在日常单机甚至集群状态下,我们需要对一个应用进行配置,只需要修改其配置文件即可。那么在容器中又该如何提供配置信息呢???例如,为Nginx配置一个指定的server_name或worker进程数,为Tomcat的JVM配置其堆内存大小。
传统的实践过程中通常有以下几种方式:
而在Kubernetes系统之中也存在这样的组件,就是特殊的存储卷类型。其并不是提供pod存储空间,而是给管理员或用户提供从集群外部向Pod内部的应用注入配置信息的方式。这两种特殊类型的存储卷分别是:configMap和secret。
[root@k8s-master volumes]# kubectl explain pods.spec.volumes
......
configMap
Secret对象存储数据的方式是以键值方式存储数据,在Pod资源进行调用Secret的方式是通过环境变量或者存储卷的方式进行访问数据,解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中。另外,Secret对象的数据存储和打印格式为Base64编码的字符串,因此用户在创建Secret对象时,也需要提供该类型的编码格式的数据。在容器中以环境变量或存储卷的方式访问时,会自动解码为明文格式。需要注意的是,如果是在Master节点上,Secret对象以非加密的格式存储在etcd中,所以需要对etcd的管理和权限进行严格控制。
Secret有4种类型:
Service Account :用来访问Kubernetes API,由Kubernetes自动创建,并且会自动挂载到Pod的 /run/secrets/kubernetes.io/serviceaccount目录中;
Opaque:base64编码格式的Secret,用来存储密码、密钥、信息、证书等,类型标识符为generic;
kubernetes.io/dockerconfigjson:用来存储私有docker registry的认证信息,类型标识为docker-registry;
kubernetes.io/tls:用于为SSL通信模式存储证书和私钥文件,命令式创建类型标识为tls。
1、命令式创建
[root@master ~]# kubectl create secret generic mysecret --from-literal=username=admin --from-literal=password=123456
secret/mysecret created
[root@master ~]# kubectl get secret
NAME TYPE DATA AGE
mysecret Opaque 2 10s
[root@master ~]# echo -n admin > ./username
[root@master ~]# echo -n 123456 > ./password
[root@master ~]# kubectl create secret generic mysqlsecret --from-file=./username --from-file=./password
secret/mysqlsecret created
[root@master ~]# kubectl get secret
NAME TYPE DATA AGE
mysecret Opaque 2 5m6s
mysqlsecret Opaque 2 8s
[root@master ~]# cat env.txt
username=admin
password=123456
[root@master ~]# kubectl create secret generic redissecret --from-env-file=env.txt
secret/redissecret created
[root@master ~]# kubectl get secret
NAME TYPE DATA AGE
mysecret Opaque 2 9m15s
mysqlsecret Opaque 2 4m17s
redissecret Opaque 2 8s
2、清单式创建
[root@master secret]# vim secret-demo.yaml
apiVersion: v1
kind: Secret
metadata:
name: secret-demo
data:
username: YWRtaW4=
password: MTIzNDU2
[root@master secret]# kubectl apply -f secret-demo.yaml
secret/secret-demo created
[root@master secret]# kubectl get secret
NAME TYPE DATA AGE
mysecret Opaque 2 16m
mysqlsecret Opaque 2 11m
redissecret Opaque 2 7m6s
secret-demo Opaque 2 11s
[root@master secret]# kubectl describe secret secret-demo
Name: secret-demo
Namespace: default
Labels:
Annotations:
Type: Opaque
Data
====
password: 6 bytes
username: 5 bytes
[root@master secret]# kubectl edit secret secret-demo # 查看具体的value值
apiVersion: v1
data:
password: MTIzNDU2
username: YWRtaW4=
kind: Secret
metadata:
......
[root@master secret]# echo -n MTIzNDU2 | base64 --decode # 通过base64将value值反编码
123456
[root@master secret]# echo -n YWRtaW4= | base64 --decode
admin
Pod 可以通过 Volume 或者环境变量的方式使用 Secret。
[root@master secret]# vim pod-secret-demo.yaml
apiVersion: v1
kind: Pod
metadata:
name: pod-secret-demo
spec:
containers:
- name: pod-secret
image: busybox
args:
- /bin/sh
- -c
- sleep 10; touch /tmp/healthy; sleep 30000
volumeMounts: # 将 foo 挂载到容器路径 /etc/foo,可指定读写权限为 readOnly。
- name: foo
mountPath: "/etc/foo"
readOnly: true
volumes: # 定义 volume foo,来源为 secret/mysecret。
- name: foo
secret:
secretName: mysecret
[root@master secret]# kubectl apply -f pod-secret-demo.yaml
pod/pod-secret-demo created
[root@master secret]# kubectl get pods
NAME READY STATUS RESTARTS AGE
pod-secret-demo 1/1 Running 0 23s
[root@master secret]# kubectl exec -it pod-secret-demo -- /bin/sh
/ # cd /etc/foo
/etc/foo # ls
password username
/etc/foo # cat username
admin
/etc/foo # cat password
123456
可以看到,Kubernetes 会在指定的路径 /etc/foo 下为每条敏感数据创建一个文件,文件名就是数据条目的 Key,这里是 /etc/foo/username 和 /etc/foo/password,Value 则以明文存放在文件中。
也可以自定义存放数据的文件名,比如将配置文件改为:
[root@master secret]# vim pod-secret-demo.yaml
apiVersion: v1
kind: Pod
metadata:
name: pod-secret-demo
spec:
containers:
- name: pod-secret
image: busybox
args:
- /bin/sh
- -c
- sleep 10; touch /tmp/healthy; sleep 30000
volumeMounts: # 将 foo 挂载到容器路径 /etc/foo,可指定读写权限为 readOnly。
- name: foo
mountPath: "/etc/foo"
readOnly: true
volumes: # 定义 volume foo,来源为 secret/mysecret。
- name: foo
secret:
secretName: mysecret
items: # 自定义存放数据的文件名
- key: username
path: my-secret/my-username
- key: password
path: my-secret/my-password
[root@master secret]# kubectl delete -f pod-secret-demo.yaml
pod "pod-secret-demo" deleted
[root@master secret]# kubectl apply -f pod-secret-demo.yaml
pod/pod-secret-demo created
[root@master secret]# kubectl exec -it pod-secret-demo -- /bin/sh
/ # cat /etc/foo/my-secret/my-username
admin
/ # cat /etc/foo/my-secret/my-password
123456
这时数据将分别存放在 /etc/foo/my-secret/my-username 和 /etc/foo/my-secret/my-password 中。
以 Volume 方式使用的 Secret 支持动态更新:Secret 更新后,容器中的数据也会更新。
例如:将 password 更新为 abcdef,
[root@master secret]# echo -n abcdef | base64
YWJjZGVm
[root@master secret]# kubectl edit secret mysecret
apiVersion: v1
data:
password: YWJjZGVm
username: YWRtaW4=
kind: Secret
...
[root@master secret]# kubectl exec -it pod-secret-demo -- /bin/sh
/ # cat /etc/foo/my-secret/my-password
abcdef
通过 Volume 使用 Secret,容器必须从文件读取数据,会稍显麻烦,Kubernetes 还支持通过环境变量使用 Secret。
[root@master secret]# vim pod-secret-env-demo.yaml
apiVersion: v1
kind: Pod
metadata:
name: pod-secret-env-demo
spec:
containers:
- name: pod-secret-env
image: busybox
args:
- /bin/sh
- -c
- sleep 10; touch /tmp/healthy; sleep 30000
env:
- name: SECRET_USERNAME
valueFrom:
secretKeyRef:
name: mysecret
key: username
- name: SECRET_PASSWORD
valueFrom:
secretKeyRef:
name: mysecret
key: password
[root@master secret]# kubectl apply -f pod-secret-env-demo.yaml
pod/pod-secret-env-demo created
[root@master secret]# kubectl get pods
NAME READY STATUS RESTARTS AGE
pod-secret-demo 1/1 Running 0 17m
pod-secret-env-demo 1/1 Running 0 10s
[root@master secret]# kubectl exec -it pod-secret-env-demo -- /bin/sh
/ # echo $SECRET_USERNAME
admin
/ # echo $SECRET_PASSWORD
abcdef
/ #
通过环境变量 SECRET_USERNAME 和 SECRET_PASSWORD 成功读取到 Secret 的数据。
需要注意的是,环境变量读取 Secret 很方便,但无法支撑 Secret 动态更新。
Secret 可以为 Pod 提供密码、Token、私钥等敏感数据;对于一些非敏感数据,比如应用的配置信息,则可以用 ConfigMap。
很多情况下我们为某一应用做好镜像,当我们想修改其中的一些参数的时候,就变得比较麻烦,又要重新制作镜像,我们是不是有一种方式,让镜像根据不同的场景调用我们不同的配置文件呢,那我们就需要用到 k8s 的另外一种资源,那就是 ConfigMap。
我们知道,在几乎所有的应用开发中,都会涉及到配置文件的变更,比如说在web的程序中,需要连接数据库,缓存甚至是队列等等。而我们的一个应用程序从写第一行代码开始,要经历开发环境、测试环境、预发布环境只到最终的线上环境。而每一个环境都要定义其独立的各种配置。如果我们不能很好的管理这些配置文件,你的运维工作将顿时变的无比的繁琐。为此业内的一些大公司专门开发了自己的一套配置管理中心,如360的Qcon,百度的disconf等。kubernetes也提供了自己的一套方案,即ConfigMap。kubernetes通过ConfigMap来实现对容器中应用的配置管理。
configmap是让配置文件从镜像中解耦,让镜像的可移植性和可复制性。许多应用程序会从配置文件、命令行参数或环境变量中读取配置信息。这些配置信息需要与docker image解耦,你总不能每修改一个配置就重做一个image吧?ConfigMap API给我们提供了向容器中注入配置信息的机制,ConfigMap可以被用来保存单个属性,也可以用来保存整个配置文件或者JSON二进制大对象。
ConfigMap API资源用来保存key-value 形式的配置数据,这个数据可以在pod里使用,或者被用来为像controller一样的系统组件存储配置数据。虽然ConfigMap跟Secrets类似,但是ConfigMap更方便的处理不含敏感信息的字符串。 注意:ConfigMaps不是属性配置文件的替代品。ConfigMaps只是作为多个properties文件的引用。可以把它理解为Linux系统中的/etc目录,专门用来存储配置文件的目录。
[root@master volumes]# kubectl explain cm
KIND: ConfigMap
VERSION: v1
FIELDS:
apiVersion
binaryData
与 Secret 一样,ConfigMap 也支持四种创建方式:
[root@master ~]# kubectl create configmap nginx-config --from-literal=nginx_port=80 --from-literal=server_name=myapp.magedu.com
configmap/nginx-config created
[root@master ~]# kubectl get cm
NAME DATA AGE
nginx-config 2 3s
[root@master ~]# kubectl describe cm nginx-config
Name: nginx-config
Namespace: default
Labels:
Annotations:
Data
====
nginx_port:
----
80
server_name:
----
myapp.magedu.com
Events:
[root@master ~]# mkdir nginx-cm
[root@master ~]# cd nginx-cm
[root@master nginx-cm]# vim www.conf
server {
server_name myapp.magedu.com;
listen 80;
root /data/web/html;
}
[root@master nginx-cm]# kubectl create configmap nginx-www --from-file=./www.conf
configmap/nginx-www created
[root@master nginx-cm]# kubectl get cm
NAME DATA AGE
nginx-config 2 4m26s
nginx-www 1 14s
[root@master nginx-cm]# kubectl get cm nginx-www -o yaml
apiVersion: v1apiVersion: v1
data:
www.conf: |
server {
server_name myapp.magedu.com;
listen 80;
root /data/web/html;
}
kind: ConfigMap
metadata:
creationTimestamp: "2019-09-25T10:44:41Z"
name: nginx-www
namespace: default
resourceVersion: "354415"
selfLink: /api/v1/namespaces/default/configmaps/nginx-www
uid: 5d113a7a-96a1-4a95-adf7-5c3288ff8f1b
cat << EOF > env.txt
db.host=10.0.0.50
db.port=3306
EOF
kubectl create cm env-cm --from-env-file=env.txt
如果有多个env文件, 只有最后一个env文件会生效:
[root@master configmap_test]# cat game.properties
enemies=aliens
lives=3
enemies.cheat=true
enemies.cheat.level=noGoodRotten
secret.code.passphrase=UUDDLRLRBABAS
secret.code.allowed=true
secret.code.lives=30
[root@master configmap_test]# cat ui.properties
color.good=purple
color.bad=yellow
allow.textmode=true
how.nice.to.look=fairlyNice
# 执行命令创建configmap
kubectl create configmap configmap-env --from-env-file=./game.properties --from-env-file=./ui.properties
# 可以看到, 只有ui.properties生效了
[root@master configmap_test]# kubectl get configmaps configmap-env -o yaml
apiVersion: v1
data:
allow.textmode: "true"
color.bad: yellow
color.good: purple
how.nice.to.look: fairlyNice
kind: ConfigMap
metadata:
creationTimestamp: "2019-09-11T01:58:17Z"
name: configmap-env
namespace: default
resourceVersion: "186936"
selfLink: /api/v1/namespaces/default/configmaps/configmap-env
uid: 4e36009f-267c-4713-8a7a-99d8f6dd3039
[root@master configmap]# cat test.yaml
apiVersion: v1
kind: ConfigMap
metadata:
name: cm-4
data:
db.host: 10.0.0.50
db.port: "3306"
[root@master configmap]# kubectl apply -f test.yaml
[root@master configmap]# kubectl describe cm cm-4
Name: cm-4
Namespace: default
Labels:
Annotations: kubectl.kubernetes.io/last-applied-configuration:
{"apiVersion":"v1","data":{"db.host":"10.0.0.50","db.port":"3306"},"kind":"ConfigMap","metadata":{"annotations":{},"name":"cm-4","...
Data
====
db.host:
----
10.0.0.50
db.port:
----
3306
Events:
[root@master nginx-cm]# vim pod-configmap.yaml
apiVersion: v1
kind: Pod
metadata:
name: pod-cm-1
namespace: default
labels:
app: myapp
tier: frontend
annotations:
magedu.com/created-by: "cluster admin"
spec:
containers:
- name: myapp
image: ikubernetes/myapp:v1
ports:
- name: http
containerPort: 80
env:
- name: NGINX_SERVER_PORT
valueFrom:
configMapKeyRef:
name: nginx-config
key: nginx_port
- name: NGINX_SERVER_NAME
valueFrom:
configMapKeyRef:
name: nginx-config
key: server_name
[root@master nginx-cm]# kubectl apply -f pod-configmap.yaml
pod/pod-cm-1 created
[root@master nginx-cm]# date
Sun Sep 29 16:07:57 CST 2019
[root@master nginx-cm]# kubectl exec -it pod-cm-1 -- /bin/sh
/ # echo $NGINX_SERVER_PORT
80
/ # echo $NGINX_SERVER_NAME
myapp.magedu.com
修改端口,可以发现使用环境变化注入pod中的端口不会根据配置的更改而变化。
[root@master nginx-cm]# kubectl edit cm nginx-config
configmap/nginx-config edited
[root@master nginx-cm]# kubectl exec -it pod-cm-1 -- /bin/sh
/ # echo $NGINX_SERVER_PORT
80
[root@master configmap ~]# vim pod-configmap-2.yaml
apiVersion: v1
kind: Pod
metadata:
name: pod-cm-2
namespace: default
labels:
app: myapp
tier: frontend
annotations:
magedu.com/created-by: "cluster admin"
spec:
containers:
- name: myapp
image: ikubernetes/myapp:v1
ports:
- name: http
containerPort: 80
volumeMounts:
- name: nginxconf
mountPath: /etc/nginx/config.d/
readOnly: true
volumes:
- name: nginxconf
configMap:
name: nginx-config
[root@master configmap ~]# kubectl apply -f pod-configmap-2.yaml
pod/pod-cm-2 created
[root@master configmap ~]# kubectl exec -it pod-cm-2 -- /bin/sh
/ # cd /etc/nginx/config.d
/etc/nginx/config.d # cat nginx_port
80
/etc/nginx/config.d # cat server_name
myapp.magedu.com
[root@master configmap ~]# kubectl edit cm nginx-config # 修改端口,再进入容器中查看端口是否变化。
apiVersion: v1
data:
nginx_port: "800"
......
[root@master configmap ~]# kubectl exec -it pod-cm-2 -- /bin/sh
/ # cd /etc/nginx/config.d
/etc/nginx/config.d # cat nginx_port
800
[root@k8s-master configmap ~]# kubectl delete -f pod-configmap2.yaml
创建configmap
apiVersion: v1
kind: ConfigMap
metadata:
name: special-config
namespace: default
data:
SPECIAL_LEVEL: very
SPECIAL_TYPE: charm
将configmap中的SPECIAL_LEVEL
挂载到pod
中/etc/config/keys
apiVersion: v1
kind: Pod
metadata:
name: test-pod
spec:
containers:
- name: test-container
image: busybox
command: [ "/bin/sh","-c","sleep 3600"]
volumeMounts:
- name: config-volume
mountPath: /etc/config
volumes:
- name: config-volume
configMap:
name: special-config
items:
- key: SPECIAL_LEVEL
path: keys
可以看到已经生效了
[root@master configmap_test]# kubectl exec -ti test-pod -- /bin/sh
/ # cat /etc/config/keys
very