kubernetes-----配置管理

原創 Mr.aaa 2020-05-24 18:52

一.Secret(加密處理)

  • Secret字段的意義是加密數據並且存入etcd中,讓Pod的容器以掛載volume方式訪問。
  • 使用Secret字段可以存儲和管理敏感信息。例如,密碼、令牌和ssh密鑰等。相比於將這些信息存儲在普通文件中,在機密信息中存儲更加安全,靈活。
  • 設置Secret加密處理時,可以通過kubectl命令創建,也可以通過yaml文件創建
  • 以下時Secret應用解析圖

  • 方式一:使用文件傳入參數,並且通過kubectl創建資源
[root@master ~]# echo 'admin' > ./username.txt
[root@master ~]# echo '123abc' > ./password.txt
//secret表示控制器類型,generic爲從本地文件或者目錄創建一個機密
[root@master ~]#  kubectl create secret generic db-user-pass --from-file=./username.txt --from-file=./password.txt
secret/db-user-pass created
//查看secret類型下的資源
[root@master ~]# kubectl get secret
NAME                  TYPE                                  DATA   AGE
db-user-pass          Opaque                                2      13s
default-token-h4tl7   kubernetes.io/service-account-token   3      26d
//查看db-user-pass的詳細信息
[root@master ~]# kubectl describe secret db-user-pass
Name:         db-user-pass
Namespace:    default
Labels:       <none>
Annotations:  <none>

Type:  Opaque

Data
====
password.txt:  7 bytes        ##可見在secret模式下,不能明文顯示導入的參數
username.txt:  6 bytes
[root@master ~]#
  • 方式二:使用加密數據導入資源,並且通過編輯yaml文件創建資源
##將數據加密,並且存儲到加密資源中去
[root@master ~]# echo -n 'admin' | base64
YWRtaW4=
[root@master ~]# echo -n '123abc' | base64
MTIzYWJj
[root@master ~]# cat secret.yaml 
apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  username: YWRtaW4=
  password: MTIzYWJj
[root@master ~]# kubectl create -f secret.yaml 
secret/mysecret created
[root@master ~]# kubectl get secret
NAME                  TYPE                                  DATA   AGE
db-user-pass          Opaque                                2      68m
default-token-h4tl7   kubernetes.io/service-account-token   3      26d
mysecret              Opaque                                2      9s
[root@master ~]# kubectl get secret mysecret -o yaml
apiVersion: v1
data:
  password: MTIzYWJj
  username: YWRtaW4=
kind: Secret
metadata:
  creationTimestamp: 2020-05-24T07:45:35Z
  name: mysecret
  namespace: default
  resourceVersion: "439706"
  selfLink: /api/v1/namespaces/default/secrets/mysecret
  uid: 8d7e5069-9d92-11ea-bb1a-000c29ce5f24
type: Opaque
[root@master ~]#

  • 創建pod資源使用加密變量

//創建pod資源,調用mysecret裏面的參數
[root@master demo]# cat secret-var.yaml 
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: nginx
    image: nginx
    env:
      - name: SECRET_USERNAME	#定義變量
        valueFrom:
          secretKeyRef:	#secret資源
            name: mysecret		#secret資源的名字,名字要正確
            key: username		#指定username賦值給變量SECRET_USERNAME
      - name: SECRET_PASSWORD
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: password
[root@master demo]# kubectl create -f secret-var.yaml 
pod/mypod created
[root@master demo]# kubectl get pods
NAME    READY   STATUS    RESTARTS   AGE
mypod   1/1     Running   0          12s
##進入mypod資源,查看具體變量
[root@master demo]# kubectl exec -it mypod bash
root@mypod:/# echo $SECRET_USERNAME
admin
root@mypod:/# echo $SECRET_PASSWORD
123abc
root@mypod:/#

  • 使用volume數據卷的形式,將secret存儲的參數掛載到pod資源目錄下,具體操作如下所示:

##爲避免重名pod資源,刪除之前pod的資源
[root@master demo]# kubectl delete -f secret-var.yaml 
pod "mypod" deleted

[root@master demo]# cat secret-val.yaml 
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: nginx
    image: nginx
    volumeMounts:    ##使用容器卷字段,掛載
    - name: foo    ##定義pod中的容器的掛載名
      mountPath: "/etc/foo"    ##定義掛載目錄
      readOnly: true    ##定義權限
  volumes:
  - name: foo
    secret:		##定義secret資源
      secretName: mysecret		##掛載mysecret資源

##創建新的資源
[root@master demo]# kubectl create -f secret-val.yaml 
pod/mypod created
[root@master demo]# kubectl get pods
NAME    READY   STATUS    RESTARTS   AGE
mypod   1/1     Running   0          11s
[root@master demo]# kubectl exec -it mypod bash
root@mypod:/# ls /etc/foo
password  username
root@mypod:/# cat /etc/foo/password 
123abc
root@mypod:/#

二.ConfigMap(應用配置)

  • ConfigMap控制器和Secret類似,區別在於ConfigMap保存的式不需要加密配置的信息
  • ConfigMap主要用於應用配置。實例解析圖如下:

使用ConfigMap字段存儲一些比如IP地址,端口號等,應用於微服務的鬆耦合之間

  • 使用參數文件創建configmap資源傳入參數,並且在yaml中使用掛載的方式創建mypod資源使用configmap參數
##刪除mypod資源避免後面重名
[root@master demo]# kubectl delete -f secret-val.yaml 
pod "mypod" deleted
##創建參數文件
[root@master demo]# cat redis.properties
redis.host=127.0.0.1
redis.port=6379
redis.password=123456
##創建configmap資源,名字爲redis-config,參數來自文件redis.properties
[root@master demo]# kubectl create configmap redis-config --from-file=redis.properties
configmap/redis-config created
##查看configmap資源
[root@master demo]#  kubectl get configmap
NAME           DATA   AGE
redis-config   1      11s
##查看詳細信息
[root@master demo]# kubectl describe configmap redis-config
Name:         redis-config
Namespace:    default
Labels:       <none>
Annotations:  <none>

Data
====
redis.properties:        ##可以看到configmap資源參數時是明文顯示的
----
redis.host=127.0.0.1
redis.port=6379
redis.password=123456

Events:  <none>
##創建pod的yaml文件
[root@master demo]# cat cm.yaml
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
    - name: busybox
      image: busybox
      command: [ "/bin/sh","-c","cat /etc/config/redis.properties" ]   #查看一次掛載的目錄
      volumeMounts:
      - name: config-volume
        mountPath: /etc/config
  volumes:
    - name: config-volume
      configMap:		##定義掛載資源
        name: redis-config		##指定掛載文件
  restartPolicy: Never    ##重啓策略,完成操作之後不重啓
[root@master demo]# kubectl create -f cm.yaml 
pod/mypod created
[root@master demo]# kubectl get pods
NAME    READY   STATUS              RESTARTS   AGE
mypod   0/1     ContainerCreating   0          14s
[root@master demo]# kubectl get pods -w    ##實時查看pod的狀態
NAME    READY   STATUS              RESTARTS   AGE
mypod   0/1     ContainerCreating   0          19s
mypod   0/1   Completed   0     22s
^C[root@master demo]# kubectl logs mypod    ##查看pod操作的日誌
redis.host=127.0.0.1
redis.port=6379
redis.password=123456
[root@master demo]#

  • 使用參數變量創建configmap資源,在利用變量創建pod資源使用configmap中的變量

##前面清楚相應資源,避免重名
#創建myconfig類的資源
[root@master demo]# cat myconfig.yaml 
apiVersion: v1
kind: ConfigMap
metadata:
  name: myconfig
  namespace: default
data:
  special.level: info    ##定義變量
  special.type: hello
[root@master demo]# kubectl create -f myconfig.yaml 
configmap/myconfig created
[root@master demo]# kubectl get configmap
NAME       DATA   AGE
myconfig   2      21s

#創建pod資源使用configmap資源的變量
[root@master demo]# cat config-var.yaml
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
    - name: busybox
      image: busybox
      command: [ "/bin/sh", "-c", "echo $(LEVEL) $(TYPE)" ]
      env:
        - name: LEVEL
          valueFrom:		##指定變量來自於
            configMapKeyRef:		##指定變量源
              name: myconfig		##指定變量名
              key: special.level		#指定變量
        - name: TYPE
          valueFrom:
            configMapKeyRef:
              name: myconfig
              key: special.type
  restartPolicy: Never
   
[root@master demo]# kubectl apply -f config-var.yaml 
pod/mypod created
[root@master demo]# kubectl get pods -w
NAME    READY   STATUS              RESTARTS   AGE
mypod   0/1     ContainerCreating   0          11s
mypod   0/1   Completed   0     17s

#查看mypod資源的日誌輸出
[root@master demo]# kubectl logs mypod
info hello
[root@master demo]#

 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

ACK One x OpenKruiseGame 全球遊戲服多地域一致性交付最佳實踐

作者:劉秋陽、蔡靖 前言 在當今全球一體化的經濟環境下,數字娛樂產業正日益成爲文化和商業交流的有力代表。在此背景下大量遊戲廠商嘗試遊戲出海並取得了令人矚目的成績,許多遊戲以全球同服架構吸引着世界各地廣泛的玩家羣體。遊戲全球化部署不僅擴大了單

原創 2024-04-30 21:12:18

雲原生週刊:K8s 中的服務和網絡 | 2024.4.29

開源項目推薦 k8s-image-swapper k8s-image-swapper 是 Kubernetes 的一個變更 Webhook,它將鏡像下載到自己的鏡像倉庫,並將鏡像指向該新位置。它是 docker pull-through p

原創 2024-04-30 10:48:10

華爲云云原生FinOps解決方案,釋放雲原生最大價值

華爲云云原生FinOps通過可視化的成本洞察和成本優化,幫助用戶精細用雲以提升單位成本的資源利用率,實現降本增效目標 企業上雲現狀:上雲趨勢持續加深,但云上開支存在顯著浪費 根據Flexer 2024年最新的一項調查顯示,當前有超過7

原創 2024-04-29 22:33:46

Sealos 雲主機正式上線,便宜,便宜,便宜!

我們基於 Sealos 雲開發的能力,僅用三天時間就上線 Sealos 的雲主機能力,現在不太懂容器的同學也可以在 Sealos 上開心的使用虛擬機了,本文先說 Sealos 雲主機的優勢,再聊聊我們是怎麼這麼快實現上線的,以及爲什麼我們要

原創 2024-04-26 21:14:40

k3d創建集羣並暴露traefik端口

1. 安裝docker curl -fsSL https://get.docker.com | bash -s docker --mirror Aliyun   2. 安裝k3d wget -q -O - https://raw.githu

原創 2024-04-24 21:13:26

日誌架構演進:從集中式到分佈式的Kubernetes日誌策略

當我們沒有使用雲原生方案部署應用時採用的日誌方案往往是 ELK 技術棧。 這套技術方案比較成熟,穩定性也很高,所以幾乎成爲了當時的標配。 可是隨着我們使用 kubernetes 步入雲原生的時代後, kubernetes 把以往的操作系統

原創 2024-04-23 11:47:10

雲原生週刊:Kubernetes v1.30 發佈 | 2024.4.22

開源項目推薦 pv-migrate pv-migrate 是一個 CLI 工具/kubectl 插件,可輕鬆將一個 Kubernetes 的內容遷移 PersistentVolumeClaim 到另一個 Kubernetes。 Claudi

原創 2024-04-22 22:46:27

活動回顧丨雲原生開源開發者沙龍北京站回放 & PPT 下載

“零信任架構” 是一種安全概念,它要求在任何時候不對任何請求默認信任,無論它的來源內部還是外部。服務安全性已成爲企業的核心關切,4 月 13 日,雲原生開源開發者沙龍在北京順利開展。阿里雲一線工程師圍繞《微服務面臨的安全挑戰、趨勢與解決方

原創 2024-04-22 21:12:01

實踐展示openEuler部署Kubernetes 1.29.4版本集羣

本文分享自華爲雲社區《openEuler部署Kubernetes 1.29.4版本集羣》,作者:江晚正愁餘。 一、Kubernetes集羣節點準備 1.1 主機操作系統說明 序號 操作系統及版本 備註 1 CentOS7u9或 Open

原創 2024-04-22 10:33:11

KCD上海站免費報名丨賞玉蘭花開,暢聊雲原生技術

Kubernetes Community Days(KCD) 上海2024 現已開放報名通道! 這是一場大型的面向開發者的技術交流會 在現場,你可以 與各路技術社區達人交流 battle 共同探討雲原生技術的最新進展 現場感受AI/操作

Zabbix中國 2024-04-17 22:13:22

這篇 DolphinScheduler on k8s 雲原生部署實踐,值得所有大數據人看!

在當前快速發展的技術格局中,企業尋求創新解決方案來簡化運營並提高效率成爲一種趨勢。 Apache DolphinScheduler作爲一個強大的工具,允許跨分佈式系統進行復雜的工作流任務調度。本文將深入探討如何將Apache Dolphin

原創 2024-04-17 21:18:15

鏡像發佈後自動更新文檔網站

比較常見的一個場景是: 對於上面的流水線可以採用 Jenkins、Argo Workflow 或者其他類似工具。至於流水線的自動觸發,可以藉助代碼倉庫的 WebHook 或者像 Argo Events 這種事件驅動的框架。 可以選用 H

原創 2024-04-15 23:44:30

雲原生週刊:CNCF 2023 年度調查報告 | 2024.4.15

開源項目推薦 highlight 該項目是一個開源全棧監控平臺。其功能包括錯誤監控、會話重放、日誌記錄、分佈式跟蹤等。 Helm Compose Helm Compose 是一個 helm 插件,用於在單個配置文件中管理一個或多個圖表的多個

原創 2024-04-15 22:48:41

詳解K8s 鏡像緩存管理kube-fledged

本文分享自華爲雲社區《K8s 鏡像緩存管理 kube-fledged 認知》,作者: 山河已無恙。 我們知道 k8s 上的容器調度需要在調度的節點行拉取當前容器的鏡像,在一些特殊場景中, 需要 快速啓動和/或擴展的應用

原創 2024-04-15 10:32:44

KubeSphere 社區雙週報|2024.03.29-04.11

KubeSphere 社區雙週報主要整理展示新增的貢獻者名單和證書、新增的講師證書以及兩週內提交過 commit 的貢獻者,並對近期重要的 PR 進行解析,同時還包含了線上/線下活動和佈道推廣等一系列社區動態。 本次雙週報涵蓋時間爲:202

原創 2024-04-12 22:46:50