k8s之configmap和secret
1.configmapphp
configmap和secret是兩種特殊的存儲卷,它們不是給pod提供存儲空間用的,而是給管理員或者用戶提供了從外部向pod內部注入信息的方式.html
configmap:把配置文件放在配置中心上,而後多個pod讀取配置中心的配置文件,不過,configmap中的配置信息都是明文的,因此不安全;mysql
secret:功能和configmap同樣,只不過配置中心存儲的配置文件不是明文的.configmap和secret也是專屬於某個名稱空間的.nginx
# 用命令行建立configmap
kubectl create configmap nginx-config --from-literal=nginx_port=80 --from-literal=server_name=myapp.lixiang.com
kubectl describe cm nginx-config
# 用清單方式建立configmap
mkdir configmap && cd configmap
cat www.conf
server {
server_name myapp.lixiang.com;
listen 80;
root /data/web/html;
}
kubectl create configmap nginx-www --from-file=www.conf
# 用ENV方式把configmap的配置信息注入到pod中
cat pod-configmap.yaml
apiVersion: v1
kind: Pod
metadata:
name: pod-cm-1
namespace: default
labels:
app: myapp
tier: frontend
spec:
containers:
- name: myapp
image: ikubernetes/myapp:v1
ports:
- name: http
containerPort: 80
env:
- name: NGINX_SERVER_PORT
valueFrom: # kubectl explain pods.spec.containers.env.valueFrom
configMapKeyRef: # 表示要引用一個configmap來獲取數據
name: nginx-config # configmap的名字
key: nginx_port # 經過kubectl describe cm nginx-config的鍵
- name: NGINX_SERVER_NAME
valueFrom:
configMapKeyRef:
name: nginx-config
key: server_name
kubectl apply -f pod-configmap.yaml
kubectl exec -it pod-cm-1 -- /bin/sh
# printenv
NGINX_SERVER_PORT=80
NGINX_SERVER_NAME=myapp.lixiang.com
# 經過edit方式修改configmap的配置文件,在Pod裏面不會當即生效,須要重啓pod才能生效
kubectl edit cm nginx-config
# 用存儲卷的方法把configmap注入到pod中
cat pod-configmap2.ymal
apiVersion: v1
kind: Pod
metadata:
name: pod-cm-2
namespace: default
labels:
app: myapp
spec:
containers:
- name: myapp
image: ikubernetes/myapp:v1
ports:
- name: http
containerPort: 80
volumeMounts:
- name: nginxconf
mountPath: /etc/nginx/conf.d/
readOnly: true
volumes:
- name: nginxconf
configMap:
name: nginx-config
kubectl apply -f pod-configmap2.ymal
# 進入pod,能夠看到configmap中的鍵值對,在/etc/nginx/conf.d/下以文件形式存在
# 把www.conf文件注入到pod中
cat pod-configmap3.yaml
apiVersion: v1
kind: Pod
metadata:
name: pod-cm-3
namespace: default
labels:
app: myapp
spec:
containers:
- name: myapp
image: ikubernetes/myapp:v1
ports:
- name: http
containerPort: 80
volumeMounts:
- name: nginxconf
mountPath: /etc/nginx/conf.d/
readOnly: true
volumes:
- name: nginxconf
configMap:
name: nginx-www
kubectl apply -f pod-configmap3.yaml
kubectl exec -it pod-cm-3 -- /bin/sh
/ # cd /etc/nginx/conf.d/
/etc/nginx/conf.d # ls
www.conf
/etc/nginx/conf.d # cat www.conf
server {
server_name myapp.lixiang.com;
listen 80;
root /data/web/html;
}
# 修改端口,pod中的配置文件一樣會發生變化
kubectl edit cm nginx-www
2.secretweb
secret功能和configmap同樣,只不過secret配置中心存儲的配置文件不是明文的,通常將鏈接數據庫的密碼、私鑰等寫在secret中.sql
kubectl create secret --helpdocker
generic:保存密碼;數據庫
tls:保存私鑰、證書;json
docker-registry:保存docker認證信息,好比從私有docker倉庫拉鏡像時,就用這個類型,k8s拖鏡像的進程是kublet.api
# 若是從私有倉庫拉鏡像,就用imagePullSecrets存登陸驗證的信息
kubectl explain pods.spec.imagePullSecrets
kubectl create secret docker-registry LXregsecret --docker-server=registry.cn-hangzhou.aliyuncs.com \
--docker-username=xx --docker-password=xxxxxx --docker-email=xx
LXregsecret:指定secret的名字,可自行定義;--docker-email:郵件地址(選填)
該密鑰只能在對應namespace使用,也就是這裏的default,若是須要在其餘namespace中用到,須要在建立時指定名稱空間
containers:
- name: channel
image: registry-internal.cn-hangzhou.aliyuncs.com/yin32167/channel:dev-1.0
ports:
- containerPort: 8114
imagePullSecrets:
- name: LXregsecret
#
# 好像也能夠這麼建立,bash64 -wo 表明以64位轉碼展現而且不換行
cat .docker/config.json |base64 -w0
cat docker-secret.yaml
apiVersion: v1
kind: Secret
metadata:
name: registrypullsecret
data:
.dockerconfigjson: 加密串
type: kubernetes.io/dockerconfigjson
# password的內容會以base64的形式加密
kubectl create secret generic mysql-root-password --from-literal=password=123456
kubectl describe secret mysql-root-password
kubectl get secret mysql-root-password -o yaml
# 用base64進行解碼
echo MTIzNDU2 |base64 -d
# 把secret經過env的方式注入到pod裏面
cat pod-secret-1.yaml
apiVersion: v1
kind: Pod
metadata:
name: pod-secret-1
namespace: default
labels:
app: myapp
spec:
containers:
- name: myapp
image: ikubernetes/myapp:v1
ports:
- name: http
containerPort: 80
env:
- name: MYSQL_ROOT_PASSWORD
valueFrom:
secretKeyRef:
name: mysql-root-password
key: password
kubectl apply -f pod-secret-1.yaml
kubectl exec -it pod-secret-1 -- /bin/sh
# printenv
MYSQL_ROOT_PASSWORD=123456
secret還能夠用mount的方式注入pod中
參考博客:http://blog.itpub.net/28916011/viewspace-2214804/
在kubernetes集羣中部署nginx+mysql+php應用:https://blog.csdn.net/bbwangj/article/details/82954187
kubernetes小課堂:https://k.i4t.com/
相關文章
- 1. k8s之configmap、secret
- 2. k8s數據持久化之Secret和configMap
- 3. (十)Kubernetes ConfigMap和Secret
- 4. Kubernetes ConfigMap vs Secret
- 5. Kubernetes筆記(8) - ConfigMap和Secret
- 6. k8s之源之secret和serviceaccount
- 7. k8s之Secret
- 8. k8s之安全信息(Secret)及配置信息(ConfigMap)
- 9. k8s-configmap
- 10. Kebernetes 學習總結(7) configmap 和 secret
- 更多相關文章...
- • XLink 和 XPointer 語法 - XLink 和 XPointer 教程
- • Kotlin 類和對象 - Kotlin 教程
- • 互聯網組織的未來:剖析GitHub員工的任性之源
- • IntelliJ IDEA 代碼格式化配置和快捷鍵
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
- 1. No provider available from registry 127.0.0.1:2181 for service com.ddbuy.ser 解決方法
- 2. Qt5.7以上調用虛擬鍵盤(支持中文),以及源碼修改(可拖動,水平縮放)
- 3. 軟件測試面試- 購物車功能測試用例設計
- 4. ElasticSearch(概念篇):你知道的, 爲了搜索…
- 5. redux理解
- 6. gitee創建第一個項目
- 7. 支持向量機之硬間隔(一步步推導,通俗易懂)
- 8. Mysql 異步複製延遲的原因及解決方案
- 9. 如何在運行SEPM配置嚮導時將不可認的複雜數據庫密碼改爲簡單密碼
- 10. windows系統下tftp服務器使用
歡迎關注本站公眾號,獲取更多信息
相關文章