配置资源管理

一 Secret

Secret 是用来保存密码、token、密钥等敏感数据的 k8s 资源，这类数据虽然也可以存放在 Pod 或者镜像中，但是放在 Secret 中是为了更方便的控制如何使用数据，并减少暴露的风险。

 1 有三种类型： 

kubernetes.io/service-account-token：由 Kubernetes 自动创建，用来访问 APIServer 的 Secret，Pod 会默认使用这个 Secret 与 APIServer 通信， 并且会自动挂载到 Pod 的 /run/secrets/kubernetes.io/serviceaccount 目录中;

Opaque ：base64 编码格式的 Secret，用来存储用户自定义的密码、密钥等，默认的 Secret 类                                                                                                                                                      型;
kubernetes.io/dockerconfigjson ：用来存储私有 docker registry 的认证信息。

2 Pod 需要先引用才能使用某个 secret，Pod 有 3 种方式来使用 secret：

• 作为挂载到一个或多个容器上的卷 中的文件。
• 作为容器的环境变量。
• 由 kubelet 在为 Pod 拉取镜像时使用。

应用场景：凭据

https://kubernetes.io/docs/concepts/configuration/secret/

二 创建 Secret

1 用kubectl create secret命令创建Secret 

创建 Secret
1、用kubectl create secret命令创建Secret
echo -n 'zhangsan' > username.txt
echo -n 'abc1234' > password.txtkubectl create secret generic mysecret --from-file=username.txt --from-file=password.txtkubectl get secrets
NAME                  TYPE                                  DATA   AGE
default-token-8pqp6   kubernetes.io/service-account-token   3      3d1h
mysecret              Opaque                                2      51skubectl describe secret mysecret
Name:         mysecret
Namespace:    default
Labels:       <none>
Annotations:  <none>Type:  OpaqueData
====
password.txt:  7 bytes
username.txt:  8 bytes
//get或describe指令都不会展示secret的实际内容，这是出于对数据的保护的考虑

 2 内容用 base64 编码，创建Secret

2、内容用 base64 编码，创建Secret
echo -n zhangsan | base64
emhhbmdzYW4K=echo -n abc1234 | base64
YWJjMTIzNAo==vim secret.yaml
apiVersion: v1
kind: Secret
metadata:name: mysecret1
type: Opaque
data:username: emhhbmdzYW4K=password: YWJjMTIzNAo==kubectl create -f secret.yaml kubectl get secrets
NAME                  TYPE                                  DATA   AGE
default-token-8pqp6   kubernetes.io/service-account-token   3      3d1h
mysecret              Opaque                                2      43m
mysecret1             Opaque                                2      6skubectl get secret mysecret1 -o yaml
apiVersion: v1
data:password: YWJjMTIzNAo==username: emhhbmdzYW4K=
kind: Secret
metadata:creationTimestamp: 2021-05-24T09:11:18Zname: mysecret1namespace: defaultresourceVersion: "45641"selfLink: /api/v1/namespaces/default/secrets/mysecret1uid: fffb7902-bc6f-11eb-acba-000c29d88bba
type: Opaque

3  用挂在存储方式 

将 Secret 挂载到 Volume 中，以 Volume 的形式挂载到 Pod 的某个目录下

使用方式 
1、将 Secret 挂载到 Volume 中，以 Volume 的形式挂载到 Pod 的某个目录下
vim secret-test.yaml
apiVersion: v1
kind: Pod
metadata:name: mypod
spec:containers:- name: nginximage: nginxvolumeMounts:- name: secretsmountPath: "/etc/secrets"readOnly: truevolumes:- name: secretssecret:secretName: mysecretkubectl create -f secret-test.yamlkubectl get pods
NAME         READY   STATUS    RESTARTS   AGE
seret-test   1/1     Running   0          16skubectl exec -it seret-test bash# cd /etc/secrets/# ls
password.txt  username.txt# vi password.txt # vi username.txt 

错误总结 

kubectl exec -it seret-test bash

实践版

apiVersion: v1
kind: Pod
metadata:labels:run: myapp-demo01name: myapp-demo01
spec:containers:- image: soscscs/myapp:v1name: myapp-demo01ports:- containerPort: 80volumeMounts:- name: mysecretmountPath: "/etc/secret"readOnly: truerestartPolicy: Alwaysvolumes:- name: mysecretsecret:secretName: mysecret

 

4  将 Secret 导出到环境变量中

vim secret-test1.yaml
apiVersion: v1
kind: Pod
metadata:name: mypod1
spec:containers:- name: nginximage: nginxenv:- name: TEST_USERvalueFrom:secretKeyRef:    #调用键值对name: mysecret1key: username- name: TEST_PASSWORD  #变量valueFrom:secretKeyRef:name: mysecret1key: passwordkubectl apply -f secret-test1.yaml 

项目2

apiVersion: v1
kind: Pod
metadata:labels:run: myapp-demo02name: myapp-demo02
spec:containers:- image: soscscs/myapp:v1name: myapp-demo02env:- name: TEST_USERvalueFrom:secretKeyRef:name: mysecret01key: username- name: TEST_PASSWORDvalueFrom:secretKeyRef:name: mysecret01key: password
~                           

文件读取 挂在变量 

kubectl exec -it myapp demo03-pod-sc.yaml

echo $TEST_USER

echo $TEST_PASSWORD

或  env|TEST

中类型secret1  0paque 通用类型(可以通过文件 目录、变量创建)默认类型2  kubernetes,io/service-account-token k8s自动创建的给serviceaccountza在k8s集群内部的专属服务 用户)访问APiserver 使用3  kubernetes.io/dockerconfigison 给k8s 从harbor私有镜像介库去镜像认证使用的4  kubernetes.io/tls 通过TLS 证书来认证的 (私有文件、秘钥)陈述式还可以多次使用，也可以指定多个文件目录kubectl cerate secretgeneric --from-file=文件指定文件名(把 目录下的所有文件引用进去)----from-literal-键值对(key-value)引用 一个键值对，也可以多次挂载的方式定义类型secret 的存储卷volumesvolumeMounts 把存储卷挂载到容器目录，secret资源数据中的键 将以文件名的形式显示，值文件内容容器环境变量的方式eny 
定义容器的环境变量名
使用 valueFrom.secretKeyRef.name指定secret资源的名称
valuerrom.secretKevRef.name指定这个secret资源数据的健名，从而确定引用那个键的值
k8s从hatbor私有仓库拉取镜像的时使用
imagePullsecret指定kubernetes.io/dockerconfigjson类型的 secret 来作为连接私有仓库的认证信息

三 创建ConfigMap

管理容器的一种工具

与Secret类似，区别在于ConfigMap保存的是不需要加密配置的信息。
ConfigMap 功能在 Kubernetes1.2 版本中引入，许多应用程序会从配置文件、命令行参数或环境变量中读取配置信息。

ConfigMap API 给我们提供了向容器中注入配置信息的机制，ConfigMap 可以被用来保存单个属性，也可以用来保存整个配置文件或者JSON二进制大对象。
应用场景：应用配置

1 使用目录创建

mkdir /opt/configmap/vim /opt/configmap/game.properties
enemies=aliens
lives=3
enemies.cheat=true
enemies.cheat.level=noGoodRotten
secret.code.passphrase=UUDDLRLRBABAS
secret.code.allowed=true
secret.code.lives=30vim /opt/configmap/ui.properties
color.good=purple
color.bad=yellow
allow.textmode=true
how.nice.to.look=fairlyNice

ls /opt/configmap/
game.properties
ui.properties

kubectl create configmap game-config --from-file=/opt/configmap--from-file 指定在目录下的所有文件都会被用在 ConfigMap 里面创建一个键值对，键的名字就是文件名，值就是文件的内容

kubectl get cm
NAME          DATA   AGE
game-config   2      10s

 kubectl get cm game-config -o yaml

 2 使用文件创建

 只要指定为一个文件就可以从单个文件中创建 ConfigMap
--from-file 这个参数可以使用多次，即可以使用两次分别指定上个实例中的那两个配置文件，效果就跟指定整个目录是一样的