配置容器化應用的方式:①命令列引數;②環境變數;③檔案化配置
一、向容器傳遞命令列引數或環境變數
這兩種方式在 Pod 創建后不可被修改
1. 在Docker中定義命令與引數
- ENTRYPOINT:容器啟動時被呼叫的可執行程式
- CMD:傳遞給 ENTRYPOINT 的默認引數,可被覆寫
docker run <image> <arguments>
上面兩條指令均支持以下兩種形式
- shell:
ENTRYPOINT node app.js(/bin/sh -c node app.js) - exec:
ENTRYPOINT ["node", "app.js"](node app.js)
e.g.
FROM ubuntu:latest
ADD test.sh /bin/test.sh # test.sh每“$1”秒輸出一行文本
ENTRYPOINT ["/bin/test.sh"]
CMD ["10"]
docker build -t lb/test:args .
docker push lb/test:args
docker run -it lb/test:args
docker run -it lb/test:args 15 # 傳遞引數
2. 向容器傳遞命令列引數
鏡像的 ENTRYPOINT 和 CMD 均可被覆寫
kind: Pod
spec:
containers:
- image: some/image
command: ["/bin/command"] # 對應ENTRYPOINT,一般情況不覆寫
args: ["arg1", "arg2"] # 對應CMD
另一種引數表示方式
args:
- foo # 字串無需引號標記
- "15" # 數值需要
3. 為容器設定環境變數
K8s 可為 Pod 中的每個容器指定環境變數
kind: Pod
spec:
containers:
- image: some/image
env: # 指定環境變數
- name: FOO
value: "foo"
- name: BAR
value: "$(INTERVAL)bar" # 引入其他環境變數(command和args屬性值也可以借此參考環境變數)
在每個容器中,K8s 會自動暴露相同命名空間下每個 service 對應的環境變數
二、ConfigMap
1. 介紹
- 本質為鍵值對映射,值可以為字面量或組態檔
- 應用無需讀取 ConfigMap,映射的內容通過環境變數或卷檔案的形式傳遞給容器
- Pod 通過名稱參考 ConfigMap
2. 創建 ConfigMap
apiVersion: v1
kind: ConfigMap
data:
sleep-interval: "25" # 配置條目
metadata:
name: my-config
直接創建
# 可指定字面量或組態檔
kubectl create configmap my-config \
--from-file=foo.json \ # 單獨的檔案
--from-file=bar=foobar.conf \ # 自定義鍵名目錄下的檔案
--from-file=config-opts/ \ # 完整檔案夾
--from-literal=some=thing # 字面量
ConfigMap 鍵名需僅包含數字、字母、破折號、下劃線、圓點,可首位圓點,鍵名不合法則不會映射
3. 傳遞 ConfigMap 作為環境變數
kind: Pod
spec:
containers:
- image: some/image
env:
- name: INTERVAL
valueFrom: # 使用ConfigMap中的key初始化
configMapKeyRef:
name: my-config
key: sleep-interval
啟動 Pod 時若無 ConfigMap:Pod 正常調度,容器啟動失敗,后續創建 ConfigMap,失敗容器會重啟,可設定
configMapKeyRef.optional=true,這樣即使 ConfigMap 不存在,容器也能啟動
一次性傳遞所有
spec:
containers:
- image: some/image
envFrom: # 傳遞所有
- prefix: CONFIG_ # 為所有環境變數設定前綴(可選)
configMapKeyRef:
name: my-config
若不是合法的環境變數名稱,K8s 不會自動轉換鍵名(如 CONFIG_FOO-BAR)
4. 傳遞 ConfigMap 作為命令列引數
使用 ConfigMap 初始化某個環境變數,然后在引數欄位中參考該環境變數
apiVersion: v1
kind: Pod
spec:
containers:
- image: some/image
env:
- name: INTERVAL
valueFrom:
configMapKeyRef:
name: my-config
key: sleep-interval
args: ["$(INTERVAL)"] # 引數中參考環境變數
5. 傳遞 ConfigMap 作為組態檔
ConfigMap 卷會將每個條目暴露成一個檔案,運行在容器中的行程可通過讀取檔案內容獲取相應的值
將 ConfigMap 卷掛載到某個檔案夾
apiVersion: v1
kind: Pod
metadata:
name: test-configmap
spec:
containers:
- image: nginx:alpine
name: web-server
volumeMounts:
- name: config
mountPath: /etc/nginx/conf.d/ # 掛載到檔案夾會隱藏該檔案夾中已存在的檔案
readOnly: true
volumes:
- name: config
configMap:
name: fortune-config
$ kubectl exec test-configmap -c web-server ls /etc/nginx/conf.d
my-nginx-config.conf
sleep-interval
暴露指定的 ConfigMap 條目
spec:
volumes:
- name: config
configMap:
name: fortune-config
items: # 只暴露指定條目為檔案
- key: my-nginx-config.conf
path: test.conf
# 此時 /etc/nginx/conf.d/ 中只有 test.conf
不隱藏檔案夾中的其他檔案
subPath 可用作掛載卷中的某個獨立檔案或檔案夾,無需掛載整個卷
spec:
containers:
- image: some/image
volumeMounts:
- name: config
mountPath: /etc/someconfig.conf # 掛載到某個檔案
subPath: myconfig.conf # 僅掛載條目myconfig.conf
這種檔案掛載方式會有檔案更新的缺陷
為 ConfigMap 卷中的檔案設定權限
volumes:
- name: config
configMap:
name: fortune-config
defaultMode: "6600" # 默認644
6. 更新配置且不重啟應用程式
更新 ConfigMap 后,卷中參考它的檔案也會相應更新,行程發現檔案改變后進行多載,K8s 也支持檔案更新后手動通知容器
kubectl edit configmap fortune-config
kubectl exec test-configmap -c web-server cat /etc/nginx/conf.d/my-nginx-config.conf
kubectl exec test-configmap -c web-server -- nginx -s reload
- 所有檔案會被一次性更新:ConfigMap 更新后,K8s 會創建一個檔案夾寫入所有檔案,最終將符號鏈接轉為該檔案夾
- 如果掛載的是容器中的單個檔案而不是完整的卷,ConfigMap 更新后對應的檔案不會被更新
三、Secret
與 ConfigMap 類似,區別:①K8s 僅將 Secret 分發到需要訪問 Secret 的 Pod 所在的機器節點;②只存在于節點的記憶體中;③etcd 以加密形式存盤 Secret
1. 默認令牌 Secret
默認被掛載到所有容器(可通過設定 Pod 定義中或 Pod 使用的服務賬戶中的automountServiceAccountToken=false來關閉該默認行為)
$ kubectl get secrets
NAME TYPE DATA AGE
default-token-zns7b kubernetes.io/service-account-token 3 2d
$ kubectl describe secrets
...
Data # 包含從 Pod 內部安全訪問 K8s API 服務器所需的全部資訊
====
ca.crt: 570 bytes
namespace: 7 bytes
token: eyJhbGciO...
$ kubectl describe pod
...
Mounts:
/var/run/secrets/kubernetes.io/serviceaccount from default-token-zns7b
$ kubectl exec mypod ls /var/run/secrets/kubernetes.io/serviceaccount/
ca.crt
namespace
token
2. 創建 Secret
$ kubectl create secret generic fortune-https --from-file=https.key --from-file=https.cert --from-file=foo
$ kubectl get secret fortune-https -o yaml
apiVersion: v1
kind: Secret
data:
foo: YmFyCg==
https.cert: HtD4SF...
https.key: PJgF0G...
Secret 條目的內容會被 Base64 編碼:Secret 條目可涵蓋二進制資料,Base64 編碼可將二進制資料轉為純文本(但 Secret 大小限于 1MB)
向 Secret 添加純文本條目
stringData: # 該欄位只寫,查看時不會顯示,而是被編碼后展示在data欄位下
foo: bar
3. 使用 Secret
將 Secret 卷暴露給容器后,條目的值會被自動解碼并以真實形式寫入對應檔案或環境變數
apiVersion: v1
kind: Pod
metadata:
name: test-secret
spec:
containers:
- image: luksa/fortune:env
name: html-generator
env:
- name: INTERVAL
valueFrom:
configMapKeyRef:
name: fortune-config
key: sleep-interval
volumeMounts:
- name: html
mountPath: /var/htdocs
- image: nginx:alpine
name: web-server
volumeMounts:
- name: html
mountPath: /usr/share/nginx/html
readOnly: true
- name: config
mountPath: /etc/nginx/conf.d
readOnly: true
- name: certs
mountPath: /etc/nginx/certs/
readOnly: true
ports:
- containerPort: 80
- containerPort: 443
volumes:
- name: html
emptyDir: {}
- name: config
configMap:
name: fortune-config
items:
- key: my-nginx-config.conf
path: https.conf
- name: certs
secret:
secretName: fortune-https
Secret 也支持通過 defaultModes 指定卷中檔案的默認權限
# Secret 卷采用記憶體檔案系統列出容器的掛載點,不會寫入磁盤
$ kubectl exec test-secret -c web-server -- mount | grep certs
tmpfs on /etc/nginx/certs type tmpfs (ro,relatime)
暴露 Secret 為環境變數
不推薦,該方式可能無意中暴露 Secret 資訊
env:
- name: FOO_SECRET
valueFrom:
secretKeyRef:
name: fortune-https
key: foo
4. 鏡像拉取 Secret
從私有鏡像倉庫拉取鏡像時,K8s 需擁有拉取鏡像所需的證書
①創建包含 Docker 鏡像倉庫證書的 Secret
kubectl create secret docker-registry mydockerhubsecret \
--docker-username=myusername --docker-password=mypassword --docker-email=myemail
②Pod 中欄位imagePullSecrets參考該 Secret
apiVersion: v1
kind: Pod
metadata:
name: private-pod
spec:
imagePullSecrets:
- name: mydockerhubsecret
containers:
- image: username/private:tag
name: test
后續可添加 Secret 到 ServiceAccount 使所有 Pod 都能自動添加上該 Secret
轉載請註明出處,本文鏈接:https://www.uj5u.com/caozuo/287965.html
標籤:其他