91超碰碰碰碰久久久久久综合_超碰av人澡人澡人澡人澡人掠_国产黄大片在线观看画质优化_txt小说免费全本

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

Kubernetes的Secret與ConfigM是什么

發布時間:2020-05-29 20:23:54 來源:億速云 閱讀:299 作者:鴿子 欄目:云計算

ConfigMap和Secret是Kubernetes中兩種特殊類型的存儲卷,ConfigMap這種資源對象主要用于提供配置數據以定制程序行為,不過一些敏感的配置信息,比如像用戶名、密碼、密鑰等通常都是由Secret這種資源對象來進行配置的,他們將相應的配置信息保存于對象中,而后在Pod資源上以存儲卷的形式將其掛載并獲取相應配置,以實現配置與鏡像文件的解耦。

一、Secret資源對象

1) Secret概述

Secret資源對象存儲數據的方式是以鍵值對的方式進行存儲的,在Pod資源進行Secret的方式是通過環境變量或存儲卷的方式進行訪問數據,解決了密碼、token、密鑰等敏感數據的配置問題,而不需要將這些敏感數據暴露到鏡像或者Pod的spec字段中。另外,Secret對象的數據存儲和打印格式為Base64編碼的字符串,因此用戶在創建Secret對象時,也需要提供該類型的編碼格式的數據。在容器中以環境變量或存儲卷的方式訪問時,會自動解碼為明文格式。需要注意的是,如果是在Master節點上,Secret對象以非加密的格式存儲在etcd中,所以需要對etcd的管理和權限進行嚴格控制。

2)Secret資源的類型

Secret有四種類型:
1)Service Account :用來訪問Kubernetes API,由Kubernetes自動創建,并且會自動掛載到Pod的/run/secrets/kubernetes.io/serviceaccount目錄中;
2)Opaque :base64編碼格式的Secret,用來存儲密碼、密鑰、信息、證書等,類型標識符為generic;
3)kubernetes.io/dockerconfigjson :用來存儲私有docker registry的認證信息,類型標識為docker-registry;
4)kubernetes.io/tls:用于為SSL通信模式存儲證書和私鑰文件,命令式創建類型標識為tls;

3)創建Secret的方式

假設存儲的數據是:
username:root
password:123.com
以下的存儲方式都是存儲該信息!

1)使用--from-literal(文字)的方式
[root@master ~]# kubectl create secret generic mysecret01 --from-literal=username=root --from-literal=password=123.com
#創建一個secret資源對象,名稱為mysecret01,采用的加密方式是generic(通用的、一般的加密方式)
#注意:這種方式每一條只能保存一條信息
[root@master ~]# kubectl get secrets mysecret01 
NAME         TYPE     DATA   AGE
mysecret01   Opaque   2      25s
[root@master ~]# kubectl describe secrets mysecret01     #查看該資源的詳細信息
Name:         mysecret01
Namespace:    default
Labels:       <none>
Annotations:  <none>

Type:  Opaque                         #不透明的,看不到的

Data
====
password:  7 bytes                     #只能查看鍵的名稱,無法查看到鍵對應的值
username:  4 bytes
[root@master ~]# kubectl get secrets mysecret01 -o yaml            
#將該資源以yaml文件的方式進行顯示
apiVersion: v1
data:
  password: MTIzLmNvbQ==                       #鍵對應的值都是亂碼,加密使用的是base64編碼格式
  username: cm9vdA==
kind: Secret
metadata:
  creationTimestamp: "2020-02-14T10:08:21Z"
  name: mysecret01
  namespace: default
  resourceVersion: "2474"
  selfLink: /api/v1/namespaces/default/secrets/mysecret01
  uid: 1aee0635-7bfb-4e8a-a21e-be993e534156
type: Opaque
[root@master ~]# echo -n cm9vdAo= | base64 --d              #將亂碼解碼后的結果
root
[root@master ~]# echo -n MTIzLmNvbQ== | base64 --d
123.com
2)使用--from-file(文件)的方式

這種方式更第一種方式差不多,可能稍微顯得麻煩一些!

[root@master ~]# echo root > username
[root@master ~]# echo 123.com > password
#需要先將要存儲的鍵值對寫入到文件中,并且每個文件只能寫入一個值
[root@master ~]# kubectl create secret generic mysecret02 --from-file=username --from-file=password
[root@master ~]# rm -rf username password              
#即使文件刪除之后,該資源鍵對應的值依然也是存在的
[root@master ~]# kubectl get secrets mysecret02
NAME         TYPE     DATA   AGE
mysecret02   Opaque   2      58s
[root@master ~]# kubectl describe secrets mysecret02
Name:         mysecret02
Namespace:    default
Labels:       <none>
Annotations:  <none>

Type:  Opaque

Data
====
password:  8 bytes
username:  5 bytes
3)通過 --from-env-file(環境變量)的方式

這種方式可以在同一個文件中寫入多個鍵值對,推薦使用!

[root@master ~]# tee  env.txt <<EOF            #將多個需要存儲的鍵值寫入同一個文件中
 username=root
 password=123.com
 EOF
[root@master ~]# kubectl create secret generic mysecret03 --from-env-file=env.txt
secret/mysecret03 created
[root@master ~]# kubectl get secrets mysecret03
NAME         TYPE     DATA   AGE
mysecret03   Opaque   2      19s
[root@master ~]# kubectl describe secrets mysecret03
Name:         mysecret03
Namespace:    default
Labels:       <none>
Annotations:  <none>

Type:  Opaque

Data
====
username:  4 bytes
password:  7 bytes
4)通過yaml文件的方式
 [root@master ~]# echo root | base64                  #需要將鍵對應的值進行加密
cm9vdAo=
[root@master ~]# echo 123.com | base64
MTIzLmNvbQo=
[root@master ~]# vim secret.yaml  
apiVersion: v1
kind: Secret
metadata:
  name: mysecret04
data:
  username: cm9vdAo=                            #將加密后的值寫到配置文件中
  password: MTIzLmNvbQo=
[root@master ~]# kubectl apply -f secret.yaml
[root@master ~]# kubectl get secrets mysecret04
NAME         TYPE     DATA   AGE
mysecret04   Opaque   2      118s
[root@master ~]# kubectl describe secrets mysecret04
Name:         mysecret04
Namespace:    default
Labels:       <none>
Annotations:  
Type:         Opaque

Data
====
password:  8 bytes
username:  5 bytes

4)Secret資源的使用方式

1)以volume掛載的方式使用
[root@master ~]# vim secret-pod01.yaml
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: mypod
    image: busybox
    args:
      - /bin/sh
      - -c
      - sleep 3000000                  #以上字段僅僅是創建一個容器
    volumeMounts:
    - name: secret-test
      mountPath: "/etc/secret-test"                  #指定容器中的目錄
      readOnly: true                                         #以只讀的方式掛載
  volumes:
  - name: secret-test
    secret:
      secretName: mysecret04          #指定的是已有的secret資源的名稱
[root@master ~]# kubectl apply -f secret-pod01.yaml 
[root@master ~]# kubectl exec -it mypod /bin/sh        #進入容器
/ # cat -n /etc/secret-test/username /etc/secret-test/password     #查看對應的目錄是否存在數據
     1  root
     2  123.com
#而且是已經解密后的數據         
/ # echo 12324235532 > /etc/secret-test/username 
/bin/sh: can't create /etc/secret-test/username: Read-only file system

現在,我們可以驗證一下,如果此時更改secret04的內容,那么容器內對應的掛載目錄下的內容是否更改?

[root@master ~]# echo zhangsan | base64
emhhbmdzYW4K
[root@master ~]# echo 123456 | base64
MTIzNDU2Cg==
[root@master ~]# vim secret.yaml 
apiVersion: v1
kind: Secret
metadata:
  name: mysecret04
data:
  username: emhhbmdzYW4K
  password: MTIzNDU2Cg==
[root@master ~]# kubectl apply -f secret.yaml 
[root@master ~]# kubectl exec -it mypod /bin/sh
/ # cat -n /etc/secret-test/username /etc/secret-test/password 
     1  zhangsan
     2  123456
#再次查看容器中數據,發現已經發生了變化!    

注意:如果采用volume掛載的方式調用secert存儲的值,容器內的值會隨著secert存儲的值發生改變而變化!

2)用環境變量的方式運行
[root@master ~]# vim secret-pod02.yaml 
apiVersion: v1
kind: Pod
metadata:
  name: mypod2
spec:
  containers:
  - name: mypod
    image: busybox
    args:
      - /bin/sh
      - -c
      - sleep 3000000
    env:                                   #設置環境變量
      - name: SECRET_USERNAME               #指容器中的變量名稱
        valueFrom:
          secretKeyRef:
            name: mysecret02                 #調用的是mysecret02 
            key: username                       #對應的是mysecret02中username對應的值
      - name: SECRET_PASSWORD     #同上
        valueFrom:
          secretKeyRef:
            name: mysecret02
            key: password
[root@master ~]# kubectl apply -f secret-pod02.yaml
[root@master ~]# kubectl exec -it mypod2 /bin/sh
/ # echo ${SECRET_USERNAME}
root
/ # echo ${SECRET_PASSWORD}
123.com
#進入容器之后,查看變量對應的值

注意:如果采用變量的方式調用secert存儲的值,容器內的變量值并不會隨著secert存儲的值發生改變,除非重新生成pod。

二、ConfigMap資源對象

1)ConfigMap概述

我們知道,在幾乎所有的應用開發中,都會涉及到配置文件的變更,比如說在web的程序中,需要連接數據庫,緩存甚至是隊列等等。而我們的一個應用程序從寫第一行代碼開始,要經歷開發環境、測試環境、預發布環境只到最終的線上環境。而每一個環境都要定義其獨立的各種配置。如果我們不能很好的管理這些配置文件,你的運維工作將頓時變的無比的繁瑣。為此業內的一些大公司專門開發了自己的一套配置管理中心,如360的Qcon,百度的disconf等。kubernetes也提供了自己的一套方案,即ConfigMap。kubernetes通過ConfigMap來實現對容器中應用的配置管理。

2)ConfigMap的創建方式

其實configMap和secert資源對象的創建方式完全一樣!

1)通過--from-literal的方式
[root@master ~]# kubectl create configmap configmap01 --from-literal=username=root --from-literal=password=123.com
#創建一個configmap資源,名稱為configmap01
[root@master ~]# kubectl describe configmaps configmap01 
Name:         configmap01
Namespace:    default
Labels:       <none>
Annotations:  <none>

Data      #可以很明確的看出存儲的鍵對應的值,所以一般用于存儲配置文件信息
====
password:
----
123.com
username:
----
root
Events:  <none>
2)通過--from-file的方式
[root@master ~]# echo root > username
[root@master ~]# echo 123.com > password
[root@master ~]# kubectl create configmap configmap02 --from-file=username --from-file=password
configmap/configmap02 created
[root@master ~]# kubectl describe configmaps configmap02
Name:         configmap02
Namespace:    default
Labels:       <none>
Annotations:  <none>

Data
====
password:
----
123.com

username:
----
root

Events:  <none>
3)通過--from-env-file的方式
[root@master ~]# tee 123.txt <<EOF
> username=root
> password=123.com
> EOF
[root@master ~]# kubectl create configmap configmap03 --from-env-file=123.txt
configmap/configmap03 created
[root@master ~]# kubectl describe configmaps configmap03
Name:         configmap03
Namespace:    default
Labels:       <none>
Annotations:  <none>

Data
====
username:
----
root
password:
----
123.com
Events:  <none>
4)通過yaml文件的方式
[root@master ~]# vim configmap.yaml
apiVersion: v1
kind: ConfigMap
metadata:
  name: configmap04
data: 
  username: root                       #configmap使用yaml文件進行創建時,鍵對應的值無需事先加密
  password: 123.com                     #對應的值如果是數字,則需要單引號引起
[root@master ~]# kubectl apply -f configmap.yaml
[root@master ~]# kubectl describe configmaps configmap04
Name:         configmap04
Namespace:    default
Labels:       <none>
Annotations:  kubectl.kubernetes.io/last-applied-configuration:
                {"apiVersion":"v1","data":{"password":"123.com","username":"root"},"kind":"ConfigMap","metadata":{"annotations":{},"name":"configmap04","n...

Data
====
password:
----
123.com
username:
----
root
Events:  <none>

3)ConfigMap的使用方式

1)以volume掛載的方式使用
[root@master ~]# vim configmap-pod01.yaml
apiVersion: v1
kind: Pod
metadata:
  name: configmap-pod01
spec:
  containers:
  - name: configmap-pod01
    image: busybox
    args:
      - /bin/sh
      - -c
      - sleep 3000000
    volumeMounts:
    - name: configmap-test
      mountPath: "/etc/configmap-test"
      readOnly: true
  volumes:
  - name: configmap-test
    configMap:
      name: configmap01
[root@master ~]# kubectl apply -f configmap-pod01.yaml
[root@master ~]# kubectl exec -it configmap-pod01 /bin/sh
/ # cat -n /etc/configmap-test/username /etc/configmap-test/password
     1  root
     2  123.com

ConfigMap資源采用volume掛載的方式,與Secret資源采用volume掛載的方式幾乎是一樣的,會隨著源數據的變化而變化!

2)用環境變量的方式運行
[root@master ~]# vim configmap-pod02.yaml
apiVersion: v1
kind: Pod
metadata:
  name: configmap-pod02
spec:
  containers:
  - name: configmap-pod02
    image: busybox
    args:
      - /bin/sh
      - -c
      - sleep 3000000
    env:
      - name: CONFIGMAP_USERNAME
        valueFrom:
          configMapKeyRef:
            name: configmap04
            key: username                   #調用的是configmap04中username的值
      - name: CONFIGMAP_PASSWORD
        valueFrom:
          configMapKeyRef:
            name: configmap04
            key: password
[root@master ~]# kubectl apply -f configmap-pod02.yaml                      
[root@master ~]# kubectl exec -it configmap-pod02 /bin/sh
/ # echo ${CONFIGMAP_USERNAME}
root
/ # echo ${CONFIGMAP_PASSWORD}
123.com

ConfigMap資源采用環境變量的方式,與Secret資源采用變量變量的方式幾乎是一樣的,不會隨著源數據的變化!

三、Secret與ConfigMap的異同點

1)相同點

都是用來保存輕量級信息的,可以供其他資源對象(Deployment、RC、RS和POd)進行掛載使用。
這兩種資源對象的創建方法(4種)及引用方法(2種)都是一樣的,都是以鍵值對的方式進行存儲的。

2)不同點

Secret是用來保存敏感信息的,而configMap是用來保存一些不太重要的數據的,具體表現在當我們執行“kubectl describe ....”命令時,Secret這種類型的資源對象時查看不到其具體的信息的,而configMap是可以查看到其保存的具體內容的。

3)注意事項

1)Secret、ConfigMap必須在Pod之前創建;
2)只有與當前Secret、ConfigMap在同一個namespace內的pod才能使用這個Secret、ConfigMap,換句話說,Secret、ConfigMap不能跨命名空間調用。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

随州市| 宁阳县| 错那县| 基隆市| 清苑县| 万宁市| 修水县| 隆子县| 壶关县| 闸北区| 莱芜市| 顺昌县| 福州市| 嘉定区| 积石山| 丹凤县| 临澧县| 潮州市| 达拉特旗| 桦川县| 瑞金市| 松阳县| 盐山县| 拜城县| 丰城市| 阿荣旗| 新邵县| 清水河县| 永兴县| 拜城县| 斗六市| 安徽省| 资源县| 治县。| 鄂州市| 绥阳县| 额敏县| 山西省| 建德市| 南昌市| 信宜市|