我们在kubernetes上部署应用的时候,经常会需要传一些配置给我们的应用,比如数据库地址啊,用户名密码啊之类的。我们要做到这个,有好多种方案,比如:
当然还有别的方案,但是各种方案都有各自的问题。
而且,还有一个问题就是,如果说我的一个配置,是要多个应用一起使用的,以上除了第三种方案,都没办法进行配置的共享,就是说我如果要改配置的话,那得一个一个手动改。假如我们有100个应用,就得改100份配置,以此类推……
kubernetes对这个问题提供了一个很好的解决方案,就是用ConfigMap和Secret。
ConfigMap让我们能够从容器镜像中把配置的详细信息给解耦出来。通过ConfigMap我们能够把配置以key-value对的形式传递到container或者别的系统组件(比如Controller)里面。我们可以通过两种方式来创建ConfigMap:
我们可以用kubectl create来创建一个ConfigMap,然后通过kubectl get来获取:
# Create the ConfigMap $ kubectl create configmap my-config --from-literal=key1=value1 --from-literal=key2=value2 configmap "my-config" created # Get the ConfigMap Details for my-config $ kubectl get configmaps my-config -o yaml apiVersion: v1 data: key1: value1 key2: value2 kind: ConfigMap metadata: creationTimestamp: 2017-05-31T07:21:55Z name: my-config namespace: default resourceVersion: "241345" selfLink: /api/v1/namespaces/default/configmaps/my-config uid: d35f0a3d-45d1-11e7-9e62-080027a46057
-o yaml的作用是通过yaml的形式来返回我们所要求的配置信息。
除了上面的方式,我们还可以直接通过配置文件来创建(好吧,虽然我感觉是同一种,只不过是放到文件里面了而已……),首先,我们得有一个配置文件,假设名字叫做myconfigmap.yaml:
apiVersion: v1 kind: ConfigMap metadata: name: customer1 data: TEXT1: Customer1_Company TEXT2: Welcomes You COMPANY: Customer1 Company Technology Pct. Ltd.
然后,我们可以通过kubectl create -f来创建:
$ kubectl create -f myconfigmap.yaml configmap "customer1" created
我们可以有两种方法来使用ConfigMap:
我们可以设置env从ConfigMap读取:
.... containers: - name: rsvp-app image: teamcloudyuga/rsvpapp env: - name: MONGODB_HOST value: mongodb - name: TEXT1 valueFrom: configMapKeyRef: name: customer1 key: TEXT1 - name: TEXT2 valueFrom: configMapKeyRef: name: customer1 key: TEXT2 - name: COMPANY valueFrom: configMapKeyRef: name: customer1 key: COMPANY ....
这样,我们的container就可以读取到ConfigMap里面存储的信息了。
不过一般情况下,我个人推荐使用另一种方式:
这种方式我比较推荐,因为随着ConfigMap被修改(比如你想要更新一些设置),container里面对应的文件内容也会被修改,这样可以不用重启Container就让应用能够得到最新的配置信息。
这个内容需要一些Volume相关的知识,在此不做更多讲解,大家可以去参考官方文档。
通过上面的部分,我们可以看到ConfigMap是用来做一些配置信息的,那么如果我们有一些机密信息比如说密钥、密码之类的信息,应该存在哪里呢?看到这个名字大家应该就明白了吧,kubernetes提供了Secret来存储相关的信息。
具体为什么要存在Secret里面,Secret和ConfigMap有什么区别,后面会讲到。
我们可以通过kubectl create secret来通过一个文件创建一个secret,如下:
# Create a file with password $ echo 'mysqlpassword' > password.txt # Make sure there is no trailing newline in the file, after our password. # To remove any newline, we can use the tr command: $ tr -Ccsu '\n' < password.txt > .strippedpassword.txt && mv .strippedpassword.txt password.txt # Create the Secret $ kubectl create secret generic my-password --from-file=password.txt secret "my-password" created
我们也可以手动创建一个Secret,不过要注意,所有的secret的data都要以base64进行加密:
$ cat password.txt | base64 bXlzcWxwYXN3b3JkCg== # and then use it in the configuration file: apiVersion: v1 kind: Secret metadata: name: my-password type: Opaque data: password: bXlzcWxwYXN3b3JkCg==
我们可以通过get和describe来获取Secret,不过我们发现,kubectl并没有向我们返回Secret具体的内容:
$ kubectl get secret my-password NAME TYPE DATA AGE my-password Opaque 1 8m $ kubectl describe secret my-password Name: my-password Namespace: default Labels:Annotations: Type Opaque Data ==== password.txt: 13 bytes
和ConfigMap一样,我们可以通过设置成env或者挂载成volume来使容器可以使用我们的secret。
具体格式如下:
.... spec: containers: - image: wordpress:4.7.3-apache name: wordpress env: - name: WORDPRESS_DB_HOST value: wordpress-mysql - name: WORDPRESS_DB_PASSWORD valueFrom: secretKeyRef: name: my-password key: password.txt .....
关于如何在Volume中使用的还是需要自行查询文档学习。
好了,总算正文部分完了,可以讲讲Secret和ConfigMap的关系了,以及讲讲Secret到底有多扯淡……
其实目前Secret的实现,就是ConfigMap把value用base64 encode了一下……
所以,其实不存在任何安全性……
只要decode一下就能出现原来结果,相当于明文存储……
base64这玩意儿都不能叫做加密,只能叫做编码……
所以我们都不说encrypt,而是encode和decode……
当然,k8s社区有在计划对Secret进行下一步的安全性增强,当然这是后话了……
反正目前为止,Secret基本和ConfigMap一样是明文存储……
知道有多扯淡了吧……
本文转自kubernetes中文社区-kubernetes 中的 ConfigMap 和 Secret