kubernetes ConfigMap和Secret:配置應用程式
7.1.配置容器化應用程式
7.2.向容器傳遞命令列引數
7.2.1.待Docker中定義命令與引數
1.瞭解ENTRYPOINT與CMD
ENTRYPOINT定義容器啟動時被呼叫的可以執行程式
CMD指定傳遞給ENTRYP的引數
dockerfile 內容如下
FROM daocloud.io/centos:latest ADD aaa /usr/local/aaa CMD ["-f","/var/log/aa.log"] ENTRYPOINT ["tail"]
當啟動映象時,容器啟動時執行如下命令:tail -f /var/log/aa.log
或者在docker run <images> <arguments> 中指定,arguments會覆蓋CMD中內容
7.2.2.在kubernetes中覆蓋命令列和引數
在k8s中定義容器時,映象的ENTRYPOINT和CMD都可以被覆蓋,僅需在容器定義中設定熟悉command和args的值
對應引數如下:
| Docker | kubernetes | 描述 |
| ENTRYPOINT | command | 容器中執行的可執行檔案 |
| CMD | args | 傳給可執行檔案的引數 |
相關yml程式碼如下:
kind: pod
spec:
containers:
- image: some/image
command: ["/bin/command"]
args: ["args1","args2","args3"]
7.3.為容器設定環境變數
7.3.1.在容器定義中指定環境變數
與容器的命令和引數設定相同,環境變數列表無法在pod建立後被修改。
在pod的yml檔案中設定容器環境變數程式碼如下:
kind: pod
spec:
containers:
- image: luksa/fortune:env
env:
- name: INTERVAL
value: "30"
name: value-test-yh
7.3.2.在環境變數值中引用其他環境變數
使用$( VAR )引用環境變數,
相關ym程式碼如下:
env: - name: FIRST_VAR value: "foo" - name: SECOND_VAR value: "$(FIRST_VAR)bar" //最終變數值為foobar
7.4.利用ConfigMap解耦配置
7.4.1.ConfigMap介紹
kubernetes允許將配置選項分離到獨立的資源物件ConfigMap中,本質上就是一個鍵/值對對映,值可以是短字面變數,也可以是完整的配置檔案。
應用無須直接讀取ConfigMap,甚至根本不需要知道其是否存在。
對映的內容通過環境變數或者卷檔案的形式傳遞給容器,而並非直接傳遞給容器,命令列引數的定義中也是通過$(ENV_VAR)語法變數
7.4.2.建立ConfigMap
使用kubectl creat configmap建立ConfigMap中間不用加-f。
1.使用指令建立ConfigMap
#kubectl creat configmap configmap-yaohong --from-literal=foo=bar --from-literal=sleep-interval=25
2.從檔案內容建立ConfigMap條目
#kubectl create configmap my-conf-yh --from-file=config-file.conf
使用如下命令,會將檔案內容儲存在自定義的條目下。與字面量使用相同
#kubectl create configmap my-conf-yh --from-file=customkey=config-file.conf
3.從資料夾建立ConfigMap
#kubectl create configmap my-conf-yh --from-file=/path/to/dir
4.合併不同選項
#kubectl create configmap my-conf-yh --from-file=/path/to/dir/ --from-file=bar=foobar.conf --from-literal=some=thing
5.獲取ConfigMap
#kubectl -n <namespace> get configmap
7.4.3.給容器傳遞ConfigMap條目作為環境變數
引用環境變數中的引數值給當前變數
apiVersion: v1
kind: pod
metadata:
name: fortune-env-from-configmap
spec:
containers:
- image: luksa/fortune:env
env:
- name: INTERVAL //設定環境變數
valueFrom:
configMapkeyRef:
name: fortune-configmap
key: sleep-interval //變數的值取自fortune-configmap的slee-interval對應的值
7.4.4.一次性傳遞ConfigMap的所有條目作為環境變數
apiVersion: v1
kind: pod
metadata:
name: fortune-env-from-configmap
spec:
containers:
- image: luksa/fortune:env
envFrom:
- prefix: CONFIG_
confgMapRef:
name: my-confg-map //引用my-config-map的ConfigMap並在變數前面都加上CONFIG_
7.4.5.使用ConfigMap卷將條目暴露為檔案
apiVersion: v1
kind: pod
metadata:
name: configmap-volume-yh
spec:
containers:
- image: nginx:aplin
name: web-server
volumeMounts:
...
- name: config
defaultMode: "6600" //設定檔案的許可權為rw-rw
mountPath: /etc/nginx/con.conf
subPath: my.conf //subPath欄位可以用於掛載卷中某個獨立的檔案或者資料夾,而且不覆蓋該卷下其他檔案
...
volume:
...
- name: config
configMap:
name: fortune-config //引用fortune-config configMap的卷,然後掛載在/etc/nginx/conf.d
可以使用如下命令檢視到/etc/nginx/conf.d檔案下面包含fortune-config
#kubectl exec config-volume-yh -c web-server ls /etc/nginx/conf.d
7.5.使用Secert給容器傳遞敏感資料
7.5.1.介紹Secert
Secret結構和ConfigMap類似,均是鍵/值對的對映。
使用方法也和ConfigMap一樣,可以:
1.將Secret條目作為環境變數傳遞給容器,
2.將Secret條目暴露為卷中檔案
ConfigMap儲存非敏感的文字配置資料,採用Secret儲存天生敏感的資料
7.5.2.預設令牌Secret
1.檢視secret
# kubectl get secrets NAME TYPE DATA AGE default-token-x9cjb kubernetes.io/service-account-token 3 78d
2.描述secret
# kubectl describe secrets default-token-x9cjb
Name: default-token-x9cjb
Namespace: default
Labels: <none>
Annotations: kubernetes.io/service-account.name: default
kubernetes.io/service-account.uid: 64a41a09-98ce-11e9-9fa5-fa163e6fdb6b
Type: kubernetes.io/service-account-token
Data
====
token: eyJhbGciOiJSUzI1NiIsImtpZCI6IiJ9.eyJpc3MiOiJrdWJlcm5lduaW8vc2VydmljZTxCv6HdtP-ZW3ZC2IKKR5YBhaokFIl35mix79pU4Ia2pJ_fuPTBGNyrCHyNQYH4ex5DhND3_b2puQmn8RSErQ
ca.crt: 1298 bytes
namespace: 7 bytes
7.5.3.建立Secret
1.建立一個名為https-yh的generic secret
#kubectl create secret generic https-yh --from-file=https.key --from-file=https.cert --from-file=foo
2.建立一個secret.yaml檔案,內容用base64編碼
$ echo -n 'admin' | base64 YWRtaW4= $ echo -n '1f2d1e2e67df' | base64 MWYyZDFlMmU2N2Rm
yaml檔案內容:
apiVersion: v1 kind: Secret metadata: name: mysecret type: Opaque data: username: YWRtaW4= password: MWYyZDFlMmU2N2Rm
建立:
$ kubectl create -f ./secret.yaml secret "mysecret" created
解析Secret中內容
$ kubectl get secret mysecret -o yaml apiVersion: v1 data: username: YWRtaW4= password: MWYyZDFlMmU2N2Rm kind: Secret metadata: creationTimestamp: 2016-01-22T18:41:56Z name: mysecret namespace: default resourceVersion: "164619" selfLink: /api/v1/namespaces/default/secrets/mysecret uid: cfee02d6-c137-11e5-8d73-42010af00002 type: Opaque
base64解碼:
$ echo 'MWYyZDFlMmU2N2Rm' | base64 --decode 1f2d1e2e67df
7.5.4.對比ConfigMap與Secret
Secret的條目內容會進行Base64格式編碼,而ConfigMap直接以純文字展示。
1.為二進位制資料建立Secret
Base64可以將二進位制資料轉換為純文字,並以YAML或Json格式進行展示
但要注意Secret的大小限制是1MB
2.stringDate欄位介紹
Secret可以通過StringDate欄位設定條目的純文字
kind: Secret apiVersion: v1 stringDate: foo: plain txt date: https.cert: HGIOPUPSDF63456BJ3BBJL34563456BLKJBK634563456BLBKJBLKJ63456BLK3456LK http.key: OHOPGPIU42342345OIVBGOI3456345OVB6O3456BIPO435B6IPU345UI
7.5.5.在pod中使用Secret
secret可以作為資料卷掛載或者作為環境變數暴露給Pod中的容器使用,也可以被系統中的其他資源使用。比如可以用secret匯入與外部系統互動需要的證書檔案等。
在Pod中以檔案的形式使用secret
- 建立一個Secret,多個Pod可以引用同一個Secret
- 修改Pod的定義,在
spec.volumes[]加一個volume,給這個volume起個名字,spec.volumes[].secret.secretName記錄的是要引用的Secret名字 - 在每個需要使用Secret的容器中新增一項
spec.containers[].volumeMounts[],指定spec.containers[].volumeMounts[].readOnly = true,spec.containers[].volumeMounts[].mountPath要指向一個未被使用的系統路徑。 - 修改映象或者命令列使系統可以找到上一步指定的路徑。此時Secret中
data欄位的每一個key都是指定路徑下面的一個檔名
下面是一個Pod中引用Secret的列子:
apiVersion: v1
kind: Pod
metadata:
name: mypod
spec:
containers:
- name: mypod
image: redis
volumeMounts:
- name: foo
mountPath: "/etc/foo"
readOnly: true
volumes:
- name: foo
secret:
secretName: mysecret
每一個被引用的Secret都要在spec.volumes中定義
如果Pod中的多個容器都要引用這個Secret那麼每一個容器定義中都要指定自己的volumeMounts,但是Pod定義中宣告一次spec.volumes就好了。
對映secret key到指定的路徑
可以控制secret key被對映到容器內的路徑,利用spec.volumes[].secret.items來修改被對映的具體路徑
apiVersion: v1
kind: Pod
metadata:
name: mypod
spec:
containers:
- name: mypod
image: redis
volumeMounts:
- name: foo
mountPath: "/etc/foo"
readOnly: true
volumes:
- name: foo
secret:
secretName: mysecret
items:
- key: username
path: my-group/my-username
發生了什麼呢?
- username被對映到了檔案
/etc/foo/my-group/my-username而不是/etc/foo/username - password沒有變
Secret檔案許可權
可以指定secret檔案的許可權,類似linux系統檔案許可權,如果不指定預設許可權是0644,等同於linux檔案的-rw-r--r--許可權
設定預設許可權位
apiVersion: v1
kind: Pod
metadata:
name: mypod
spec:
containers:
- name: mypod
image: redis
volumeMounts:
- name: foo
mountPath: "/etc/foo"
volumes:
- name: foo
secret:
secretName: mysecret
defaultMode: 256
上述檔案表示將secret掛載到容器的/etc/foo路徑,每一個key衍生出的檔案,許可權位都將是0400
由於JSON不支援八進位制數字,因此用十進位制數256表示0400,如果用yaml格式的檔案那麼就很自然的使用八進位制了
同理可以單獨指定某個key的許可權
apiVersion: v1
kind: Pod
metadata:
name: mypod
spec:
containers:
- name: mypod
image: redis
volumeMounts:
- name: foo
mountPath: "/etc/foo"
volumes:
- name: foo
secret:
secretName: mysecret
items:
- key: username
path: my-group/my-username
mode: 511
從volume中讀取secret的值
值得注意的一點是,以檔案的形式掛載到容器中的secret,他們的值已經是經過base64解碼的了,可以直接讀出來使用。
$ ls /etc/foo/ username password $ cat /etc/foo/username admin $ cat /etc/foo/password 1f2d1e2e67df
被掛載的secret內容自動更新
也就是如果修改一個Secret的內容,那麼掛載了該Secret的容器中也將會取到更新後的值,但是這個時間間隔是由kubelet的同步時間決定的。最長的時間將是一個同步週期加上快取生命週期(period+ttl)
特例:以subPath形式掛載到容器中的secret將不會自動更新
以環境變數的形式使用Secret
- 建立一個Secret,多個Pod可以引用同一個Secret
- 修改pod的定義,定義環境變數並使用
env[].valueFrom.secretKeyRef指定secret和相應的key - 修改映象或命令列,讓它們可以讀到環境變數
apiVersion: v1
kind: Pod
metadata:
name: secret-env-pod
spec:
containers:
- name: mycontainer
image: redis
env:
- name: SECRET_USERNAME
valueFrom:
secretKeyRef:
name: mysecret
key: username
- name: SECRET_PASSWORD
valueFrom:
secretKeyRef:
name: mysecret
key: password
restartPolicy: Never
容器中讀取環境變數,已經是base64解碼後的值了:
$ echo $SECRET_USERNAME admin $ echo $SECRET_PASSWORD 1f2d1e2e67df
使用imagePullSecrets
建立一個專門用來訪問映象倉庫的secret,當建立Pod的時候由kubelet訪問映象倉庫並拉取映象,具體描述文件在 這裡
設定自動匯入的imagePullSecrets
可以手動建立一個,然後在serviceAccount中引用它。所有經過這個serviceAccount建立的Pod都會預設使用關聯的imagePullSecrets來拉取映象,
&n