惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

MyScale Blog
MyScale Blog
U
Unit 42
The Register - Security
The Register - Security
S
Security Affairs
博客园 - 【当耐特】
Latest news
Latest news
爱范儿
爱范儿
T
The Exploit Database - CXSecurity.com
F
Full Disclosure
C
Cisco Blogs
宝玉的分享
宝玉的分享
C
Cyber Attacks, Cyber Crime and Cyber Security
L
LangChain Blog
P
Privacy & Cybersecurity Law Blog
腾讯CDC
C
CXSECURITY Database RSS Feed - CXSecurity.com
V
Vulnerabilities – Threatpost
Jina AI
Jina AI
Apple Machine Learning Research
Apple Machine Learning Research
博客园 - 叶小钗
www.infosecurity-magazine.com
www.infosecurity-magazine.com
博客园_首页
博客园 - 三生石上(FineUI控件)
D
DataBreaches.Net
WordPress大学
WordPress大学
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
Microsoft Security Blog
Microsoft Security Blog
N
News and Events Feed by Topic
Recorded Future
Recorded Future
Scott Helme
Scott Helme
Hacker News: Ask HN
Hacker News: Ask HN
Webroot Blog
Webroot Blog
AWS News Blog
AWS News Blog
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
人人都是产品经理
人人都是产品经理
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
T
Tor Project blog
F
Fortinet All Blogs
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
H
Hacker News: Front Page
J
Java Code Geeks
A
About on SuperTechFans
The GitHub Blog
The GitHub Blog
博客园 - 聂微东
Last Week in AI
Last Week in AI
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
W
WeLiveSecurity
V2EX - 技术
V2EX - 技术
T
Troy Hunt's Blog
Attack and Defense Labs
Attack and Defense Labs

郑文峰的博客

使用dify对接飞书多维表格 使用n8n对接飞书多维表格 服务启动时出现 OOM 一次服务升级时pg表DDL执行超时失败 Go语言高效IO缓冲技术详解 Go语言延迟初始化(Lazy Initialization)最佳实践 Go语言字符串拼接性能对比与优化指南 Go语言结构体内存对齐完全指南 Go语言空结构体:零内存消耗的高效编程 Go语言堆栈分配与逃逸分析深度解析 Go语言原子操作完全指南 Go语言内存预分配完全指南 Go语言不可变数据共享:无锁并发编程实践 Go语言零拷贝技术完全指南 Go语言遍历性能深度解析:从原理到优化实践 Go语言Interface Boxing原理与性能优化指南 Go协程池深度解析:原理、实现与最佳实践 使用etcd分布式锁导致的协程泄露与死锁问题 基于pre-commit的Python代码规范落地实践 初识 MCP Server pulsar阻塞导致logstash无法接入日志 django-prometheus使用及源码分析 kube-proxy源码分析 kubernetes service如何通过iptables转发 tcp缓存引起的日志丢失 django-apschedule定时任务异常停止 理解calico容器网络通信方案原理 理解flannel的三种容器网络方案原理 理解Linux IPIP隧道 理解VXLAN网络 理解Linux TunTap设备 快速了解iptables kafka中listener和advertised.listeners的作用 django rest_framework 分页 django后端服务、logstash和flink接入VictoriaMetrics指标监控 python中import原理 docker容器单机网络 手动实现docker容器bridge网络模型 mysql之MVCC原理 mysql之日志 使用java开发logstash的filter插件 使用python实现单例模式的三种方式 redis之缓存 redis之分片集群 redis之哨兵机制 redis之主从库同步 redis之持久化 redis之五种基本数据类型 go中如何处理error pod中将代码与运行环境分离 ddt源码分析 python装饰器的使用方法 读书笔记:如何阅读一本书 使用ddt实现unittest的参数化测试 使用kubeadm安装k8s 优化gin表单的错误提示信息 gin中validator模块的源码分析 go简单使用grpc python简单使用grpc k8s之PV、PVC和StorageClass k8s之StatefulSet k8s之DaemonSet k8s之Job和CronJob k8s之Service k8s之Pod k8s之Deployment 容器的本质 docker容器 python迭代器与生成器 python元编程 python垃圾回收机制 python上下文管理器 django rest_framework使用jwt django rest_framework异常处理 django rest_framework 自定义文档 django压缩文件下载 django rest_framework使用pytest单元测试 django restframework choice 自定义输出数据 django Filtering 使用 django viewset 和 Router 配合使用时报的错 django model的序列化 django中使用AbStractUser django.core.exceptions.ImproperlyConfigured Application labels aren't unique, duplicates users django 中 media配置 django 外键引用自身和on_delete参数 django 警告 while time zone support is active Flask使用flask_socketio实现websocket flask结合mongo tornado 文件上传 tornado 使用jwt完成用户异步认证 tornado 用户密码 bcrypt加密 tornado 结合wtforms使用表单操作 tornado finish和write区别 tornado 使用peewee-async 完成异步orm数据库操作 pyspark streaming简介 和 消费 kafka示例 使用hue创建ozzie的pyspark action workflow count的性能优化 django rest_framework Authentication django celery 结合使用 网站
k8s之ConfigMap和Secret
zhengwenfeng · 2022-08-31 · via 郑文峰的博客

# ConfigMap

# 什么是ConfigMap?

用来存储应用所需要的明文配置数据的。

# 创建ConifgMap

使用yaml定义ConfigMap对象,在data字段中定义配置数据。

apiVersion: v1
kind: ConfigMap
metadata:
  name: info

data:
  count: '10'
  debug: 'on'
  path: '/etc/systemd'
  greeting: |
    say hello to kubernetes.

1
2
3
4
5
6
7
8
9
10
11
12

使用定义的yaml文件创建ConfigMap对象

[root@k8s-worker1 zwf]# kubectl apply -f config.yaml  -n zwf
configmap/info created

[root@k8s-worker1 zwf]# kubectl get cm -n zwf
NAME               DATA   AGE
info               4      9s

1
2
3
4
5
6

# Secret

# 什么是Secret?

和ConfigMap基本相同,差异在于存储的是密文的配置数据。

具体的体现在于,使用kubectl describe时,ConfigMap可以看到配置信息,而Secret是看不到具体内容的。

# 创建Secret

使用yaml描述文件创建Secret对象,其中的数据必须得是base64编码的密文,否则会创建失败。

apiVersion: v1
kind: Secret
metadata:
  name: user

data:
  name: cm9vdA==  # root
  pwd: MTIzNDU2   # 123456
  db: bXlzcWw=    # mysql

1
2
3
4
5
6
7
8
9

使用上面的yaml文件创建Secret对象

[root@k8s-worker1 zwf]# kubectl apply -f secret.yaml -n zwf
secret/user created

[root@k8s-worker1 zwf]# kubectl get secret -n zwf
NAME                                 TYPE                                  DATA   AGE
user                                 Opaque                                3      9s

1
2
3
4
5
6

通过查看Secret详情,会发现都是密文的,无法查看

[root@k8s-worker1 zwf]# kubectl describe secret user -n zwf
Name:         user
Namespace:    zwf
Labels:       <none>
Annotations:  <none>

Type:  Opaque

Data
====
db:    5 bytes
name:  4 bytes
pwd:   6 bytes

1
2
3
4
5
6
7
8
9
10
11
12
13

但是还是可以通过自己通过base64解码来获取

[root@k8s-worker1 zwf]# kubectl get secret user -n zwf -o json
{
    "apiVersion": "v1",
    "data": {
        "db": "bXlzcWw=",
        "name": "cm9vdA==",
        "pwd": "MTIzNDU2"
    },
    "kind": "Secret",
    "metadata": {
        "annotations": {
            "kubectl.kubernetes.io/last-applied-configuration": "{\"apiVersion\":\"v1\",\"data\":{\"db\":\"bXlzcWw=\",\"name\":\"cm9vdA==\",\"pwd\":\"MTIzNDU2\"},\"kind\":\"Secret\",\"metadata\":{\"annotations\":{},\"name\":\"user\",\"namespace\":\"zwf\"}}\n"
        },
        "creationTimestamp": "2022-08-31T01:43:30Z",
        "name": "user",
        "namespace": "zwf",
        "resourceVersion": "17208325",
        "uid": "c5082495-1b85-42ef-a202-596d65e2449c"
    },
    "type": "Opaque"
}

[root@k8s-worker1 zwf]#  kubectl get secret user -n zwf -o jsonpath="{.data.name}" | base64 --decode
root

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

# 如何使用ConfigMap/Secret

使用的方式

  • 将配置以环境变量的方式注入到容器中,应用程序从环境变量中获取配置

  • 将配置以文件的方式放在容器的目录中,应用程序从文件中获取配置。

# 注入环境变量

定义Deployment的yaml文件,在containers下的env中使用configMapKeyRef来使用ConfigMap中的值作为环境变量。

apiVersion: apps/v1
kind: Deployment
metadata:
  labels:
    app: ngx-dep
  name: ngx-dep

spec:
  replicas: 2
  selector:
    matchLabels:
      app: ngx-dep

  template:
    metadata:
      labels:
        app: ngx-dep
    spec:
      containers:
      - image: mirrors.sangfor.com/nginx:alpine
        name: nginx2
        ports:
        - containerPort: 80
        env:
        - name: count
          valueFrom:
            configMapKeyRef:
              name: info
              key: count
        - name: debug
          valueFrom:
            configMapKeyRef:
              name: info
              key: debug
        - name: pwd
          valueFrom:
            secretKeyRef:
              name: user
              key: pwd

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39

使用上面定义的yaml创建Deployment对象

[root@k8s-worker1 zwf]# kubectl apply -f deployments_cm.yaml -n zwf
deployment.apps/ngx-dep created

[root@k8s-worker1 zwf]# kubectl get deploy -n zwf
NAME      READY   UP-TO-DATE   AVAILABLE   AGE
ngx-dep   2/2     2            2           1h

[root@k8s-worker1 zwf]# kubectl get pods -n zwf
NAME                       READY   STATUS    RESTARTS   AGE
ngx-dep-6c659bcc45-nnkgz   1/1     Running   0          8s
ngx-dep-6c659bcc45-rgfxx   1/1     Running   0          6s

1
2
3
4
5
6
7
8
9
10
11

进入到容器中,可以查看到我们设置debug、count、pwd的值

[root@k8s-worker1 zwf]# kubectl exec -it ngx-dep-6c659bcc45-nnkgz -n zwf -- /bin/sh
/ # echo $debug
on
/ # echo $count
10
/ # echo $pwd
123456

1
2
3
4
5
6
7

# 注入配置文件

编写描述Deployment文件,在sepc下定义两个volume,然后在containers下进行使用volumeMounts字段进行挂载。

apiVersion: apps/v1
kind: Deployment
metadata:
  labels:
    app: ngx-dep
  name: ngx-dep

spec:
  replicas: 2
  selector:
    matchLabels:
      app: ngx-dep

  template:
    metadata:
      labels:
        app: ngx-dep
    spec:
      containers:
      - image: mirrors.sangfor.com/nginx:alpine
        name: nginx2
        ports:
        - containerPort: 80
      - volumeMounts:
        - mountPath: /tmp/cm-items
          name: cm-vol
        - mountPath: /tmp/sec-items
          name: sec-vol

      volumes:
      - name: cm-vol
        configMap:
          name: info
	  - name: sec-vol 
	    secret: 
	    secretName: user

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36

创建该Deployment对象

[root@k8s-worker1 zwf]# kubectl apply -f deployments_cm_file.yaml -n zwf
deployment.apps/ngx-dep configured

[root@k8s-worker1 zwf]# kubectl get pods -n zwf
NAME                       READY   STATUS    RESTARTS   AGE
ngx-dep-798f6f6c4f-cg6lv   1/1     Running   0          9s
ngx-dep-798f6f6c4f-s8wws   1/1     Running   0          6s

1
2
3
4
5
6
7

我们可以看到在容器内部在tmp目录下创建了cm-items和sec-items目录

[root@k8s-worker1 zwf]# kubectl exec -it ngx-dep-798f6f6c4f-cg6lv -n zwf -- ls /tmp/
cm-items   sec-items

1
2

再看到这两个目录下的文件,都是以ConfigMap和Secret中定义的key为文件名,value为文件中的内容

[root@k8s-worker1 zwf]# kubectl exec -it ngx-dep-798f6f6c4f-cg6lv -n zwf -- ls /tmp/cm-items
count     debug     greeting  path
[root@k8s-worker1 zwf]# kubectl exec -it ngx-dep-798f6f6c4f-cg6lv -n zwf -- cat /tmp/cm-items/debug
on

[root@k8s-worker1 zwf]# kubectl exec -it ngx-dep-798f6f6c4f-cg6lv -n zwf -- ls /tmp/sec-items
db    name  pwd
[root@k8s-worker1 zwf]# kubectl exec -it ngx-dep-798f6f6c4f-cg6lv -n zwf -- cat /tmp/sec-items/pwd
123456

1
2
3
4
5
6
7
8
9