Kubernetes（k8s）配置管理ConfigMap&Secret

ConfigMap

一、ConfigMap的几种形式：

1)查看帮助：

kubectl create configmap -h

2)通过文件夹创建：

kubectl create cm cmfromdir --from-file=conf/ 

3)通过文件创建：

kubectl create cm cmfromfile --from-file=conf/redis.conf 

4)通过文件创建（另起别名）

kubectl create cm cmspecialname --from-file=game-conf=game.conf
kubectl create cm cmspecialname2 --from-file=game-conf=game.conf  --from-file=redis-conf=redis.conf

5)通过环境变量创建

kubectl create cm gameenvcm --from-env-file=game.conf
kubectl  create cm envfromliteral --from-literal=level=INFO --from-literal=PASSWORD=redis123

6)通过配置文件创建

kubectl  create -f cm.yaml

二、环境变量定义

1、使用valueFrom定义

1)创建deployment资源文件

kubectl create deploy dp-cm \ 
--image=registry.cn-beijing.aliyuncs.com/dotbalo/nginx \
--dry-run=client -oyaml > dp-cm.yaml

2)定义环境变量configmap

env:
  - name: TEST_ENV
    value: testenv
  - name: LIVES
    valueFrom:
      configMapKeyRef:
        name: gameenvcm
        key: lives
  - name: test_env
    valueFrom:
      configMapKeyRef:
        name: gameenvcm
        key: test_env

2、使用envFrom定义环境变量

1)envFrom定义

containers:
  - image: registry.cn-beijing.aliyuncs.com/dotbalo/nginx 
    name: nginx
    envFrom:
    - configMapRef:
        name: gameenvcm
      prefix: fromCm_
    env:
    - name: TEST_ENV
      value: testenv
    - name: LIVES
      valueFrom:
        configMapKeyRef:
          name: gameenvcm
          key: lives

三、以文件的形式挂载ConfigMap

spec:
  containers:
    - image: registry.cn-beijing.aliyuncs.com/dotbalo/nginx 
      name: nginx
      volumeMounts:
        - name: redisconf
          mountPath: /etc/config
        - name: cmfromfile 
          mountPath: /etc/config2
  volumes:
    - name: redisconf
      configMap:
        name: redis-conf
    - name: cmfromfile
      configMap:
        name: cmfromfile

四、自定义挂载权限及名称

volumes:
  - name: redisconf
    configMap:
      name: redis-conf
  - name: cmfromfile
    configMap:
      name: cmfromfile
      items:
        - key: redis.conf
          path: redis.conf.bak
        - key: redis.conf
          path: redis.conf.bak2
          mode: 0644 # 优先级高
      defaultMode: 0666  # 328

Secret

一、Secret常用类型：

` Opaque：通用型Secret，默认类型；`
` kubernetes.io/service-account-token：作用于ServiceAccount，包含一个令牌，用于标识API服务账户；`
` kubernetes.io/dockerconfigjson：下载私有仓库镜像使用的Secret，和宿主机的/root/.docker/config.json一致，宿主机登录后即可产生该文件；`
kubernetes.io/basic-auth：用于使用基本认证（账号密码）的Secret，可以使用Opaque取代；
kubernetes.io/ssh-auth：用于存储ssh密钥的Secret；
kubernetes.io/tls：用于存储HTTPS域名证书文件的Secret，可以被Ingress使用；
bootstrap.kubernetes.io/token：一种简单的 bearer token，用于创建新集群或将新节点添加到现有集群，在集群安装时可用于自动颁发集群的证书。

二、使用Secret拉取私有仓库镜像

1)创建Secret私有仓库：
docker-registry：指定Secret的类型
myregistrykey： Secret名称
DOCKER_REGISTRY_SERVER：镜像仓库地址
DOCKER_USER：镜像仓库用户名，需要有拉取镜像的权限
DOCKER_PASSWORD：镜像仓库密码
DOCKER_EMAIL：邮箱信息，可以为空

kubectl create secret docker-registry myregistrykey \
--docker-server=DOCKER_REGISTRY_SERVER \
--docker-username=DOCKER_USER \
--docker-password=DOCKER_PASSWORD \
--docker-email=DOCKER_EMAIL

2)使用Secret私有仓库：

spec:
      imagePullSecrets:
      - name: myregistry
      containers:

三、使用Secret管理HTTPS证书

1)生成证书

openssl req -x509 -nodes -days 365 \
-newkey rsa:2048 -keyout tls.key -out tls.crt -subj "/CN=test.com"
kubectl create secret tls nginx-test-tls --key=tls.key --cert=tls.crt

2)ingress中使用证书

apiVersion: networking.k8s.io/v1beta1
kind: Ingress
metadata:
  name: nginx-https-test
  namespace: default
  annotations:
    kubernetes.io/ingress.class: "nginx"
spec:
  rules:
  - host: https-test.com
    http:
      paths:
      - backend:
          serviceName: nginx-svc
          servicePort: 80
  tls:
   - secretName: nginx-test-tls

四、ConfigMap&Secret热更新

kubectl  create cm nginx-conf --from-file=nginx.conf  --dry-run=client -oyaml | kubectl replace -f -

五、ConfigMap&Secret使用限制

提前场景ConfigMap和Secret
引用Key必须存在
envFrom、valueFrom无法热更新环境变量
envFrom配置环境变量，如果key是无效的，它会忽略掉无效的key
ConfigMap和Secret必须要和Pod或者是引用它资源在同一个命名空间
subPath也是无法热更新的
ConfigMap和Secret最好不要太大