Kubernetes教程FG044-Kubernetes ConfigMap与Secret管理实战
本文档风哥主要介绍Kubernetes ConfigMap与Secret管理实战,包括ConfigMap概述、Secret概述、使用场景、ConfigMap规划、Secret规划、最佳实践规划、ConfigMap实现、Secret实现、管理实现、ConfigMap案例、Secret案例、集成案例等内容,风哥教程参考Kubernetes官方文档和配置管理相关文档,适合想使用和理解Kubernetes配置管理的开发人员和运维人员。
Part01-基础概念与理论知识
1.1 ConfigMap概述
ConfigMap是Kubernetes中用于存储非敏感配置数据的API对象,它可以将配置数据与应用代码分离,提高应用的可移植性和可维护性。
ConfigMap的主要功能包括:
- 存储配置数据:存储键值对形式的配置数据
- 与Pod集成:通过环境变量、卷挂载等方式将配置数据注入到Pod中
- 配置管理:集中管理应用配置,便于配置的更新和回滚
- 多环境配置:为不同环境(开发、测试、生产)提供不同的配置
1.2 Secret概述
Secret是Kubernetes中用于存储敏感配置数据的API对象,如密码、令牌、证书等,它提供了一种安全的方式来管理敏感信息。
Secret的主要功能包括:
- 存储敏感数据:存储密码、令牌、证书等敏感数据
- 加密存储:在etcd中加密存储,提高安全性
- 与Pod集成:通过环境变量、卷挂载等方式将敏感数据注入到Pod中
- 访问控制:通过RBAC控制对Secret的访问
1.3 使用场景
ConfigMap和Secret的使用场景包括:
- 应用配置:存储应用的配置文件、环境变量等
- 数据库连接:存储数据库连接字符串、用户名、密码等
- API密钥:存储第三方API的密钥、令牌等
- TLS证书:存储TLS证书和私钥
- 配置管理:集中管理不同环境的配置
Part02-生产环境规划与建议
2.1 ConfigMap规划
Kubernetes ConfigMap的规划:
# ConfigMap规划
– 目标:
– 实现配置与代码分离
– 集中管理配置
– 支持多环境配置
– 便于配置更新和回滚
– 范围:
– 配置数据类型
– ConfigMap结构设计
– 命名规范
– 版本管理
– 访问控制
– 工具选择:
– kubectl:用于创建和管理ConfigMap
– Helm:用于管理应用配置
– Kustomize:用于管理不同环境的配置
– GitOps工具:用于配置的版本控制和部署
– 流程设计:
– 配置设计:设计ConfigMap的结构和内容
– 配置创建:创建ConfigMap资源
– 配置注入:将ConfigMap注入到Pod中
– 配置更新:更新ConfigMap并验证应用是否正确加载新配置
– 配置回滚:在配置错误时回滚到之前的版本
– 资源分配:
– 人力资源:配置管理人员、开发人员
– 时间资源:配置设计时间、创建时间、测试时间
– 基础设施:存储资源(etcd)
– 目标:
– 实现配置与代码分离
– 集中管理配置
– 支持多环境配置
– 便于配置更新和回滚
– 范围:
– 配置数据类型
– ConfigMap结构设计
– 命名规范
– 版本管理
– 访问控制
– 工具选择:
– kubectl:用于创建和管理ConfigMap
– Helm:用于管理应用配置
– Kustomize:用于管理不同环境的配置
– GitOps工具:用于配置的版本控制和部署
– 流程设计:
– 配置设计:设计ConfigMap的结构和内容
– 配置创建:创建ConfigMap资源
– 配置注入:将ConfigMap注入到Pod中
– 配置更新:更新ConfigMap并验证应用是否正确加载新配置
– 配置回滚:在配置错误时回滚到之前的版本
– 资源分配:
– 人力资源:配置管理人员、开发人员
– 时间资源:配置设计时间、创建时间、测试时间
– 基础设施:存储资源(etcd)
2.2 Secret规划
Kubernetes Secret的规划:
# Secret规划
– 目标:
– 安全存储敏感数据
– 控制敏感数据的访问
– 便于敏感数据的管理
– 支持敏感数据的更新和轮换
– 范围:
– 敏感数据类型
– Secret结构设计
– 命名规范
– 加密策略
– 访问控制
– 轮换策略
– 工具选择:
– kubectl:用于创建和管理Secret
– Helm:用于管理应用的Secret
– HashiCorp Vault:用于更高级的密钥管理
– Sealed Secrets:用于加密Secret,便于Git存储
– 流程设计:
– 敏感数据收集:收集需要存储的敏感数据
– Secret创建:创建Secret资源
– Secret注入:将Secret注入到Pod中
– Secret更新:更新Secret并验证应用是否正确加载新的敏感数据
– Secret轮换:定期轮换敏感数据,提高安全性
– 资源分配:
– 人力资源:密钥管理人员、安全人员
– 时间资源:密钥设计时间、创建时间、轮换时间
– 基础设施:加密存储资源
– 目标:
– 安全存储敏感数据
– 控制敏感数据的访问
– 便于敏感数据的管理
– 支持敏感数据的更新和轮换
– 范围:
– 敏感数据类型
– Secret结构设计
– 命名规范
– 加密策略
– 访问控制
– 轮换策略
– 工具选择:
– kubectl:用于创建和管理Secret
– Helm:用于管理应用的Secret
– HashiCorp Vault:用于更高级的密钥管理
– Sealed Secrets:用于加密Secret,便于Git存储
– 流程设计:
– 敏感数据收集:收集需要存储的敏感数据
– Secret创建:创建Secret资源
– Secret注入:将Secret注入到Pod中
– Secret更新:更新Secret并验证应用是否正确加载新的敏感数据
– Secret轮换:定期轮换敏感数据,提高安全性
– 资源分配:
– 人力资源:密钥管理人员、安全人员
– 时间资源:密钥设计时间、创建时间、轮换时间
– 基础设施:加密存储资源
2.3 最佳实践规划
Kubernetes ConfigMap和Secret的最佳实践规划:
# 最佳实践规划
– ConfigMap最佳实践:
– 按功能分组:将相关的配置放在同一个ConfigMap中
– 合理命名:使用清晰的命名规范,便于识别和管理
– 版本控制:将ConfigMap配置存储在Git中,便于版本控制和回滚
– 环境分离:为不同的环境(开发、测试、生产)创建不同的ConfigMap
– 配置验证:在应用启动前验证配置的有效性
– 避免过大:单个ConfigMap的大小不应超过1MB
– Secret最佳实践:
– 最小权限:只授予必要的Pod访问Secret的权限
– 加密存储:使用Kubernetes的Secret加密功能,或使用外部密钥管理系统
– 定期轮换:定期轮换敏感数据,如密码、令牌等
– 避免明文:不在配置文件或代码中硬编码敏感数据
– 使用Sealed Secrets:将加密后的Secret存储在Git中,便于版本控制
– 审计日志:启用审计日志,监控Secret的访问
– 集成最佳实践:
– 与CI/CD集成:在CI/CD流程中自动更新ConfigMap和Secret
– 与密钥管理系统集成:使用外部密钥管理系统(如Vault)管理敏感数据
– 与GitOps集成:使用GitOps工具(如Flux、Argo CD)管理配置的版本和部署
– 与监控集成:监控ConfigMap和Secret的变化,及时发现异常
– 安全最佳实践:
– 启用RBAC:使用RBAC控制对ConfigMap和Secret的访问
– 启用Pod Security Policies:限制Pod对Secret的访问方式
– 启用Network Policies:限制Pod间的通信,防止敏感数据泄露
– 定期审计:定期审计ConfigMap和Secret的使用情况,发现安全隐患
– ConfigMap最佳实践:
– 按功能分组:将相关的配置放在同一个ConfigMap中
– 合理命名:使用清晰的命名规范,便于识别和管理
– 版本控制:将ConfigMap配置存储在Git中,便于版本控制和回滚
– 环境分离:为不同的环境(开发、测试、生产)创建不同的ConfigMap
– 配置验证:在应用启动前验证配置的有效性
– 避免过大:单个ConfigMap的大小不应超过1MB
– Secret最佳实践:
– 最小权限:只授予必要的Pod访问Secret的权限
– 加密存储:使用Kubernetes的Secret加密功能,或使用外部密钥管理系统
– 定期轮换:定期轮换敏感数据,如密码、令牌等
– 避免明文:不在配置文件或代码中硬编码敏感数据
– 使用Sealed Secrets:将加密后的Secret存储在Git中,便于版本控制
– 审计日志:启用审计日志,监控Secret的访问
– 集成最佳实践:
– 与CI/CD集成:在CI/CD流程中自动更新ConfigMap和Secret
– 与密钥管理系统集成:使用外部密钥管理系统(如Vault)管理敏感数据
– 与GitOps集成:使用GitOps工具(如Flux、Argo CD)管理配置的版本和部署
– 与监控集成:监控ConfigMap和Secret的变化,及时发现异常
– 安全最佳实践:
– 启用RBAC:使用RBAC控制对ConfigMap和Secret的访问
– 启用Pod Security Policies:限制Pod对Secret的访问方式
– 启用Network Policies:限制Pod间的通信,防止敏感数据泄露
– 定期审计:定期审计ConfigMap和Secret的使用情况,发现安全隐患
Part03-生产环境项目实施方案
3.1 ConfigMap实现
ConfigMap实现的具体步骤:
# ConfigMap实现
1. 创建ConfigMap:
# 从文件创建ConfigMap
$ echo “database.url=jdbc:mysql://localhost:3306/fgedudb” > config.properties
$ echo “database.username=fgedu” >> config.properties
$ echo “database.password=password” >> config.properties
$ kubectl create configmap app-config –from-file=config.properties
# 从字面量创建ConfigMap
$ kubectl create configmap app-config-literal –from-literal=database.url=jdbc:mysql://localhost:3306/fgedudb –from-literal=database.username=fgedu –from-literal=database.password=password
# 从目录创建ConfigMap
$ mkdir config
$ echo “key1=value1” > config/file1.txt
$ echo “key2=value2” > config/file2.txt
$ kubectl create configmap app-config-dir –from-file=config/
# 查看ConfigMap
$ kubectl get configmaps
# 输出
NAME DATA AGE
app-config 1 1m
app-config-literal 3 1m
app-config-dir 2 1m
# 查看ConfigMap内容
$ kubectl describe configmap app-config
# 输出
Name: app-config
Namespace: default
Labels:
Annotations:
Data
====
config.properties:
—-
database.url=jdbc:mysql://localhost:3306/fgedudb
database.username=fgedu
database.password=password
2. 在Pod中使用ConfigMap:
# 通过环境变量使用ConfigMap
$ cat > pod-env.yaml << 'EOF' apiVersion: v1 kind: Pod metadata: name: app-pod-env spec: containers: - name: app image: nginx:latest env: - name: DATABASE_URL valueFrom: configMapKeyRef:,风哥提示:。 name: app-config-literal key: database.url - name: DATABASE_USERNAME valueFrom: configMapKeyRef: name: app-config-literal key: database.username - name: DATABASE_PASSWORD valueFrom: configMapKeyRef: name: app-config-literal key: database.password EOF $ kubectl apply -f pod-env.yaml # 通过卷挂载使用ConfigMap $ cat > pod-volume.yaml << 'EOF' apiVersion: v1 kind: Pod metadata: name: app-pod-volume spec: containers: - name: app image: nginx:latest volumeMounts: - name: config-volume mountPath: /etc/config volumes: - name: config-volume configMap: name: app-config EOF $ kubectl apply -f pod-volume.yaml 3. 更新ConfigMap: # 编辑ConfigMap $ kubectl edit configmap app-config # 或使用kubectl replace $ cat > app-config.yaml << 'EOF' apiVersion: v1 kind: ConfigMap metadata: name: app-config data: config.properties: | database.url=jdbc:mysql://localhost:3306/fgedudb database.username=fgedu database.password=newpassword database.port=3306 EOF $ kubectl replace -f app-config.yaml # 查看ConfigMap更新 $ kubectl describe configmap app-config # 输出 Name: app-config Namespace: default Labels:
Annotations:
Data
====
config.properties:
—-
database.url=jdbc:mysql://localhost:3306/fgedudb
database.username=fgedu
database.password=newpassword
database.port=3306
1. 创建ConfigMap:
# 从文件创建ConfigMap
$ echo “database.url=jdbc:mysql://localhost:3306/fgedudb” > config.properties
$ echo “database.username=fgedu” >> config.properties
$ echo “database.password=password” >> config.properties
$ kubectl create configmap app-config –from-file=config.properties
# 从字面量创建ConfigMap
$ kubectl create configmap app-config-literal –from-literal=database.url=jdbc:mysql://localhost:3306/fgedudb –from-literal=database.username=fgedu –from-literal=database.password=password
# 从目录创建ConfigMap
$ mkdir config
$ echo “key1=value1” > config/file1.txt
$ echo “key2=value2” > config/file2.txt
$ kubectl create configmap app-config-dir –from-file=config/
# 查看ConfigMap
$ kubectl get configmaps
# 输出
NAME DATA AGE
app-config 1 1m
app-config-literal 3 1m
app-config-dir 2 1m
# 查看ConfigMap内容
$ kubectl describe configmap app-config
# 输出
Name: app-config
Namespace: default
Labels:
Annotations:
Data
====
config.properties:
—-
database.url=jdbc:mysql://localhost:3306/fgedudb
database.username=fgedu
database.password=password
2. 在Pod中使用ConfigMap:
# 通过环境变量使用ConfigMap
$ cat > pod-env.yaml << 'EOF' apiVersion: v1 kind: Pod metadata: name: app-pod-env spec: containers: - name: app image: nginx:latest env: - name: DATABASE_URL valueFrom: configMapKeyRef:,风哥提示:。 name: app-config-literal key: database.url - name: DATABASE_USERNAME valueFrom: configMapKeyRef: name: app-config-literal key: database.username - name: DATABASE_PASSWORD valueFrom: configMapKeyRef: name: app-config-literal key: database.password EOF $ kubectl apply -f pod-env.yaml # 通过卷挂载使用ConfigMap $ cat > pod-volume.yaml << 'EOF' apiVersion: v1 kind: Pod metadata: name: app-pod-volume spec: containers: - name: app image: nginx:latest volumeMounts: - name: config-volume mountPath: /etc/config volumes: - name: config-volume configMap: name: app-config EOF $ kubectl apply -f pod-volume.yaml 3. 更新ConfigMap: # 编辑ConfigMap $ kubectl edit configmap app-config # 或使用kubectl replace $ cat > app-config.yaml << 'EOF' apiVersion: v1 kind: ConfigMap metadata: name: app-config data: config.properties: | database.url=jdbc:mysql://localhost:3306/fgedudb database.username=fgedu database.password=newpassword database.port=3306 EOF $ kubectl replace -f app-config.yaml # 查看ConfigMap更新 $ kubectl describe configmap app-config # 输出 Name: app-config Namespace: default Labels:
Annotations:
Data
====
config.properties:
—-
database.url=jdbc:mysql://localhost:3306/fgedudb
database.username=fgedu
database.password=newpassword
database.port=3306
3.2 Secret实现
Secret实现的具体步骤。,风哥提示:。
# Secret实现
1. 创建Secret:
# 从文件创建Secret
$ echo “password” > password.txt
$ kubectl create secret generic db-secret –from-file=password=password.txt
# 从字面量创建Secret
$ kubectl create secret generic db-secret-literal –from-literal=username=fgedu –from-literal=password=password
# 创建TLS Secret
$ openssl req -x509 -newkey rsa:4096 -keyout tls.key -out tls.crt -days 365 -nodes -subj “/CN=example.com”
$ kubectl create secret tls tls-secret –key tls.key –cert tls.crt
# 查看Secret
$ kubectl get secrets
# 输出
NAME TYPE DATA AGE
db-secret Opaque 1 1m
db-secret-literal Opaque 2 1m
tls-secret kubernetes.io/tls 2 1m
# 查看Secret内容(解码)
$ kubectl get secret db-secret-literal -o jsonpath='{.data.username}’ | base64 –decode
$ kubectl get secret db-secret-literal -o jsonpath='{.data.password}’ | base64 –decode
2. 在Pod中使用Secret:
# 通过环境变量使用Secret
$ cat > pod-secret-env.yaml << 'EOF' apiVersion: v1 kind: Pod metadata: name: app-pod-secret-env spec: containers: - name: app image: nginx:latest env: - name: DB_USERNAME valueFrom: secretKeyRef: name: db-secret-literal key: username - name: DB_PASSWORD valueFrom: secretKeyRef: name: db-secret-literal key: password EOF $ kubectl apply -f pod-secret-env.yaml # 通过卷挂载使用Secret $ cat > pod-secret-volume.yaml << 'EOF' apiVersion: v1 kind: Pod metadata: name: app-pod-secret-volume spec: containers: - name: app image: nginx:latest volumeMounts: - name: secret-volume mountPath: /etc/secrets readOnly: true volumes:,学习交流加群风哥微信: itpux-com。 - name: secret-volume secret: secretName: db-secret-literal EOF $ kubectl apply -f pod-secret-volume.yaml 3. 更新Secret: # 编辑Secret $ kubectl edit secret db-secret-literal # 或使用kubectl replace $ cat > db-secret.yaml << 'EOF' apiVersion: v1 kind: Secret metadata: name: db-secret-literal type: Opaque data: username: ZmdlZHU= password: bmV3cGFzc3dvcmQ= EOF $ kubectl replace -f db-secret.yaml # 查看Secret更新 $ kubectl get secret db-secret-literal -o jsonpath='{.data.password}' | base64 --decode # 输出 newpassword
1. 创建Secret:
# 从文件创建Secret
$ echo “password” > password.txt
$ kubectl create secret generic db-secret –from-file=password=password.txt
# 从字面量创建Secret
$ kubectl create secret generic db-secret-literal –from-literal=username=fgedu –from-literal=password=password
# 创建TLS Secret
$ openssl req -x509 -newkey rsa:4096 -keyout tls.key -out tls.crt -days 365 -nodes -subj “/CN=example.com”
$ kubectl create secret tls tls-secret –key tls.key –cert tls.crt
# 查看Secret
$ kubectl get secrets
# 输出
NAME TYPE DATA AGE
db-secret Opaque 1 1m
db-secret-literal Opaque 2 1m
tls-secret kubernetes.io/tls 2 1m
# 查看Secret内容(解码)
$ kubectl get secret db-secret-literal -o jsonpath='{.data.username}’ | base64 –decode
$ kubectl get secret db-secret-literal -o jsonpath='{.data.password}’ | base64 –decode
2. 在Pod中使用Secret:
# 通过环境变量使用Secret
$ cat > pod-secret-env.yaml << 'EOF' apiVersion: v1 kind: Pod metadata: name: app-pod-secret-env spec: containers: - name: app image: nginx:latest env: - name: DB_USERNAME valueFrom: secretKeyRef: name: db-secret-literal key: username - name: DB_PASSWORD valueFrom: secretKeyRef: name: db-secret-literal key: password EOF $ kubectl apply -f pod-secret-env.yaml # 通过卷挂载使用Secret $ cat > pod-secret-volume.yaml << 'EOF' apiVersion: v1 kind: Pod metadata: name: app-pod-secret-volume spec: containers: - name: app image: nginx:latest volumeMounts: - name: secret-volume mountPath: /etc/secrets readOnly: true volumes:,学习交流加群风哥微信: itpux-com。 - name: secret-volume secret: secretName: db-secret-literal EOF $ kubectl apply -f pod-secret-volume.yaml 3. 更新Secret: # 编辑Secret $ kubectl edit secret db-secret-literal # 或使用kubectl replace $ cat > db-secret.yaml << 'EOF' apiVersion: v1 kind: Secret metadata: name: db-secret-literal type: Opaque data: username: ZmdlZHU= password: bmV3cGFzc3dvcmQ= EOF $ kubectl replace -f db-secret.yaml # 查看Secret更新 $ kubectl get secret db-secret-literal -o jsonpath='{.data.password}' | base64 --decode # 输出 newpassword
3.3 管理实现
ConfigMap和Secret管理的具体步骤。
# 管理实现
1. 使用Helm管理ConfigMap和Secret:
# 创建Helm chart
$ helm create app-chart
# 编辑values.yaml
$ cat > app-chart/values.yaml << 'EOF' config: database: url: jdbc:mysql://localhost:3306/fgedudb username: fgedu secret: database: password: password EOF # 编辑templates/configmap.yaml $ cat > app-chart/templates/configmap.yaml << 'EOF' apiVersion: v1 kind: ConfigMap metadata: name: {{ .Release.Name }}-config data: config.properties: | database.url={{ .Values.config.database.url }} database.username={{ .Values.config.database.username }} EOF # 编辑templates/secret.yaml $ cat > app-chart/templates/secret.yaml << 'EOF' apiVersion: v1 kind: Secret metadata: name: {{ .Release.Name }}-secret type: Opaque data: password: {{ .Values.secret.database.password | b64enc }} EOF # 安装Helm chart $ helm install app app-chart # 查看创建的资源 $ kubectl get configmaps,secrets 2. 使用Kustomize管理不同环境的配置: # 创建base目录 $ mkdir -p kustomize/base # 创建base/configmap.yaml $ cat > kustomize/base/configmap.yaml << 'EOF' apiVersion: v1 kind: ConfigMap metadata: name: app-config data: config.properties: | database.url=jdbc:mysql://localhost:3306/fgedudb database.username=fgedu EOF # 创建base/secret.yaml $ cat > kustomize/base/secret.yaml << 'EOF' apiVersion: v1 kind: Secret metadata: name: app-secret type: Opaque data: password: cGFzc3dvcmQ= EOF # 创建overlay目录 $ mkdir -p kustomize/overlays/production # 创建production/kustomization.yaml $ cat > kustomize/overlays/production/kustomization.yaml << 'EOF' apiVersion: kustomize.config.k8s.io/v1beta1 kind: Kustomization bases: - ../../base patches: - patch.yaml EOF # 创建production/patch.yaml $ cat > kustomize/overlays/production/patch.yaml << 'EOF' apiVersion: v1 kind: ConfigMap metadata: name: app-config data: config.properties: | database.url=jdbc:mysql://prod-db:3306/fgedudb database.username=fgedu --- apiVersion: v1 kind: Secret metadata: name: app-secret type: Opaque data: password: cHJvZHVjdHBhc3N3b3Jk EOF # 应用Kustomize $ kubectl apply -k kustomize/overlays/production 3. 使用Sealed Secrets加密Secret: # 安装Sealed Secrets控制器 $ kubectl apply -f https://github.com/bitnami-labs/sealed-secrets/releases/download/v0.18.0/controller.yaml # 安装kubeseal $ wget https://github.com/bitnami-labs/sealed-secrets/releases/download/v0.18.0/kubeseal-linux-amd64 -O kubeseal,学习交流加群风哥QQ113257174。 $ chmod +x kubeseal $ sudo mv kubeseal /usr/local/bin/ # 创建原始Secret $ cat > secret.yaml << 'EOF' apiVersion: v1 kind: Secret metadata: name: db-secret type: Opaque data: password: cGFzc3dvcmQ= EOF # 加密Secret $ kubeseal < secret.yaml > sealed-secret.yaml
# 应用加密后的Secret
$ kubectl apply -f sealed-secret.yaml
# 查看创建的Secret
$ kubectl get secrets
# 输出
NAME TYPE DATA AGE
db-secret Opaque 1 1m
1. 使用Helm管理ConfigMap和Secret:
# 创建Helm chart
$ helm create app-chart
# 编辑values.yaml
$ cat > app-chart/values.yaml << 'EOF' config: database: url: jdbc:mysql://localhost:3306/fgedudb username: fgedu secret: database: password: password EOF # 编辑templates/configmap.yaml $ cat > app-chart/templates/configmap.yaml << 'EOF' apiVersion: v1 kind: ConfigMap metadata: name: {{ .Release.Name }}-config data: config.properties: | database.url={{ .Values.config.database.url }} database.username={{ .Values.config.database.username }} EOF # 编辑templates/secret.yaml $ cat > app-chart/templates/secret.yaml << 'EOF' apiVersion: v1 kind: Secret metadata: name: {{ .Release.Name }}-secret type: Opaque data: password: {{ .Values.secret.database.password | b64enc }} EOF # 安装Helm chart $ helm install app app-chart # 查看创建的资源 $ kubectl get configmaps,secrets 2. 使用Kustomize管理不同环境的配置: # 创建base目录 $ mkdir -p kustomize/base # 创建base/configmap.yaml $ cat > kustomize/base/configmap.yaml << 'EOF' apiVersion: v1 kind: ConfigMap metadata: name: app-config data: config.properties: | database.url=jdbc:mysql://localhost:3306/fgedudb database.username=fgedu EOF # 创建base/secret.yaml $ cat > kustomize/base/secret.yaml << 'EOF' apiVersion: v1 kind: Secret metadata: name: app-secret type: Opaque data: password: cGFzc3dvcmQ= EOF # 创建overlay目录 $ mkdir -p kustomize/overlays/production # 创建production/kustomization.yaml $ cat > kustomize/overlays/production/kustomization.yaml << 'EOF' apiVersion: kustomize.config.k8s.io/v1beta1 kind: Kustomization bases: - ../../base patches: - patch.yaml EOF # 创建production/patch.yaml $ cat > kustomize/overlays/production/patch.yaml << 'EOF' apiVersion: v1 kind: ConfigMap metadata: name: app-config data: config.properties: | database.url=jdbc:mysql://prod-db:3306/fgedudb database.username=fgedu --- apiVersion: v1 kind: Secret metadata: name: app-secret type: Opaque data: password: cHJvZHVjdHBhc3N3b3Jk EOF # 应用Kustomize $ kubectl apply -k kustomize/overlays/production 3. 使用Sealed Secrets加密Secret: # 安装Sealed Secrets控制器 $ kubectl apply -f https://github.com/bitnami-labs/sealed-secrets/releases/download/v0.18.0/controller.yaml # 安装kubeseal $ wget https://github.com/bitnami-labs/sealed-secrets/releases/download/v0.18.0/kubeseal-linux-amd64 -O kubeseal,学习交流加群风哥QQ113257174。 $ chmod +x kubeseal $ sudo mv kubeseal /usr/local/bin/ # 创建原始Secret $ cat > secret.yaml << 'EOF' apiVersion: v1 kind: Secret metadata: name: db-secret type: Opaque data: password: cGFzc3dvcmQ= EOF # 加密Secret $ kubeseal < secret.yaml > sealed-secret.yaml
# 应用加密后的Secret
$ kubectl apply -f sealed-secret.yaml
# 查看创建的Secret
$ kubectl get secrets
# 输出
NAME TYPE DATA AGE
db-secret Opaque 1 1m
Part04-生产案例与实战讲解
4.1 ConfigMap案例
ConfigMap的实战案例。
# 案例:使用ConfigMap管理应用配置
# 场景:部署一个Web应用,需要通过ConfigMap管理其配置
# 问题:
– 应用配置需要与代码分离
– 不同环境需要不同的配置
– 配置需要便于更新和回滚
# 解决方案:
1. 创建ConfigMap:
# 创建开发环境ConfigMap
$ cat > configmap-dev.yaml << 'EOF' apiVersion: v1 kind: ConfigMap metadata: name: app-config-dev data: application.properties: | # 应用配置 app.name=MyApp app.version=1.0.0 # 数据库配置 spring.datasource.url=jdbc:mysql://dev-db:3306/fgedudb spring.datasource.username=fgedu spring.datasource.password=dev-password # 日志配置 logging.level.root=info EOF $ kubectl apply -f configmap-dev.yaml # 创建生产环境ConfigMap $ cat > configmap-prod.yaml << 'EOF' apiVersion: v1 kind: ConfigMap metadata: name: app-config-prod data: application.properties: | # 应用配置 app.name=MyApp app.version=1.0.0 # 数据库配置 spring.datasource.url=jdbc:mysql://prod-db:3306/fgedudb spring.datasource.username=fgedu spring.datasource.password=prod-password # 日志配置 logging.level.root=warn EOF $ kubectl apply -f configmap-prod.yaml 2. 部署应用: # 部署开发环境应用 $ cat > deployment-dev.yaml << 'EOF' apiVersion: apps/v1 kind: Deployment metadata: name: app-dev spec: replicas: 2 selector: matchLabels: app: app-dev template: metadata: labels: app: app-dev spec: containers: - name: app image: spring-boot-app:latest ports: - containerPort: 8080 volumeMounts: - name: config-volume mountPath: /app/config volumes: - name: config-volume configMap: name: app-config-dev EOF $ kubectl apply -f deployment-dev.yaml # 部署生产环境应用 $ cat > deployment-prod.yaml << 'EOF' apiVersion: apps/v1 kind: Deployment metadata: name: app-prod spec: replicas: 3 selector: matchLabels: app: app-prod template: metadata: labels: app: app-prod spec: containers: - name: app image: spring-boot-app:latest ports: - containerPort: 8080 volumeMounts: - name: config-volume mountPath: /app/config,更多视频教程www.fgedu.net.cn。 volumes: - name: config-volume configMap: name: app-config-prod EOF $ kubectl apply -f deployment-prod.yaml 3. 更新配置: # 更新开发环境ConfigMap $ cat > configmap-dev-updated.yaml << 'EOF' apiVersion: v1 kind: ConfigMap metadata: name: app-config-dev data: application.properties: | # 应用配置 app.name=MyApp app.version=1.0.1 # 数据库配置 spring.datasource.url=jdbc:mysql://dev-db:3306/fgedudb spring.datasource.username=fgedu spring.datasource.password=dev-password # 日志配置 logging.level.root=debug EOF $ kubectl replace -f configmap-dev-updated.yaml # 查看配置更新 $ kubectl describe configmap app-config-dev # 输出 Name: app-config-dev Namespace: default Labels:
Annotations:
Data
====
application.properties:
—-
# 应用配置
app.name=MyApp
app.version=1.0.1
# 数据库配置
spring.datasource.url=jdbc:mysql://dev-db:3306/fgedudb
spring.datasource.username=fgedu
spring.datasource.password=dev-password
# 日志配置
logging.level.root=debug
4. 验证应用:
# 查看开发环境Pod
$ kubectl get pods -l app=app-dev
# 输出
NAME READY STATUS RESTARTS AGE
app-dev-12345-abcde 1/1 Running 0 1m
app-dev-12345-fghij 1/1 Running 0 1m
# 查看生产环境Pod
$ kubectl get pods -l app=app-prod
# 输出
NAME READY STATUS RESTARTS AGE
app-prod-67890-klmno 1/1 Running 0 1m
app-prod-67890-pqrst 1/1 Running 0 1m
app-prod-67890-uvwxy 1/1 Running 0 1m
# 输出结果:
# 应用配置与代码分离
# 不同环境使用不同的配置
# 配置更新方便
# 场景:部署一个Web应用,需要通过ConfigMap管理其配置
# 问题:
– 应用配置需要与代码分离
– 不同环境需要不同的配置
– 配置需要便于更新和回滚
# 解决方案:
1. 创建ConfigMap:
# 创建开发环境ConfigMap
$ cat > configmap-dev.yaml << 'EOF' apiVersion: v1 kind: ConfigMap metadata: name: app-config-dev data: application.properties: | # 应用配置 app.name=MyApp app.version=1.0.0 # 数据库配置 spring.datasource.url=jdbc:mysql://dev-db:3306/fgedudb spring.datasource.username=fgedu spring.datasource.password=dev-password # 日志配置 logging.level.root=info EOF $ kubectl apply -f configmap-dev.yaml # 创建生产环境ConfigMap $ cat > configmap-prod.yaml << 'EOF' apiVersion: v1 kind: ConfigMap metadata: name: app-config-prod data: application.properties: | # 应用配置 app.name=MyApp app.version=1.0.0 # 数据库配置 spring.datasource.url=jdbc:mysql://prod-db:3306/fgedudb spring.datasource.username=fgedu spring.datasource.password=prod-password # 日志配置 logging.level.root=warn EOF $ kubectl apply -f configmap-prod.yaml 2. 部署应用: # 部署开发环境应用 $ cat > deployment-dev.yaml << 'EOF' apiVersion: apps/v1 kind: Deployment metadata: name: app-dev spec: replicas: 2 selector: matchLabels: app: app-dev template: metadata: labels: app: app-dev spec: containers: - name: app image: spring-boot-app:latest ports: - containerPort: 8080 volumeMounts: - name: config-volume mountPath: /app/config volumes: - name: config-volume configMap: name: app-config-dev EOF $ kubectl apply -f deployment-dev.yaml # 部署生产环境应用 $ cat > deployment-prod.yaml << 'EOF' apiVersion: apps/v1 kind: Deployment metadata: name: app-prod spec: replicas: 3 selector: matchLabels: app: app-prod template: metadata: labels: app: app-prod spec: containers: - name: app image: spring-boot-app:latest ports: - containerPort: 8080 volumeMounts: - name: config-volume mountPath: /app/config,更多视频教程www.fgedu.net.cn。 volumes: - name: config-volume configMap: name: app-config-prod EOF $ kubectl apply -f deployment-prod.yaml 3. 更新配置: # 更新开发环境ConfigMap $ cat > configmap-dev-updated.yaml << 'EOF' apiVersion: v1 kind: ConfigMap metadata: name: app-config-dev data: application.properties: | # 应用配置 app.name=MyApp app.version=1.0.1 # 数据库配置 spring.datasource.url=jdbc:mysql://dev-db:3306/fgedudb spring.datasource.username=fgedu spring.datasource.password=dev-password # 日志配置 logging.level.root=debug EOF $ kubectl replace -f configmap-dev-updated.yaml # 查看配置更新 $ kubectl describe configmap app-config-dev # 输出 Name: app-config-dev Namespace: default Labels:
Annotations:
Data
====
application.properties:
—-
# 应用配置
app.name=MyApp
app.version=1.0.1
# 数据库配置
spring.datasource.url=jdbc:mysql://dev-db:3306/fgedudb
spring.datasource.username=fgedu
spring.datasource.password=dev-password
# 日志配置
logging.level.root=debug
4. 验证应用:
# 查看开发环境Pod
$ kubectl get pods -l app=app-dev
# 输出
NAME READY STATUS RESTARTS AGE
app-dev-12345-abcde 1/1 Running 0 1m
app-dev-12345-fghij 1/1 Running 0 1m
# 查看生产环境Pod
$ kubectl get pods -l app=app-prod
# 输出
NAME READY STATUS RESTARTS AGE
app-prod-67890-klmno 1/1 Running 0 1m
app-prod-67890-pqrst 1/1 Running 0 1m
app-prod-67890-uvwxy 1/1 Running 0 1m
# 输出结果:
# 应用配置与代码分离
# 不同环境使用不同的配置
# 配置更新方便
4.2 Secret案例
Secret的实战案例。
# 案例:使用Secret管理数据库凭证
# 场景:部署一个应用,需要连接数据库,使用Secret管理数据库凭证
# 问题:
– 数据库凭证需要安全存储
– 凭证需要与应用代码分离
– 凭证需要便于更新和轮换
# 解决方案:
1. 创建Secret:
# 创建数据库凭证Secret
$ kubectl create secret generic db-credentials –from-literal=username=fgedu –from-literal=password=secure-password
# 查看Secret
$ kubectl get secrets
# 输出
NAME TYPE DATA AGE
db-credentials Opaque 2 1m
2. 部署应用:
# 部署应用
$ cat > deployment.yaml << 'EOF' apiVersion: apps/v1 kind: Deployment metadata: name: app spec: replicas: 3 selector: matchLabels: app: app template: metadata: labels: app: app spec: containers: - name: app image: spring-boot-app:latest ports: - containerPort: 8080 env: - name: DB_USERNAME valueFrom: secretKeyRef: name: db-credentials key: username - name: DB_PASSWORD valueFrom: secretKeyRef: name: db-credentials key: password - name: DB_URL value: jdbc:mysql://db:3306/fgedudb EOF $ kubectl apply -f deployment.yaml 3. 轮换凭证: # 更新Secret $ kubectl create secret generic db-credentials --from-literal=username=fgedu --from-literal=password=new-secure-password --dry-run=client -o yaml | kubectl apply -f - # 查看Secret更新 $ kubectl get secret db-credentials -o jsonpath='{.data.password}' | base64 --decode # 输出 new-secure-password # 滚动更新应用,使新凭证生效,更多学习教程公众号风哥教程itpux_com。 $ kubectl rollout restart deployment app 4. 验证应用: # 查看Pod $ kubectl get pods -l app=app # 输出 NAME READY STATUS RESTARTS AGE app-12345-abcde 1/1 Running 0 1m app-12345-fghij 1/1 Running 0 1m app-12345-klmno 1/1 Running 0 1m # 查看Pod日志,确认应用正常连接数据库 $ kubectl logs app-12345-abcde # 输出 ... 2024-01-01 00:00:00.000 INFO 1 --- [ main] com.example.App : Database connected successfully ... # 输出结果: # 数据库凭证安全存储 # 凭证与应用代码分离 # 凭证轮换方便
# 场景:部署一个应用,需要连接数据库,使用Secret管理数据库凭证
# 问题:
– 数据库凭证需要安全存储
– 凭证需要与应用代码分离
– 凭证需要便于更新和轮换
# 解决方案:
1. 创建Secret:
# 创建数据库凭证Secret
$ kubectl create secret generic db-credentials –from-literal=username=fgedu –from-literal=password=secure-password
# 查看Secret
$ kubectl get secrets
# 输出
NAME TYPE DATA AGE
db-credentials Opaque 2 1m
2. 部署应用:
# 部署应用
$ cat > deployment.yaml << 'EOF' apiVersion: apps/v1 kind: Deployment metadata: name: app spec: replicas: 3 selector: matchLabels: app: app template: metadata: labels: app: app spec: containers: - name: app image: spring-boot-app:latest ports: - containerPort: 8080 env: - name: DB_USERNAME valueFrom: secretKeyRef: name: db-credentials key: username - name: DB_PASSWORD valueFrom: secretKeyRef: name: db-credentials key: password - name: DB_URL value: jdbc:mysql://db:3306/fgedudb EOF $ kubectl apply -f deployment.yaml 3. 轮换凭证: # 更新Secret $ kubectl create secret generic db-credentials --from-literal=username=fgedu --from-literal=password=new-secure-password --dry-run=client -o yaml | kubectl apply -f - # 查看Secret更新 $ kubectl get secret db-credentials -o jsonpath='{.data.password}' | base64 --decode # 输出 new-secure-password # 滚动更新应用,使新凭证生效,更多学习教程公众号风哥教程itpux_com。 $ kubectl rollout restart deployment app 4. 验证应用: # 查看Pod $ kubectl get pods -l app=app # 输出 NAME READY STATUS RESTARTS AGE app-12345-abcde 1/1 Running 0 1m app-12345-fghij 1/1 Running 0 1m app-12345-klmno 1/1 Running 0 1m # 查看Pod日志,确认应用正常连接数据库 $ kubectl logs app-12345-abcde # 输出 ... 2024-01-01 00:00:00.000 INFO 1 --- [ main] com.example.App : Database connected successfully ... # 输出结果: # 数据库凭证安全存储 # 凭证与应用代码分离 # 凭证轮换方便
4.3 集成案例
ConfigMap和Secret的集成案例。
# 案例:使用ConfigMap和Secret集成部署应用
# 场景:部署一个完整的应用,使用ConfigMap管理配置,使用Secret管理敏感信息
# 问题:
– 应用需要配置和敏感信息
– 配置和敏感信息需要与代码分离
– 需要支持不同环境的配置
# 解决方案:
1. 创建ConfigMap和Secret:
# 创建ConfigMap
$ cat > configmap.yaml << 'EOF' apiVersion: v1 kind: ConfigMap metadata: name: app-config data: application.properties: | # 应用配置 app.name=MyApp app.version=1.0.0 # 数据库配置 spring.datasource.url=jdbc:mysql://db:3306/fgedudb spring.datasource.username=${DB_USERNAME} # Redis配置 spring.redis.host=redis spring.redis.port=6379 EOF $ kubectl apply -f configmap.yaml # 创建Secret $ kubectl create secret generic app-secrets --from-literal=db-password=secure-password --from-literal=redis-password=redis-password 2. 部署应用: # 部署应用 $ cat > deployment.yaml << 'EOF' apiVersion: apps/v1 kind: Deployment metadata: name: app spec: replicas: 3 selector: matchLabels: app: app template: metadata: labels: app: app spec: containers: - name: app image: spring-boot-app:latest ports: - containerPort: 8080 env: - name: DB_USERNAME value: fgedu - name: DB_PASSWORD valueFrom: secretKeyRef: name: app-secrets key: db-password - name: REDIS_PASSWORD valueFrom: secretKeyRef: name: app-secrets key: redis-password volumeMounts: - name: config-volume mountPath: /app/config volumes: - name: config-volume configMap: name: app-config EOF $ kubectl apply -f deployment.yaml 3. 部署数据库和Redis: # 部署MySQL $ cat > mysql-deployment.yaml << 'EOF' apiVersion: apps/v1 kind: Deployment metadata: name: mysql spec: replicas: 1 selector: matchLabels: app: mysql template: metadata: labels: app: mysql spec: containers: - name: mysql image: mysql:8.0 ports: - containerPort: 3306 env: - name: MYSQL_ROOT_PASSWORD valueFrom: secretKeyRef: name: app-secrets key: db-password - name: MYSQL_DATABASE value: fgedudb - name: MYSQL_USER value: fgedu,from K8S+DB视频:www.itpux.com。 - name: MYSQL_PASSWORD valueFrom: secretKeyRef: name: app-secrets key: db-password EOF $ kubectl apply -f mysql-deployment.yaml 。 # 部署Redis $ cat > redis-deployment.yaml << 'EOF' apiVersion: apps/v1 kind: Deployment metadata: name: redis spec: replicas: 1 selector: matchLabels: app: redis template: metadata: labels: app: redis spec: containers: - name: redis image: redis:6.0 ports: - containerPort: 6379 command: - redis-server - --requirepass - $(REDIS_PASSWORD) env: - name: REDIS_PASSWORD valueFrom: secretKeyRef: name: app-secrets key: redis-password EOF $ kubectl apply -f redis-deployment.yaml 4. 验证部署: # 查看所有Pod $ kubectl get pods # 输出 NAME READY STATUS RESTARTS AGE app-12345-abcde 1/1 Running 0 1m app-12345-fghij 1/1 Running 0 1m app-12345-klmno 1/1 Running 0 1m mysql-67890-pqrst 1/1 Running 0 1m redis-67890-uvwxy 1/1 Running 0 1m # 查看应用日志 $ kubectl logs app-12345-abcde # 输出 ... 2024-01-01 00:00:00.000 INFO 1 --- [ main] com.example.App : Application started 2024-01-01 00:00:00.001 INFO 1 --- [ main] com.example.App : Database connected successfully 2024-01-01 00:00:00.002 INFO 1 --- [ main] com.example.App : Redis connected successfully ... # 输出结果: # 应用配置和敏感信息分离管理 # 应用正常连接数据库和Redis # 部署成功
# 场景:部署一个完整的应用,使用ConfigMap管理配置,使用Secret管理敏感信息
# 问题:
– 应用需要配置和敏感信息
– 配置和敏感信息需要与代码分离
– 需要支持不同环境的配置
# 解决方案:
1. 创建ConfigMap和Secret:
# 创建ConfigMap
$ cat > configmap.yaml << 'EOF' apiVersion: v1 kind: ConfigMap metadata: name: app-config data: application.properties: | # 应用配置 app.name=MyApp app.version=1.0.0 # 数据库配置 spring.datasource.url=jdbc:mysql://db:3306/fgedudb spring.datasource.username=${DB_USERNAME} # Redis配置 spring.redis.host=redis spring.redis.port=6379 EOF $ kubectl apply -f configmap.yaml # 创建Secret $ kubectl create secret generic app-secrets --from-literal=db-password=secure-password --from-literal=redis-password=redis-password 2. 部署应用: # 部署应用 $ cat > deployment.yaml << 'EOF' apiVersion: apps/v1 kind: Deployment metadata: name: app spec: replicas: 3 selector: matchLabels: app: app template: metadata: labels: app: app spec: containers: - name: app image: spring-boot-app:latest ports: - containerPort: 8080 env: - name: DB_USERNAME value: fgedu - name: DB_PASSWORD valueFrom: secretKeyRef: name: app-secrets key: db-password - name: REDIS_PASSWORD valueFrom: secretKeyRef: name: app-secrets key: redis-password volumeMounts: - name: config-volume mountPath: /app/config volumes: - name: config-volume configMap: name: app-config EOF $ kubectl apply -f deployment.yaml 3. 部署数据库和Redis: # 部署MySQL $ cat > mysql-deployment.yaml << 'EOF' apiVersion: apps/v1 kind: Deployment metadata: name: mysql spec: replicas: 1 selector: matchLabels: app: mysql template: metadata: labels: app: mysql spec: containers: - name: mysql image: mysql:8.0 ports: - containerPort: 3306 env: - name: MYSQL_ROOT_PASSWORD valueFrom: secretKeyRef: name: app-secrets key: db-password - name: MYSQL_DATABASE value: fgedudb - name: MYSQL_USER value: fgedu,from K8S+DB视频:www.itpux.com。 - name: MYSQL_PASSWORD valueFrom: secretKeyRef: name: app-secrets key: db-password EOF $ kubectl apply -f mysql-deployment.yaml 。 # 部署Redis $ cat > redis-deployment.yaml << 'EOF' apiVersion: apps/v1 kind: Deployment metadata: name: redis spec: replicas: 1 selector: matchLabels: app: redis template: metadata: labels: app: redis spec: containers: - name: redis image: redis:6.0 ports: - containerPort: 6379 command: - redis-server - --requirepass - $(REDIS_PASSWORD) env: - name: REDIS_PASSWORD valueFrom: secretKeyRef: name: app-secrets key: redis-password EOF $ kubectl apply -f redis-deployment.yaml 4. 验证部署: # 查看所有Pod $ kubectl get pods # 输出 NAME READY STATUS RESTARTS AGE app-12345-abcde 1/1 Running 0 1m app-12345-fghij 1/1 Running 0 1m app-12345-klmno 1/1 Running 0 1m mysql-67890-pqrst 1/1 Running 0 1m redis-67890-uvwxy 1/1 Running 0 1m # 查看应用日志 $ kubectl logs app-12345-abcde # 输出 ... 2024-01-01 00:00:00.000 INFO 1 --- [ main] com.example.App : Application started 2024-01-01 00:00:00.001 INFO 1 --- [ main] com.example.App : Database connected successfully 2024-01-01 00:00:00.002 INFO 1 --- [ main] com.example.App : Redis connected successfully ... # 输出结果: # 应用配置和敏感信息分离管理 # 应用正常连接数据库和Redis # 部署成功
Part05-风哥经验总结与分享
5.1 ConfigMap使用技巧
Kubernetes ConfigMap使用的技巧。
- 合理组织ConfigMap:按功能或应用模块组织ConfigMap,避免将所有配置放在一个ConfigMap中
- 使用环境变量或卷挂载:根据配置的类型选择合适的注入方式,环境变量适合小配置,卷挂载适合配置文件
- 版本控制:将ConfigMap配置存储在Git中,便于版本控制和回滚
- 配置验证:在应用启动前验证配置的有效性,避免配置错误导致应用启动失败
- 避免敏感数据:不要在ConfigMap中存储敏感数据,敏感数据应使用Secret
- 监控配置变化:监控ConfigMap的变化,及时发现配置问题
- 使用Kustomize:使用Kustomize管理不同环境的配置,简化配置管理
- 注意ConfigMap大小:单个ConfigMap的大小不应超过1MB,避免影响etcd性能
5.2 Secret管理技巧
Kubernetes Secret管理的技巧:
- 使用外部密钥管理系统:对于生产环境,考虑使用外部密钥管理系统(如Vault)管理敏感数据
- 定期轮换密钥:定期轮换密码、令牌等敏感数据,提高安全性
- 使用Sealed Secrets:使用Sealed Secrets加密Secret,便于Git存储和版本控制
- 最小权限原则:只授予必要的Pod访问Secret的权限,减少安全风险
- 启用Secret加密:启用Kubernetes的Secret加密功能,确保etcd中的Secret数据加密存储
- 审计Secret访问:启用审计日志,监控Secret的访问情况,及时发现异常
- 避免硬编码:不在代码或配置文件中硬编码敏感数据,使用Secret注入
- 注意Secret大小:单个Secret的大小不应超过1MB,避免影响etcd性能
5.3 未来趋势
Kubernetes ConfigMap和Secret的未来趋势:
- Secret管理的增强:Kubernetes将提供更强大的Secret管理功能,如自动密钥轮换、更高级的加密机制等
- 外部密钥管理集成:与外部密钥管理系统(如Vault)的集成将更加紧密,提供更安全的密钥管理方案
- 配置管理的标准化:配置管理将更加标准化,便于跨云平台部署和管理
- 智能化配置:使用AI技术实现智能化配置管理,自动优化配置参数
- GitOps集成:与GitOps工具的集成将更加深入,实现配置的自动化管理和部署
- 安全增强:配置和密钥管理的安全性将进一步增强,提供更全面的安全保障
- 多集群管理:支持跨集群的配置和密钥管理,实现多集群统一管理
- 边缘计算支持:配置和密钥管理将延伸到边缘节点,支持边缘计算场景
本文由风哥教程整理发布,仅用于学习测试使用,转载注明出处:http://www.fgedu.net.cn/10327.html
