应用配置管理Secret&ConfigMap

1.Secret

常见的应用配置方式

• 镜像
• 配置中心
• 配置文件
• 共享存储
• 放到git 仓库

配置文件分类：

• 敏感信息    
• 非敏感信息 如账号密码 服务器地址

Secret再k8s中 的使用方式

加密数据并存放Etcd中，让Pod的容器以挂载Volume方式访问。

应用场景：凭据

Pod使用secret两种方式： 

• 变量注入
• 挂载

例：现在一对  用户名  密码  pod在运行的时候需要加载 注入到pod 中 

假如现在 用户名：admin  密码：password

echo -n "admin" |base64
YWRtaW4=

echo -n "password" |base64
cGFzc3dvcmQ=

passwdAndusername-secret.yaml

apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data: 
  username: YWRtaW4=
  password: cGFzc3dvcmQ=

pod怎样注入secret中的变量

secret-var-use.yaml

apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: nginx
    image: nginx
    env:
      - name: SECRET_USERNAME
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: username
      - name: SECRET_PASSWORD
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: password

将secret挂载到pod文件中

secret-volume.yaml

apiVersion: v1
kind: Pod
metadata:
  name: mypod2
spec:
  containers:
  - name: nginx
    image: nginx
    volumeMounts:
    - name: foo
      mountPath: "/etc/foo"
      readOnly: true
  volumes:
  - name: foo
    secret:
      secretName: mysecret

三种类型secret

[root@k8s-master1 ~/learn]#  kubectl create secret -h
Create a secret using specified subcommand.

Available Commands:
  docker-registry Create a secret for use with a Docker registry
  generic         Create a secret from a local file, directory or literal value
  tls             Create a TLS secret

docker-registry 是配置docker私有仓库的认证信息，当yaml中指定了相应的secret 就可以获取到对应的变量值

kubectl create secret docker-registry myregistry --docker-server=registry.cn-hangzhou.aliyuncs.com --docker-username=benjami
n7788 --docker-password=a7260488

imagePullSecrets:
- name: myregistry

generic 通过传值 或者 指定本地文件的方式 创建secret

传值：

kubectl create secret generic mysecret --from-literal=username=admin --from-literal=password=123456

传文件：

echo -n admin > ./username
echo -n 123456 > ./password
kubectl create secret generic mysecret --from-file=./username --from-file=./password

tls 创建证书型secret一般用于 ingress 配置https 场景中

kubectl create secret tls secret-tls --cert=/root/learn/ssl/example.ctnrs.com.pem --key=/root/learn/ssl/example.ctnrs.com-ke
y.pem

tls:
  - hosts:
    - example.ctnrs.com
    secretName: secret-tls

Secret官网：https://kubernetes.io/docs/concepts/configuration/secret/

2.ConfigMap

与Secret类似，区别在于ConfigMap保存的是不需要加密配置信息。

应用场景：应用配置

引用变量方式

configmap-string.yaml

apiVersion: v1
kind: ConfigMap
metadata:
  name: myconfig
  namespace: default
data:
  special.level: info
  special.type: hello

 config-var.yaml 

apiVersion: v1
kind: Pod
metadata:
  name: mypod3
spec:
  containers:
    - name: busybox
      image: busybox
      command: ["/bin/sh","-c","echo $(LEVEL) $(TYPE)"]
      env:
        - name: LEVEL
          valueFrom:
            configMapKeyRef:
              name: myconfig
              key: special.level
        - name: TYPE
          valueFrom:
            configMapKeyRef:
              name: myconfig
              key: special.type
  restartPolicy: Never

挂载数据卷方式

cat config-volume.yaml 

---

apiVersion: v1
kind: ConfigMap
metadata:
  name: redis-config
data:
  redis.properties: |
    redis.host=127.0.0.1
    redis.port=6379
    redis.password=123456
---

apiVersion: v1
kind: Pod
metadata:
  name: mypod4
spec:
  containers:
    - name: busybox
      image: busybox
      command: ["/bin/sh","-c","cat /etc/config/redis.properties"]
      volumeMounts:
      - name: config-volume
        mountPath: /etc/config
  volumes:
      - name: config-volume
        configMap:
          name: redis-config
  restartPolicy: Never

应用程序动态更新配置

ConfigMap更新时，业务也随之更新的方案：

• 当ConfigMap发生变更时，应用程序动态加载 
• 触发滚动更新，即重启服务

 但是问题是，如何触发应用reload？如何周期性的检查文件是否变化？

比如 我将configMap中定义的密码 由 123456 改为 password

然后重新应用程序，发现应用并未使用更新后的配置

只有将pod 进行重建后，才能加载到修改后的配置

kubectl delete po mypod4

kubectl apply -f config-volume.yaml 

ConfigMap 官网：https://kubernetes.io/docs/tasks/configure-pod-container/configure-pod-configmap/