当前位置：首页 > news >正文

探索k8s集群的配置资源（secret和configmap）

news 文章来源：https://blog.csdn.net/2301_81307988/article/details/139414667 2025/4/19 23:46:40

ConfigMap

ConfigMap（主要是将配置目录或者文件挂载到k8s里面使用）

与Secret类似，区别在于ConfigMap保存的是不需要加密配置的信息。（例如：配置文件）
ConfigMap 功能在 Kubernetes1.2 版本中引入，许多应用程序会从配置文件、命令行参数或环境变量中读取配置信息。ConﬁgMap API 给我们提供了向容器中注入配置信息的机制，ConﬁgMap 可以被用来保存单个属性，也可以用来保存整个配置文件或者JSON二进制大对象。
应用场景：应用配置

创建 ConfigMap

以文件的形式创建

//--from-file 指定在目录下的所有文件都会被用在 ConﬁgMap 里面创建一个键值对，键的名字就是文件名，值就是文件的内容

还有两个文件依次使用同样的方法去创建cm

以文件目录的形式创建

将其中的两个文件加入到configmap中

可以用多个--from-file指定多个文件或者目录

小总结: 将文件或者目录作为键，里面的内容作为值

通过--from-literal创建键值

把之前手动创建的cm删除

创建以文件和键值形式的cm

使用cm资源

1.当作数据卷挂载使用，把cm当作数据卷挂载到pod容器里面使用

comfigMap热更新（动态更新）

在线修改

随后等个10秒左右，进入到pod里面查看

使用 ConﬁgMap 来替代环境变量环境变量不支持热更新

第一种：

第二种：

先创建一个新的cm

demo2的配置文件内容

所有的的cm-ky00里面的内容都在env里面查看到

同时还可以设置command操作

demo2.yaml的配置文件内容

导入配置文件方式

导入nginx.conf配置文件（以文件的形式挂载）不支持热更新！！！

导入nginx.conf配置文件kubectl create configmap nginx-config --from-file=nginx.conf取的名字                  配置文件kubectl get cmkubectl describe cm nginx-config   查看nginx-config的详细信息

nginx.conf里面的内容已经变成挂载的内容

不支持热更新测试一下：

随后，去pod里面查看是否有更新

配置文件以文件的形式挂载，不支持热更新外面cm修改，在pod里面不生效

在容器配置中用volumeMoumts.subPath字段指定文件名，实现将卷挂载到容器种指定的文件上（不支持热更新）

secret（以加密的方式保存）

Secret 是用来保存密码、token、密钥等敏感数据的 k8s 资源，这类数据虽然也可以存放在 Pod 或者镜像中，但是放在 Secret 中是为了更方便的控制如何使用数据，并减少暴露的风险。

有四种类型：

●kubernetes.io/service-account-token：由 Kubernetes 自动创建（1.27版本之前），用来访问 APIServer 的 Secret，Pod 会默认使用这个 Secret 与 APIServer 通信，并且会自动挂载到 Pod 的 /run/secrets/kubernetes.io/serviceaccount 目录中;
●Opaque ：base64 编码格式的 Secret，用来存储用户自定义的密码、密钥等，默认的 Secret 类型;
●kubernetes.io/dockerconfigjson ：用来存储私有 docker registry 的认证信息。

●kubernetes.io/tls; 用来存储Tls证书和私钥信息。

serviceaccount如果不指定的情况下，默认都是用defalut的账户，当pod作为主键访问apiservier时，就会通过account-token去验证

举例：

Pod 需要先引用才能使用某个 secret，Pod 有 3 种方式来使用 secret：

●作为挂载到一个或多个容器上的卷中的文件。
●作为容器的环境变量。
●由 kubelet 在为 Pod 拉取镜像时使用。

创建secret 文件形式 ●Opaque，base64 编码格式的 Secret，用来存储用户自定义的密码、密钥等，默认的 Secret 类型;

解密：

创建secret 以键值形式

secret挂载方式将secret以挂载的方式到pod里面

secret环境变量方式

环境变量里面都有

类型三：kubernetes.io/dockerconfigjson

在 Docker harbor 节点（192.168.88.7）上操作

1.1关闭防火墙

systemctl stop firewalld.service
systemctl disable firewalld.service
setenforce 0

1.2 安装docker

yum install -y yum-utils device-mapper-persistent-data lvm2 
yum-config-manager --add-repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo 
yum install -y docker-ce
systemctl start docker.service
systemctl enable docker.service
docker version

建议不要使用最新版本的 Docker，会存在与 api-server 版本不兼容，安装20版本的docker

yum install -y docker-ce-20.10.18 docker-ce-cli-20.10.18

、部署 Harbor 服务

2.1修改配置

tar zxvf harbor-offline-installer-v1.2.2.tgz -C /usr/local/
vim /usr/local/harbor/harbor.cfg
--5行--修改，设置为Harbor服务器的IP地址或者域名
hostname = 192.168.246.14cd /usr/local/harbor/
./install.sh

yum install -y docker-ce-20.10.18 docker-ce-cli-20.10.18

上传软件表到 /opt 目录中

上传 docker-compose 和 harbor-offline-installer-v1.2.2.tgz 到 /opt 目录中

上传 docker-compose 和 harbor-offline-installer-v1.2.2.tgz 到 /opt 目录中cd /opt
chmod +x docker-compose
mv docker-compose /usr/local/bin/

在 Harbor 中创建一个新项目

（1）浏览器访问：http://192.168.246.14登录 Harbor WEB UI 界面，默认的管理员用户名和密码是 admin/Harbor12345
（2）输入用户名和密码登录界面后可以创建一个新项目。点击“+项目”按钮
（3）填写项目名称为“kgc-project”，点击“确定”按钮，创建新项目

在node1 node2节点上将nginx：latest镜像删除

随后，在harbor上面下载nginx：1.24版本的镜像

随后，修改镜像标签

再次查看镜像，已经成功了

然后完成node节点的docker都部署私有镜像地址，并重启docker

现在harbor中，/etc/docker/daemon.json中将harbor的配置复制到node 1 node2 同路径下的/etc/docker/daemon.json中粘贴即可（要将node1 node2指向私有仓库）

创建secret账号，基于账号来实现镜像拉取

里面包含了harbor的用户名跟密码

kubectl create secret docker-registry secret-harbor --docker-username=admin --docker-server=http://192.168.20.18 --docker-password=Harbor12345
//创建私有仓库的账号

apiVersion: v1
kind: Pod
metadata:name: pod03
spec:imagePullSecrets:  #镜像拉取密码- name: secret-harborcontainers:- image: 192.168.20.18/test/lxy-nginx:test #私有仓库拉取镜像name: pod03ports:- containerPort: 80dnsPolicy: ClusterFirstrestartPolicy: Always