Secret加密以及Configmapd配置介紹

来源:https://www.cnblogs.com/php-Java/archive/2022/08/02/16544392.html
-Advertisement-
Play Games

今天我們來瞭解有關Secret加密以及Configmapd配置介紹 一、Configmapd配置介紹 ConfigMap 功能在 Kubernetes1.2 版本中引入,許多應用程式會從配置文件、命令行參數或環境變數中讀取配置信息。ConfigMap API 給我們提供了向容器中註入配置信息的機制,... ...


 

今天我們來瞭解有關Secret加密以及Configmapd配置介紹

一、Configmapd配置介紹

ConfigMap 功能在 Kubernetes1.2 版本中引入,許多應用程式會從配置文件、命令行參數或環境變數中讀取配置信息。ConfigMap API 給我們提供了向容器中註入配置信息的機制,ConfigMap 可以被用來保存單個屬性,也可以用來保存整個配置文件或者 JSON 二進位大對象。

將配置信息放到configmap對象中,然後在pod的對象中導入configmap對象,實現導入配置的操作。

ConigMap是一種 API對象,用來將非機密性的數據保存到鍵值對中。使用時可以用作環境變數、命令行參數或者存儲捲中的配置文件。

ConfigMap將環境配置信息和容器鏡像解耦,便於應用配置的修改。當你需要儲存機密信息時可以使用Secret對象。

備註: ConfigMap 並不提供保密或者加密功能。如果你想存儲的數據是機密的,請使用Secret;或者使用其他第三方工具來保證數據的私密性,而不是用ConfigMap。

二,項目中的應用

1. 創建 ConfigMap 的資源清單

apiVersion: v1      # 版本,通過 kubectl explain cm 可以查看
kind: ConfigMap
metadata:
name: special-config # ConfigMap 的名字
namespace: default # 名稱空間
data: # key: value 結構,配置數據
special.how: very
special.type: charm


kubectl apply -f comfigmap.yaml

2. 使用目錄創建

創建 ​​/root/k8s/yaml/configmap/game.properties​​ 文件:

enemies=aliens
lives=3
enemies.cheat=true
enemies.cheat.level=noGoodRotten
secret.code.passphrase=UUDDLRLRBABAS
secret.code.allowed=true
secret.code.lives=30

創建 ​​/root/k8s/yaml/configmap/ui.properties​​ 文件

color.good=purple
color.bad=yellow
allow.textmode=true
how.nice.to.look=fairlyNice

3.創建 configmap ,​​--from-file​​ 指定在目錄下的所有文件都會被用在 ConfigMap 裡面創建一個鍵值對,鍵的名字就是文件名,值就是文件的內容

kubectl create configmap game-config --from-file=../configmap/

4.查看創建的 ​​configmap​​(可簡寫為 cm):

$ kubectl get cm
NAME DATA AGE
game-config 2 6m40s

# 查看詳細信息
kubectl get cm game-config -o yaml
kubectl describe cm game-config

5. 使用文件創建

通過 --from-file 參數只要指定為一個文件就可以從單個文件中創建 ConfigMap

–from-file 這個參數可以使用多次,你可以使用兩次分別指定上個實例中的那兩個配置文件,效果就跟指定整個目錄是一樣的

kubectl create configmap game-config-2 --fromfile=game.properties

kubectl get configmaps game-config-2 -o yaml

6. 使用字面值創建

使用文字值創建,利用 ​​--from-literal​​ 參數傳遞配置信息,該參數可以使用多次,例如:ZFQ-1阻火呼吸閥

kubectl create configmap special-config --from-literal=special.how=very --fromliteral=special.type=charm

kubectl get configmaps special-config -o yaml

7.Pod 中使用 ConfigMap

創建兩個 ConfigMap(configmap.yaml)

apiVersion: v1
kind: ConfigMap
metadata:
name: special-config
namespace: default
data:
special.how: very
special.type: charm
---
apiVersion: v1
kind: ConfigMap
metadata:
name: env-config
namespace: default
data:
log_level: INFO

創建pod

apiVersion: v1
kind: Pod
metadata:
name: dapi-test-pod
spec:
containers:
- name: test-container
image: wangyanglinux/myapp:v1
command: [ "/bin/sh", "-c", "env" ] # 列印 env
env: # 從 ConfigMap 中選擇讀取的鍵,並起個別名
- name: SPECIAL_LEVEL_KEY # 鍵別名,在這值應該是 very
valueFrom:
configMapKeyRef:
name: special-config # ComfigMap 的名稱
key: special.how # 上句指定 ConfigMap 中的鍵名
- name: SPECIAL_TYPE_KEY # 鍵別名,在這值應該是 charm
valueFrom:
configMapKeyRef:
name: special-config # ComfigMap 的名稱
key: special.type # 上句指定 ConfigMap 中的鍵名
envFrom: # 直接從 ConfigMap 中讀取全部配置
- configMapRef:
name: env-config # ComfigMap 的名稱
restartPolicy: Never

查看日誌,可以看到 ConfigMap 中的配置已經註入到了容器中

Configmap配置與Secret加密_環境變數

使用 ConfigMap 設置命令行參數

創建 ConfigMap

apiVersion: v1
kind: ConfigMap
metadata:
name: special-config
namespace: default
data:
special.how: very
special.type: charm

創建pod

apiVersion: v1
kind: Pod
metadata:
name: dapi-test-pod
spec:
containers:
- name: test-container
image: wangyanglinux/myapp:v1
command: [ "/bin/sh", "-c", "echo $(SPECIAL_LEVEL_KEY) $(SPECIAL_TYPE_KEY)" ] #可以調整啟動Pod時的命令
env: # 從 ConfigMap 中選擇讀取的鍵,並起個別名
- name: SPECIAL_LEVEL_KEY # 鍵別名,在這值應該是 very
valueFrom:
configMapKeyRef:
name: special-config # ComfigMap 的名稱
key: special.how # 上句指定 ConfigMap 中的鍵名
- name: SPECIAL_TYPE_KEY # 鍵別名,在這值應該是 charm
valueFrom:
configMapKeyRef:
name: special-config # ComfigMap 的名稱
key: special.type
restartPolicy: Never

查看日誌

kubectl logs dapi-test-pod

very charm

通過數據捲插件使用ConfigMap

通過 ​​Volume​​​ 方式​​掛載​​​,ConfigMap 中的​​鍵名就是 文件名,鍵值就是 文件內容​

創建 ConfigMap

apiVersion: v1
kind: ConfigMap
metadata:
name: special-config
namespace: default
data:
special.how: very
special.type: charm
apiVersion: v1
kind: Pod
metadata:
name: dapi-test-pod
spec:
containers:
- name: test-container
image: wangyanglinux/myapp:v1
command: ["/bin/sh", "-c", "cat /etc/config/special.how"] # 列印掛載目錄下的文件內容
volumeMounts: # volume 掛載
- name: config-volume # 掛載下麵指定的 volume
mountPath: /etc/config # 掛載到的目錄(容器內路徑,該目錄下,文件名就裡鍵名,文件內容就是鍵值)
volumes:
- name: config-volume # volume 名稱
configMap: # 來自 ConfigMap
name: special-config # ConfigMap 名字
restartPolicy: Never

kubectl logs dapi-test-pod

very

8,ConfigMap 的​​熱更新​​

創建一個 ConfigMap 和 Deployment:

apiVersion: v1
kind: ConfigMap
metadata:
name: log-config
namespace: default
data:
log_level: INFO
---
apiVersion: extensions/v1beta1
kind: Deployment
metadata:
name: my-nginx
spec:
replicas: 1
template:
metadata:
labels:
run: my-nginx
spec:
containers:
- name: my-nginx
image: wangyanglinux/myapp:v1
ports:
- containerPort: 80
volumeMounts: # 這塊兒不懂看上一節《通過數據捲插件使用ConfigMap》
- name: config-volume
mountPath: /etc/config # 容器內這個目錄下會有 log_level 這個文件,內容為 INFO
volumes:
- name: config-volume
configMap:
name: log-config

查看 /etc/config/log_level 文件的內容

kubectl exec my-nginx-c484b98b4-sbls9 -it -- cat /etc/config/log_level
INFO

修改 ConfigMap

kubectl edit configmap log-config

Configmap配置與Secret加密_環境變數_02

 再次查看 /etc/config/log_level 文件的內容,可以看到,Pod 中的配置也改了

Configmap配置與Secret加密_docker_03

 

註意:更新 ConfigMap 後:

使用該 ConfigMap 掛載的 Env 不會同步更新

使用該 ConfigMap 掛載的 Volume 中的數據需要一段時間(實測大概10秒)才能同步更新

讓 Pod 滾動更新
ConfigMap 更新後,並不會讓相應的文件重載。例如,Nginx 在啟動時,會載入一次配置文件(配置文件中有 ConfigMap 的相關參數),載入完成後,無論這個配置文件再怎麼變化,Nginx 都不會再載入它。因此需要 ConfigMap 更新後滾動更新 Pod。

可以通過修改 pod annotations 的方式強制觸發滾動更新
這裡我們在 .spec.template.metadata.annotations 中添加 version/config ,每次通過修改 version/config 的時間來觸發滾動更新

kubectl patch deployment my-nginx --patch \
'{"spec": {"template": {"metadata": {"annotations":{"version/config": "20211110" }}}}}'

三. Secret

Secret 解決了密碼、token、密鑰等敏感數據的配置問題,而不需要把這些敏感數據暴露到鏡像或者 Pod Spec 中。Secret 可以以 Volume 或者環境變數的方式使用

用戶可以創建 secret,同時系統也創建了一些 secret。

Secret 有三種類型:

  • Service Account:用來訪問 Kubernetes API,由 Kubernetes 自動創建,並且會自動掛載到 Pod 的 /run/secrets/kubernetes.io/serviceaccount 目錄中
  • Opaque:base64 編碼格式的 Secret,用來存儲密碼、密鑰等。加密程度不高
  • kubernetes.io/dockerconfigjson:用來存儲私有 docker registry 的認證信息

要使用 secret,pod 需要引用 secret。Pod 可以用兩種方式使用 secret:

作為 volume 中的文件被掛載到 pod 中的一個或者多個容器里,
當 kubelet 為 pod 拉取鏡像時使用。

1. Service Account(不常用)

Service Account 用來訪問 Kubernetes API,由 Kubernetes 自動創建,並且會自動掛載到 Pod 的 /run/secrets/kubernetes.io/serviceaccount 目錄中

# 1. 隨便找一個需要訪問 Kubernetes API 的 Pod
$ kubectl get pod -n kube-system
NAME READY STATUS RESTARTS AGE
kube-proxy-2pqkk 1/1 Running 6 40d

# 2. 查看該 Pod 中 /run/secrets/kubernetes.io/serviceaccount 目錄下的文件
$ kubectl exec kube-proxy-2pqkk -n kube-system -it -- ls /run/secrets/kubernetes.io/serviceaccount
ca.crt:訪問 API Service 時的證書
namespace:名稱空間
token:認證的密鑰信息

2. Opaque Secret

Opaque 類型的數據是一個 map 類型,要求 ​​value 是 base64​​ 編碼格式:

(1)創建 Opaque Secret

給用戶名和密碼用 base64 加密

$ echo -n admin | base64
YWRtaW4=
$ echo -n 123 | base64
MTIz

​base64​​編碼

$ echo -n YWRtaW4= | base64 -d
admin

使用加密後的用戶名和密碼創建 Secret

apiVersion: v1      # kubectl explain secret 查看
kind: Secret
metadata:
name: mysecret # Secret 名稱
type: Opaque # Secret 的類型
data:
password: MTIz # 密碼
username: YWRtaW4= # 用戶名

查看Secret
​​​default-token-xxxxx​​:k8s 預設會在每個名稱空間下都創建一個,用於 Pod 的掛載

$ kubectl get secret
NAME TYPE DATA AGE
default-token-fm46c kubernetes.io/service-account-token 3 40d
mysecret Opaque 2 12s

(2)將 Secret 掛載到 Volume 中

創建 Pod

apiVersion: v1
kind: Pod
metadata:
labels:
name: secret-test
name: secret-test
spec:
volumes: # 創建一個捲
- name: secrets # 捲名
secret: # 捲使用的方案
secretName: mysecret # 來自於上一節創建的 mysecret
containers:
- image: wangyanglinux/myapp:v1
name: db
volumeMounts: # 捲掛載
- name: secrets # 掛載的是上面聲明的 secrets
mountPath: "/etc/secrets" # 掛載的目錄(容器內目錄)
readOnly: true # 只讀 

查看

# Opaque Secret 中的用戶名和密碼都已經掛載進來了
$ kubectl exec secret-test -it -- ls /etc/secrets
password username

# 查看內容,發現內容已經自動被解密
$ kubectl exec secret-test -it -- cat /etc/secrets/password
123
$ kubectl exec secret-test -it -- cat /etc/secrets/username
admin

(3)將 Secret 導出到環境變數中

創建 Deployment

apiVersion: extensions/v1beta1
kind: Deployment
metadata:
name: pod-deployment
spec:
replicas: 2
template:
metadata:
labels:
app: pod-deployment
spec:
containers:
- name: pod-1
image: wangyanglinux/myapp:v1
ports:
- containerPort: 80
env:
- name: TEST_USER # 環境變數名
valueFrom:
secretKeyRef: # 從 Secret 中獲取
name: mysecret # Secret 的名字
key: username # Secret 中的鍵名
- name: TEST_PASSWORD # 環境變數名
valueFrom:
secretKeyRef: # 從 Secret 中獲取
name: mysecret # Secret 的名字
key: password # Secret 中的鍵名(相比 configmap,Secret 在這兒不需要使用明文,稍微安全一點)

查看環境變數

# 進入容器
$ kubectl exec pod-deployment-747f78bc67-2w9wk -it -- /bin/sh

# 查看環境變數
$ echo $TEST_USER
admin
$ echo $TEST_PASSWORD
123

3. kubernetes.io/docker configjson

使用 Kuberctl 創建 ​​docker registry​​ 認證的 secret

# kubectl create secret docker-registry \   # 創建 Secret 的類型
# myregistrykey \ # Secret 的名稱
# --docker-server=hub.zyx.com \ # docker server 的地址
# --docker-username=admin \ # docker 用戶名
# --docker-password=Harbor12345 \ # docker 密碼
# [email protected] # docker 郵箱
kubectl create secret docker-registry \
myregistrykey \
--docker-server=hub.zyx.com \
--docker-username=admin \
--docker-password=Harbor12345 \
[email protected]

在創建 Pod 的時候,通過 ​​imagePullSecrets​​​ 來引用剛創建的 ​​myregistrykey​​,來拉取私有倉庫的鏡像

apiVersion: v1
kind: Pod
metadata:
name: foo
spec:
containers:
- name: foo
image: hub.zyx.com/zyx/myapp:v1
imagePullSecrets: # 當去私有倉庫拉取時的認證信息
- name: myregistrykey # 認證信息,上一步創建的 docker registry

您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • 3 hashCode的內幕 tips:面試常問/常用/常出錯 hashCode到底是什麼?是不是對象的記憶體地址? 1) 直接用記憶體地址? 目標:通過一個Demo驗證這個hasCode到底是不是記憶體地址 public native int hashCode(); com.hashcode.HashCo ...
  • 函數 封裝功能,提高應用的模塊性和代碼重用率 1. 定義函數 1.1 函數內的第一條語句是字元串時,該字元串就是文檔字元串(docstring) def my_fun(): '''我是文檔字元串 函數內第一句是字元串時 該字元串就是文檔字元串 ''' pass print(my_fun.__doc_ ...
  • 前言 做了幾道關於defer的測試題,嚇了一大跳,感覺自己之前的理解有些問題,所以寫下這篇博客,加深下印象。 正文: 多個defer的執行順序: 先進後出,類似於棧的特性。 下麵我們來測試下: 1.defer 與 panic: func deferAndPanic() { defer func() ...
  • 前言 接著上周寫的截圖控制項繼續更新 繪製箭頭。 1.WPF實現截屏「仿微信」 2.WPF 實現截屏控制項之移動(二)「仿微信」 3.WPF 截圖控制項之伸縮(三) 「仿微信」 4.WPF 截圖控制項之繪製方框與橢圓(四) 「仿微信」 正文 一、首先接著ScreenCut繼續發電。 1)繪製箭頭因為需要只修 ...
  • 此案例基於拖曳和彈動球兩個技術功能實現,如有不懂的可以參考之前的相關文章,屬於遞進式教程。 五環彈動球 好吧,名字是我起的,其實,你可以任意個球進行聯動彈動,效果還是很不錯的,有很多前端都是基於這個特效,可以搞出一些很有科技感的效果出來。 Wpf 和 SkiaSharp 新建一個WPF項目,然後,N ...
  • lamp 1. lamp簡介 lamp,其實就是由Linux+Apache+Mysql/MariaDB+Php/Perl/Python的一組動態網站或者伺服器的開源軟體 LAMP指的是Linux(操作系統)、Apache(HTTP伺服器)、MySQL(也指MariaDB,資料庫軟體)和PHP(有時也 ...
  • 搭建lamp架構 1.LAMP架構介紹 所謂lamp,其實就是由Linux+Apache+Mysql/MariaDB+Php/Perl/Python的一組動態網站或者伺服器的開源軟體,除Linux外其它各部件本身都是各自獨立的程式,但是因為經常被放在一起使用,擁有了越來越高的相容度,共同組成了一個強 ...
  • Preparation debian11幾乎可以使用任何舊的電腦硬體,因為最小安裝的要求非常低。以下是最低要求和推薦要求: | 最低要求 | 推薦要求 | | | | | 存儲:10 Gigabytes記憶體:512 MegabytesCPU: 1 GigaHertz | 存儲:10 Gigabyt ...
一周排行
    -Advertisement-
    Play Games
  • 一:背景 1.講故事 在分析的眾多dump中,經常會遇到各種奇葩的問題,僅通過dump這種快照形式還是有很多問題搞不定,而通過 perfview 這種粒度又太粗,很難找到問題之所在,真的很頭疼,比如本篇的 短命線程 問題,參考圖如下: 我們在 t2 時刻抓取的dump對查看 短命線程 毫無幫助,我根 ...
  • 在日常後端Api開發中,我們跟前端的溝通中,通常需要協商好入參的數據類型,和參數是通過什麼方式存在於請求中的,是表單(form)、請求體(body)、地址欄參數(query)、還是說通過請求頭(header)。 當協商好後,我們的介面又需要怎麼去接收這些數據呢?很多小伙伴可能上手就是直接寫一個實體, ...
  • 許多情況下我們需要用到攝像頭獲取圖像,進而處理圖像,這篇博文介紹利用pyqt5、OpenCV實現用電腦上連接的攝像頭拍照並保存照片。為了使用和後續開發方便,這裡利用pyqt5設計了個相機界面,後面將介紹如何實現,要點包括界面設計、邏輯實現及完整代碼。 ...
  • 思路分析 註冊頁面需要對用戶提交的數據進行校驗,並且需要對用戶輸入錯誤的地方進行提示! 所有我們需要使用forms組件搭建註冊頁面! 平時我們書寫form是組件的時候是在views.py裡面書寫的, 但是為了接耦合,我們需要將forms組件都單獨寫在一個地方,需要用的時候導入就行! 例如,在項目文件 ...
  • 思路分析 登錄頁面,我們還是採用ajax的方式提交用戶數據 唯一需要學習的是如何製作圖片驗證碼! 具體的登錄頁面效果圖如下: 如何製作圖片驗證碼 推導步驟1:在img標簽的src屬性里放上驗證碼的請求路徑 補充1.img的src屬性: 1.圖片路徑 2.url 3.圖片的二進位數據 補充2:字體樣式 ...
  • 哈嘍,兄弟們! 最近有許多小伙伴都在吐槽打工好難。 每天都是執行許多重覆的任務 例如閱讀新聞、發郵件、查看天氣、打開書簽、清理文件夾等等, 使用自動化腳本,就無需手動一次又一次地完成這些任務, 非常方便啊有木有?! 而在某種程度上,Python 就是自動化的代名詞。 今天就來和大家一起學習一下, 用 ...
  • 作者:IT王小二 博客:https://itwxe.com 前面小二介紹過使用Typora+PicGo+LskyPro打造舒適寫作環境,那時候需要使用水印功能,但是小二在升級LskyPro2.x版本發現有很多不如人意的東西,遂棄用LskyPro使用MinIO結合代碼實現自己需要的圖床功能,也適合以後 ...
  • OpenAI Gym是一款用於研發和比較強化學習演算法的工具包,本文主要介紹Gym模擬環境的功能和工具包的使用方法,並詳細介紹其中的經典控制問題中的倒立擺(CartPole-v0/1)問題。最後針對倒立擺問題如何建立控制模型並採用爬山演算法優化進行了介紹,並給出了相應的完整python代碼示例和解釋。要... ...
  • python爬蟲瀏覽器偽裝 #導入urllib.request模塊 import urllib.request #設置請求頭 headers=("User-Agent","Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, l ...
  • 前端代碼搭建 主要利用的是bootstrap3中js插件里的模態框版塊 <li><a href="" data-toggle="modal" data-target=".bs-example-modal-lg">修改密碼</a></li> <div class="modal fade bs-exam ...