在openshift重外置应用配置数据
应用的配置通常是通过环境变量,命令行参数,配置文件等实现的。
当我们在openshift中部署一个应用时,面对不可变的container image,如果做好配置管理是个难题。不像传统的非容器化的部署,我们不建议将容器和配置放在一起打包成一个不可变的container image
对容器化的应用我们推荐将静态的应用和动态的配置数据分离,而将配置数据外置。这样就可以保证应用支持多环境。
例如,你希望在openshift cluster中构建一个应用,从development env到production env,以及中间的一些测试环节,例如testing和user acceptance. 你应该用在所有stages用同一个application container image, 然后container image外针对不同的环境有不同配置信息。
Openshift提供了证书和配置的map resouce types去外置和管理应用的配置。
利用证书和配置的map resources
证书资源(secret resources)被用于存储敏感信息,例如passwords, keys, tokens. 你可以创建自己的证书去保存应用中的敏感信息。
Configuration map resources与secret resources非常相似, 但是存储的是非敏感数据。一个configuration map resource可以用于存储更精细化的数据,例如单独的properties, 也可以存储粗化的数据例如一整个configuration files和JSON data.
你可以用Openshift CLI 或者web console去创建configuration map和secret resources,然后在你的pod的specification中使用。Openshift会往container中注入resource data作为环境变量,例如在应用程序中挂载文件系统。
你也可以改变dc(deployment configuration)让正在运行程序去参考configuration map和secret resources。Openshift会自动的重新部署应用并且让你的数据对container可用。
secret resource中的数据是base64编码。当secret中数据被注入到一个container中,这个数据会被解码或者当作一个file挂载或者在这个容器中作为一个环境变量。
Secrets和Configuration maps的特性
出去安全的考虑,这些resources虽然会被临时挂载在node/pod/container中,但是并不会这些地方进行存储。
他们作用于整个namespace.
创建和管理Secrets以及Configuration Maps
Secrets和Configuration maps必须在创建pod之前创建。
在openshift中我们可以使用oc create configmap/secret generic去创建configmap和secret.
从Secrets和Configuration Maps中配置数据
在一个container内部,Configuration maps和secrets可被挂载为data volumes(oc set volume dc/mydcname --add -t configmap -m /path/to/mount/volume --name myvol --configmap-name myconf), 可以被当作环0境变量(例如oc set env dc/mydcname --from configmap/myconf)进行导入
更改Configuration Maps 和 Secrets
每次你用oc set env或者oc set volume去更改一个配置,默认都会出发新的deployment.
如果你对同一个dc做了许多更改,则建议你可以用oc set triggers去暂时改变dc trigger的条件。
例如更新config时不触发redeployment(oc set triggers dc/mydcname --from-config --remove), 以及打开redeployment(oc set triggers dc/mydcname --from-config)
只更改configuration map和secret不会影响到正在运行的pods.
如果你的dc更改错了,则可以使用oc rollout latest mydcname去回退到上一个版本。
用configuration maps用明文保存配置数据。敏感数据用secrets保存, 例如passwords, passphrases, TLS keys, authentication tokens 以及其他你应用需要的敏感信息。
我们通常建议使用set env的方法去作简单配置。如果你的应用很复杂,有大量的配置变量,则推荐使用mount的方法。
网友评论