    

    查看我们创建的 secret

    kubectl get secrets
     kubectl describe secret xmt-https
    

    [图片上传失败...(image-cb1952-1689605899009)]

    使用 secret

    我们使用 secret 的方式,最好是用卷的方式暴露文件,而不是使用环境变量的方式,因为 secret 传递的是敏感信息,若直接体现在 yaml 清单中的环境变量,这样还是不太可取

    • 写 yaml 清单,引用 secret mysecret.yaml
    apiVersion: v1
    kind: Pod
    metadata:
      name: mysecret
    spec:
      containers:
      - image: xiaomotong888/envconfigmap
        name: mysecret
        volumeMounts:
        - name: mycert
          mountPath: /tmp/cert
      volumes:
      - name: mycert
        secret:
          secretName: xmt-https
    

    我们这里可以随便用一个镜像,正确的创建 pod 即可,我们主要是验证挂载到 pod 里面的文件是明文的且挂进再进去了,pod 里面自己需要如何时候,看自己的需求了

    [图片上传失败...(image-7c491-1689605899009)]

    此处记得挂载的名字需要是一样的,另外是使用 secret.secretName 关键字

    如果是 ConfigMap 的挂载,可以是 configMap.name 关键字

    查看效果:

    kubectl create -f mysecret.yaml 创建 pod 之后,查看效果

    [图片上传失败...(image-f2fe32-1689605899009)]

    kubectl exec -it mysecret ls /tmp/cert
    kubectl exec -it mysecret cat /tmp/cert/hello
    kubectl exec -it mysecret cat /tmp/cert/https.cert
    

    [图片上传失败...(image-46d41-1689605899009)]

    [图片上传失败...(image-aa7c5a-1689605899009)]

    我们再来看看本地的 http.cert 的信息,是否也是同样的字符串

    [图片上传失败...(image-3b0c53-1689605899009)]

    没毛病老铁,看效果还可以

    最后提醒一点:

    在 pod 运行过程中,如果修改了引用的 ConfigMap 和 secret,如果 pod 中的服务不支持热配置读取的话,那么请一定记得重启 pod

    今天就到这里,学习所得,若有偏差,还请斧正

    欢迎点赞,关注,收藏

    朋友们,你的支持和鼓励,是我坚持分享,提高质量的动力

    好了,本次就到这里

    技术是开放的,我们的心态,更应是开放的。拥抱变化,向阳而生,努力向前行。

    我是阿兵云原生,欢迎点赞关注收藏,下次见~

    相关文章

      网友评论

          本文标题:ConfigMap 补充 和 Secret

          本文链接:https://www.haomeiwen.com/subject/fdwwudtx.html