kubernetes-----配置管理

原創 Mr.aaa 2020-05-24 18:52

一.Secret(加密处理)

  • Secret字段的意义是加密数据并且存入etcd中,让Pod的容器以挂载volume方式访问。
  • 使用Secret字段可以存储和管理敏感信息。例如,密码、令牌和ssh密钥等。相比于将这些信息存储在普通文件中,在机密信息中存储更加安全,灵活。
  • 设置Secret加密处理时,可以通过kubectl命令创建,也可以通过yaml文件创建
  • 以下时Secret应用解析图

  • 方式一:使用文件传入参数,并且通过kubectl创建资源
[root@master ~]# echo 'admin' > ./username.txt
[root@master ~]# echo '123abc' > ./password.txt
//secret表示控制器类型,generic为从本地文件或者目录创建一个机密
[root@master ~]#  kubectl create secret generic db-user-pass --from-file=./username.txt --from-file=./password.txt
secret/db-user-pass created
//查看secret类型下的资源
[root@master ~]# kubectl get secret
NAME                  TYPE                                  DATA   AGE
db-user-pass          Opaque                                2      13s
default-token-h4tl7   kubernetes.io/service-account-token   3      26d
//查看db-user-pass的详细信息
[root@master ~]# kubectl describe secret db-user-pass
Name:         db-user-pass
Namespace:    default
Labels:       <none>
Annotations:  <none>

Type:  Opaque

Data
====
password.txt:  7 bytes        ##可见在secret模式下,不能明文显示导入的参数
username.txt:  6 bytes
[root@master ~]#
  • 方式二:使用加密数据导入资源,并且通过编辑yaml文件创建资源
##将数据加密,并且存储到加密资源中去
[root@master ~]# echo -n 'admin' | base64
YWRtaW4=
[root@master ~]# echo -n '123abc' | base64
MTIzYWJj
[root@master ~]# cat secret.yaml 
apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  username: YWRtaW4=
  password: MTIzYWJj
[root@master ~]# kubectl create -f secret.yaml 
secret/mysecret created
[root@master ~]# kubectl get secret
NAME                  TYPE                                  DATA   AGE
db-user-pass          Opaque                                2      68m
default-token-h4tl7   kubernetes.io/service-account-token   3      26d
mysecret              Opaque                                2      9s
[root@master ~]# kubectl get secret mysecret -o yaml
apiVersion: v1
data:
  password: MTIzYWJj
  username: YWRtaW4=
kind: Secret
metadata:
  creationTimestamp: 2020-05-24T07:45:35Z
  name: mysecret
  namespace: default
  resourceVersion: "439706"
  selfLink: /api/v1/namespaces/default/secrets/mysecret
  uid: 8d7e5069-9d92-11ea-bb1a-000c29ce5f24
type: Opaque
[root@master ~]#

  • 创建pod资源使用加密变量

//创建pod资源,调用mysecret里面的参数
[root@master demo]# cat secret-var.yaml 
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: nginx
    image: nginx
    env:
      - name: SECRET_USERNAME	#定义变量
        valueFrom:
          secretKeyRef:	#secret资源
            name: mysecret		#secret资源的名字,名字要正确
            key: username		#指定username赋值给变量SECRET_USERNAME
      - name: SECRET_PASSWORD
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: password
[root@master demo]# kubectl create -f secret-var.yaml 
pod/mypod created
[root@master demo]# kubectl get pods
NAME    READY   STATUS    RESTARTS   AGE
mypod   1/1     Running   0          12s
##进入mypod资源,查看具体变量
[root@master demo]# kubectl exec -it mypod bash
root@mypod:/# echo $SECRET_USERNAME
admin
root@mypod:/# echo $SECRET_PASSWORD
123abc
root@mypod:/#

  • 使用volume数据卷的形式,将secret存储的参数挂载到pod资源目录下,具体操作如下所示:

##为避免重名pod资源,删除之前pod的资源
[root@master demo]# kubectl delete -f secret-var.yaml 
pod "mypod" deleted

[root@master demo]# cat secret-val.yaml 
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: nginx
    image: nginx
    volumeMounts:    ##使用容器卷字段,挂载
    - name: foo    ##定义pod中的容器的挂载名
      mountPath: "/etc/foo"    ##定义挂载目录
      readOnly: true    ##定义权限
  volumes:
  - name: foo
    secret:		##定义secret资源
      secretName: mysecret		##挂载mysecret资源

##创建新的资源
[root@master demo]# kubectl create -f secret-val.yaml 
pod/mypod created
[root@master demo]# kubectl get pods
NAME    READY   STATUS    RESTARTS   AGE
mypod   1/1     Running   0          11s
[root@master demo]# kubectl exec -it mypod bash
root@mypod:/# ls /etc/foo
password  username
root@mypod:/# cat /etc/foo/password 
123abc
root@mypod:/#

二.ConfigMap(应用配置)

  • ConfigMap控制器和Secret类似,区别在于ConfigMap保存的式不需要加密配置的信息
  • ConfigMap主要用于应用配置。实例解析图如下:

使用ConfigMap字段存储一些比如IP地址,端口号等,应用于微服务的松耦合之间

  • 使用参数文件创建configmap资源传入参数,并且在yaml中使用挂载的方式创建mypod资源使用configmap参数
##删除mypod资源避免后面重名
[root@master demo]# kubectl delete -f secret-val.yaml 
pod "mypod" deleted
##创建参数文件
[root@master demo]# cat redis.properties
redis.host=127.0.0.1
redis.port=6379
redis.password=123456
##创建configmap资源,名字为redis-config,参数来自文件redis.properties
[root@master demo]# kubectl create configmap redis-config --from-file=redis.properties
configmap/redis-config created
##查看configmap资源
[root@master demo]#  kubectl get configmap
NAME           DATA   AGE
redis-config   1      11s
##查看详细信息
[root@master demo]# kubectl describe configmap redis-config
Name:         redis-config
Namespace:    default
Labels:       <none>
Annotations:  <none>

Data
====
redis.properties:        ##可以看到configmap资源参数时是明文显示的
----
redis.host=127.0.0.1
redis.port=6379
redis.password=123456

Events:  <none>
##创建pod的yaml文件
[root@master demo]# cat cm.yaml
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
    - name: busybox
      image: busybox
      command: [ "/bin/sh","-c","cat /etc/config/redis.properties" ]   #查看一次挂载的目录
      volumeMounts:
      - name: config-volume
        mountPath: /etc/config
  volumes:
    - name: config-volume
      configMap:		##定义挂载资源
        name: redis-config		##指定挂载文件
  restartPolicy: Never    ##重启策略,完成操作之后不重启
[root@master demo]# kubectl create -f cm.yaml 
pod/mypod created
[root@master demo]# kubectl get pods
NAME    READY   STATUS              RESTARTS   AGE
mypod   0/1     ContainerCreating   0          14s
[root@master demo]# kubectl get pods -w    ##实时查看pod的状态
NAME    READY   STATUS              RESTARTS   AGE
mypod   0/1     ContainerCreating   0          19s
mypod   0/1   Completed   0     22s
^C[root@master demo]# kubectl logs mypod    ##查看pod操作的日志
redis.host=127.0.0.1
redis.port=6379
redis.password=123456
[root@master demo]#

  • 使用参数变量创建configmap资源,在利用变量创建pod资源使用configmap中的变量

##前面清楚相应资源,避免重名
#创建myconfig类的资源
[root@master demo]# cat myconfig.yaml 
apiVersion: v1
kind: ConfigMap
metadata:
  name: myconfig
  namespace: default
data:
  special.level: info    ##定义变量
  special.type: hello
[root@master demo]# kubectl create -f myconfig.yaml 
configmap/myconfig created
[root@master demo]# kubectl get configmap
NAME       DATA   AGE
myconfig   2      21s

#创建pod资源使用configmap资源的变量
[root@master demo]# cat config-var.yaml
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
    - name: busybox
      image: busybox
      command: [ "/bin/sh", "-c", "echo $(LEVEL) $(TYPE)" ]
      env:
        - name: LEVEL
          valueFrom:		##指定变量来自于
            configMapKeyRef:		##指定变量源
              name: myconfig		##指定变量名
              key: special.level		#指定变量
        - name: TYPE
          valueFrom:
            configMapKeyRef:
              name: myconfig
              key: special.type
  restartPolicy: Never
   
[root@master demo]# kubectl apply -f config-var.yaml 
pod/mypod created
[root@master demo]# kubectl get pods -w
NAME    READY   STATUS              RESTARTS   AGE
mypod   0/1     ContainerCreating   0          11s
mypod   0/1   Completed   0     17s

#查看mypod资源的日志输出
[root@master demo]# kubectl logs mypod
info hello
[root@master demo]#

 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

KubeKey v3.1 发布:快速自定义离线安装包

日前,KubeKey v3.1 正式發佈。該版本主要對離線場景部署、離線包製作以及向 Kubernetes v1.24+ 升級進行了優化。 KubeKey 簡介 KubeKey 是 KubeSphere 社區開源的一款高效集羣部署工具,運

原創 2024-05-17 23:16:50

通过HPA+CronHPA组合应对业务复杂弹性伸缩场景

本文分享自華爲雲社區《通過HPA+CronHPA組合應對業務複雜彈性伸縮場景》,作者:雲容器大未來。 背景 在k8s集羣中,容器水平自動伸縮(HPA),可以根據容器資源的使用量,在設置好的副本範圍內,自動擴縮容工作負載副本數(repli

原創 2024-05-17 10:59:32

容器内存可观测性新视角:WorkingSet 与 PageCache 监控

作者:行疾、嘗君、佑禕、六滔 容器工作內存 WorkingSet 概念介紹 在 Kubernetes 場景,容器內存實時使用量統計(Pod Memory),由 WorkingSet 工作內存(縮寫 WSS)來表示。 WorkingSet 這

原創 2024-05-16 21:13:38

欢迎报名 Apache Seata (incubating) 开源之夏

作者:Seata 社區 Part 1:歡迎大家報名 Apache Seata (incubating) 開源之夏 2024 課題 開源之夏 2024 學生報名期爲 4 月 30 日 - 6 月 3 日,歡迎報名 Apache Seata(i

原創 2024-05-16 21:13:37

Zabbix参加KCD,为什么选择Zabbix监控K8s?

雲原生熱潮席捲全球 KCD上海站2024圓滿落幕 累計600+參會者報名 300+開發者齊聚上海燃動現場 臺上共同探討雲原生技術的最新進展 Zabbix參與其中 分享Zabbix對K8S的監控支持!

Zabbix中國 2024-05-15 22:35:23

网络现代化 通向云原生应用的高速公路

關注我們牛年牛氣沖天 “夜上海夜上海,你是個不夜城……”,歌曲中描繪的老上海十里洋場,用“摩登”(Modern)這個詞來形容最恰當不過。摩登,意味着時髦、潮流和趨勢。 投入數字化轉型的洪流中,企業打造現代化應用的需求和願望越來越迫切,而

osc_5rzx0ke2 2024-05-14 00:46:31

云原生周刊:Kubernetes Grafana 看板更新 | 2024.5.13

開源項目推薦 Chart Testing Chart Testing 是用於測試 Helm 圖表的工具。它旨在用於對拉取請求進行 lint 和測試。它會自動檢測針對目標分支更改的圖表。 Clusterpedia Clusterpedia 是

原創 2024-05-13 23:19:18

KubeKey 部署 K8s v1.28.8 实战

在某些生產環境下,我們僅需要一個原生的 K8s 集羣,無需部署 KubeSphere 這樣的圖形化管理控制檯。在我們已有的技術棧裏,已經習慣了利用 KubeKey 部署 KubeSphere 和 K8s 集羣。今天,我將爲大家實戰演示如何在

原創 2024-05-11 23:51:54

KubeSphere 社区双周报|2024.04.26-05.09

KubeSphere 社區雙週報主要整理展示新增的貢獻者名單和證書、新增的講師證書以及兩週內提交過 commit 的貢獻者,並對近期重要的 PR 進行解析,同時還包含了線上/線下活動和佈道推廣等一系列社區動態。 本次雙週報涵蓋時間爲:202

原創 2024-05-11 23:51:52

带你熟悉CCE集群增强型CPU管理策略enhanced-static

本文分享自華爲雲社區《華爲雲CCE集羣增強型CPU管理策略enhanced-static》,作者: 可以交個朋友。 背景 開源Kubernetes默認提供的CPU管理策略有none和static兩種: none: 不開啓CPU管理策略,

原創 2024-05-11 11:30:50

云原生周刊:Terraform 1.8 发布 | 2024.5.6

開源項目推薦 xlskubectl 用於控制 Kubernetes 集羣的電子表格。xlskubectl 將 Google Spreadsheet 與 Kubernetes 集成。你可以通過用於跟蹤費用的同一電子表格來管理集羣。 git-

原創 2024-05-06 22:46:37

ACK One x OpenKruiseGame 全球游戏服多地域一致性交付最佳实践

作者:劉秋陽、蔡靖 前言 在當今全球一體化的經濟環境下,數字娛樂產業正日益成爲文化和商業交流的有力代表。在此背景下大量遊戲廠商嘗試遊戲出海並取得了令人矚目的成績,許多遊戲以全球同服架構吸引着世界各地廣泛的玩家羣體。遊戲全球化部署不僅擴大了單

原創 2024-04-30 21:12:18

云原生周刊:K8s 中的服务和网络 | 2024.4.29

開源項目推薦 k8s-image-swapper k8s-image-swapper 是 Kubernetes 的一個變更 Webhook,它將鏡像下載到自己的鏡像倉庫,並將鏡像指向該新位置。它是 docker pull-through p

原創 2024-04-30 10:48:10

华为云云原生FinOps解决方案,释放云原生最大价值

華爲云云原生FinOps通過可視化的成本洞察和成本優化,幫助用戶精細用雲以提升單位成本的資源利用率,實現降本增效目標 企業上雲現狀:上雲趨勢持續加深,但云上開支存在顯著浪費 根據Flexer 2024年最新的一項調查顯示,當前有超過7

原創 2024-04-29 22:33:46

Sealos 云主机正式上线,便宜,便宜,便宜!

我們基於 Sealos 雲開發的能力,僅用三天時間就上線 Sealos 的雲主機能力,現在不太懂容器的同學也可以在 Sealos 上開心的使用虛擬機了,本文先說 Sealos 雲主機的優勢,再聊聊我們是怎麼這麼快實現上線的,以及爲什麼我們要

原創 2024-04-26 21:14:40