目錄:
- 一.ConfigMap簡介
- 二.創建configmap
- 1.使用字面值創建
- 2.檔案創建
- 使用目錄創建
- 4.撰寫configmap的yaml檔案
- 三.ConfigMap使用
- 1.設定環境變數的方式
- 2.通過在pod的命令列下運行的方式
- 3.作為volume的方式掛載到pod內
- 四.Secret概述
- 1.Service Account
- 2.Opaque Secret
- 五.secret應用
- 1.創建secret
- 2.將Secret掛載到Volume中
- 3.向指定路徑映射 secret 密鑰
- 4.將Secret設定為環境變數
- 5.docker registry
一.ConfigMap簡介
Configmap用于保存配置資料,以鍵值對形式存盤,
configMap 資源提供了向 Pod 注入配置資料的方法,
讓鏡像和組態檔解耦,以便實作鏡像的可移植性和可復用性,
典型的使用場景:
填充環境變數的值
設定容器內的命令列引數
填充卷的組態檔
二.創建configmap
創建ConfigMap的方式有4種:
使用字面值創建
使用檔案創建
使用目錄創建
撰寫configmap的yaml檔案創建
1.使用字面值創建
創建cm,并查看資訊!
kubectl create configmap my-config --from-literal=key1=config1 --from-literal=key2=config2
kubectl get cm
kubectl describe cm my-config
2.檔案創建
kubectl create configmap my-config-2 --from-file=/etc/resolv.conf
kubectl get cm
NAME DATA AGE
kube-root-ca.crt 1 5d18h
my-config 2 98s
my-config-2 1 13s
kubectl describe cm my-config-2
使用目錄創建
創建測驗目錄
mkdir configmap
cd configmap/
ls
mkdir test
cp /etc/passwd test/
cp /etc/fstab test/
ls test/
kubectl create configmap my-config-3 --from-file=test
kubectl get cm
kubectl describe cm my-config-3
4.撰寫configmap的yaml檔案
vim cm1.yml
apiVersion: v1
kind: ConfigMap
metadata:
name: cm1-config
data:
db_host: "172.25.0.250"
db_port: "3306"
kubectl apply -f cm1.yml
kubectl get cm
kubectl describe cm cm1-config
三.ConfigMap使用
如何使用configmap:
通過環境變數的方式直接傳遞給pod
通過在pod的命令列下運行的方式
作為volume的方式掛載到pod內
1.設定環境變數的方式
cd configmap/
vim pod.yaml
apiVersion: v1
kind: Pod
metadata:
name: pod1
spec:
containers:
- name: pod1
image: busyboxplus
command: ["/bin/sh", "-c", "env"]
env:
- name: key1
valueFrom:
configMapKeyRef:
name: cm1-config
key: db_host
- name: key2
valueFrom:
configMapKeyRef:
name: cm1-config
key: db_port
restartPolicy: Never
執行pod.yaml檔案,查看pod
查看pod的資訊之后可以刪掉pod1
kubectl apply -f pod.yaml
kubectl get pod
我們可以看到創建節點完成之后就自動退出了!
容器執行已完成,需要在pod日志中查看結果
kubectl logs pod1
使用默認名稱
vim pod2.yaml
apiVersion: v1
kind: Pod
metadata:
name: pod2
spec:
containers:
- name: pod2
image: busyboxplus
command: ["/bin/sh", "-c", "env"]
envFrom:
- configMapRef:
name: cm1-config
restartPolicy: Never
執行檔案pod2.yml ,并查看
kubectl apply -f pod2.yaml
kubectl describe cm cm1-config
2.通過在pod的命令列下運行的方式
vim pod3.yaml
apiVersion: v1
kind: Pod
metadata:
name: pod3
spec:
containers:
- name: pod2
image: nginx
#command: ["/bin/sh", "-c", "cat /config/db_host"]
volumeMounts:
- name: config-volume
mountPath: /config
volumes:
- name: config-volume
configMap:
name: cm1-config
執行pod3.yml 檔案:
kubectl apply -f pod3.yml
kubectl get pod
kubectl logs pod2
將command和重啟注釋掉!
#command: ["/bin/sh", "-c", "cat /config/db_host"]
#restartPolicy: Never
再次執行pod3.yaml
kubectl apply -f pod3.yaml
kubectl describe cm cm1-config
將前面實驗的cm刪掉:
kubectl get cm
kubectl delete cm my-config
kubectl delete cm my-config-2
kubectl delete cm my-config-3
kubectl get cm
3.作為volume的方式掛載到pod內
先寫入nginx的組態檔nginx.conf,然后創建cm!
vim nginx.conf
*********************************************
server {
listen 80;
server_name _;
location / {
root /usr/share/nginx/html;
index index.html index.htm;
}
}
**********************************************
kubectl create configmap nginxconf --from-file=nginx.conf
kubectl get cm
查看nginxconf的資訊:
kubectl describe cm nginxconf
撰寫清單nginx.yaml
vim nginx.yaml
apiVersion: apps/v1
kind: Deployment
metadata:
name: my-nginx
spec:
replicas: 1
selector:
matchLabels:
app: nginx
template:
metadata:
labels:
app: nginx
spec:
containers:
- name: nginx
image: nginx
volumeMounts:
- name: config-volume
mountPath: /etc/nginx/conf.d
volumes:
- name: config-volume
configMap:
name: nginxconf
編輯nginxconf的內容:修改埠為8080
kubectl edit cm nginxconf
listen 8080;
執行清單nginx.yaml
查看pod資訊:
kubectl apply -f nginx.yaml
kubectl get pod
kubectl get pod -o wide
訪問這個IP地址:
curl 10.244.141.225:8080
再次修改埠為8000
kubectl edit cm nginxconf
listen 8000;
訪問8000埠不成功!
curl 10.244.141.225:8000
會顯示連接拒絕!
但是容器里面的組態檔已經修改了:
為什么不能訪問8000埠呢?
因為沒有重繪副本!
kubectl patch deployments.apps my-nginx --patch '{"spec": {"template": {"metadata": {"annotations": {"version/config": "20200219"}}}}}'
通過副本age查看是否重繪
kubectl get deployments.apps
如果訪問curl 10.244.141.225:8000還會失敗,因為已經生成了新的IP地址:
kubectl get pod -o wide
curl *********:8000
四.Secret概述
Secret 物件型別用來保存敏感資訊,例如密碼、OAuth 令牌和 ssh key,
敏感資訊放在 secret 中比放在 Pod 的定義或者容器鏡像中來說更加安全和靈活,
Pod 可以用兩種方式使用 secret:
作為 volume 中的檔案被掛載到 pod 中的一個或者多個容器里,
當 kubelet 為 pod 拉取鏡像時使用,
Secret的型別:
Service Account:Kubernetes 自動創建包含訪問 API 憑據的 secret,并自動修改 pod 以使用此型別的 secret,
Opaque:使用base64編碼存盤資訊,可以通過base64 --decode解碼獲得原始資料,因此安全性弱,
kubernetes.io/dockerconfigjson:用于存盤docker registry的認證資訊,
1.Service Account
serviceaccout 創建時 Kubernetes 會默認創建對應的 secret,對應的 secret 會自動掛載到 Pod 的 /run/secrets/kubernetes.io/serviceaccount 目錄中,
kubectl run nginx --image=nginx
kubectl exec -it nginx -- bash
root@nginx:/# cd /var/run/secrets/kubernetes.io/serviceaccount/
root@nginx:/var/run/secrets/kubernetes.io/serviceaccount# ls
ca.crt namespace token
查看secrets命令
kubectl get secrets
查看secrets的資訊:
kubectl describe default-token-lzvzs
我們再來pod的資訊,可以發現,也有ca.crt的密鑰:
kubectl get pod
kubectl describe my-nginx-6b6*************
kubectl describe cm kube-root-ca.crt
2.Opaque Secret
Opaque Secret 其value為base64編碼后的值,
從檔案中創建Secret
echo -n 'admin' > ./username.txt
echo -n 'westos' > ./password.txt
kubectl create secret generic db-user-pass --from-file=./username.txt --from-file=./password.txt
secret/db-user-pass created
kubectl get secrets
查看db-user-pass的資訊:
kubectl describe secrets db-user-pass
默認情況下 kubectl get和kubectl describe 為了安全是不會顯示密碼的內容,可以通過以下方式查看
查看yaml格式的secret ,可以看到base64格式的認證資訊
kubectl get secrets db-user-pass -o yaml
我們還可以通過這個方式來查看base64方式加密的明文
echo YWRtaW4= | base64 -d
五.secret應用
1.創建secret
echo -n 'admin' | base64
YWRtaW4=
echo -n 'westos' | base64
d2VzdG9z
vim secret.yaml
apiVersion: v1
kind: Secret
metadata:
name: mysecret
type: Opaque
data:
username: YWRtaW4=
password: d2VzdG9z
執行檔案secret.yaml,并查看secret
kubectl apply -f secret.yaml
kubectl get secret
kubectl describe secrets mysecret
2.將Secret掛載到Volume中
在secret.yaml后面添加內容!
vim secret.yaml
---
apiVersion: v1
kind: Pod
metadata:
name: mysecret
spec:
containers:
- name: nginx
image: nginx
volumeMounts:
- name: secrets
mountPath: "/secret"
readOnly: true
volumes:
- name: secrets
secret:
secretName: mysecret
執行secret.yaml檔案,查看pod
kubectl apply -f secret.yaml
kubectl get pod
進入容器mysecret 中查看:
kubectl exec -it mysecret -- bash
pwd
cd secret/
ls
可以看到,檔案掛載在根目錄下的/secret/中
3.向指定路徑映射 secret 密鑰
指定路徑/secret/my-group/my-username
vim secret.yaml
apiVersion: v1
kind: Pod
metadata:
name: mysecret
spec:
containers:
- name: nginx
image: nginx
volumeMounts:
- name: secrets
mountPath: "/secret"
readOnly: true
volumes:
- name: secrets
secret:
secretName: mysecret
items:
- key: username
path: my-group/my-username
再次執行secret.yaml檔案!
kubectl apply -f secret.yaml
進入節點終端查看
kubectl exec -it mysecret -- bash
cd /secret/
cd my-group
ls
cat my-username
4.將Secret設定為環境變數
vim secret.yaml
vim secret.yaml
apiVersion: v1
kind: Pod
metadata:
name: secret-env
spec:
containers:
- name: nginx
image: nginx
env:
- name: SECRET_USERNAME
valueFrom:
secretKeyRef:
name: mysecret
key: username
- name: SECRET_PASSWORD
valueFrom:
secretKeyRef:
name: mysecret
key: password
執行secret.yaml檔案!
更改mysecret中的密碼!
kubectl apply -f secret.yaml
echo redhat | base64
kubectl edit secrets mysecret
env 查看環境變數中是否有認證檔案資訊
kubectl exec -it secret-env -- bash
env
注意:環境變數讀取Secret很方便,但無法支撐Secret動態更新,即修改yaml檔案后,容器內無法及時更改,
所以:所以剛更改的密碼,沒有動態更改!
5.docker registry
kubernetes.io/dockerconfigjson用于存盤docker registry的認證資訊,
kubectl create secret docker-registry myregistrykey --docker-server=reg.westos.org --docker-username=admin --docker-password=westos --docker-email=yakexi007@westos.org
kubectl get secrets
撰寫資源清單,拉取私密倉庫中的鏡像
vim registry.yaml
apiVersion: v1
kind: Pod
metadata:
name: mypod
spec:
containers:
- name: game2048
image: reg.westos.org/westos/game2048
imagePullSecrets:
- name: myregistrykey
執行registry.yaml檔案,
kubectl apply -f registry.yaml
kubectl get sa
kubectl describe sa
轉載請註明出處,本文鏈接:https://www.uj5u.com/ruanti/291435.html
標籤:其他
上一篇:華為云物聯網設備接入及OBS使用