Kubernetes利用Volume挂载ConfigMap与Secret

news/2024/11/16 1:24:33/文章来源:https://www.cnblogs.com/zhangmingcheng/p/18391460

1、概述

　　在Kubernetes集群中，应用的配置管理是一个关键且复杂的任务。随着应用的扩展和微服务架构的普及，传统的配置文件管理方式已经难以满足动态、灵活的配置需求。幸运的是，Kubernetes提供了强大的配置管理能力，其中ConfigMap和Secret结合Volume挂载的方式是实现这一目标的重要手段。

1.1 ConfigMap

　　ConfigMap是Kubernetes中的一个API对象，用于存储非敏感的配置信息，如应用的配置参数、环境变量等。它允许你将配置信息与应用的容器镜像解耦，从而更容易地管理和更新配置。

1.2 Secret

　　与ConfigMap类似，Secret也是Kubernetes中的一个API对象，但它用于存储敏感信息，如数据库密码、OAuth令牌等。Secret通过Base64编码存储数据，但Kubernetes在将Secret挂载到Pod中时会自动进行解码，以确保数据的安全性。详细Secret资源讲解请参见《Kubernetes对象——Secret 》这篇博文。

2、利用Volume挂载ConfigMap与Secret

　　Kubernetes允许你将ConfigMap和Secret作为Volume挂载到Pod中，这样容器就可以直接访问到这些配置信息或敏感数据了。这种方式的好处是，支持动态更新。ConfigMap和Secret更新后，容器中的数据也会更新。

　　下面以nginx容器镜像为例演示，利用Volume挂载ConfigMap与Secret。

2.1 不挂载任何存储卷

（1）使用Nginx容器镜像的工作负载示例如下，没有挂载任何类型存储卷。

apiVersion: apps/v1
kind: Deployment
metadata:namespace: test-configmap-volumelabels:app: nginx-v1name: nginx-v1
spec:replicas: 1selector:matchLabels:app: nginx-v1template:metadata:labels:app: nginx-v1spec:containers:- name: container-jzx3ihimagePullPolicy: IfNotPresentimage: 'nginx'ports:- name: tcp-80protocol: TCPcontainerPort: 80serviceAccount: defaultaffinity: {}initContainers: []volumes: []strategy:type: RollingUpdaterollingUpdate:maxUnavailable: 25%maxSurge: 25%

（2）进入容器内部，可以看到使用nginx容器镜像启动nginx容器后，/etc/ssl目录下是存在数据文件的。

2.2 挂载ConfigMap

创建测试用的configmap。

apiVersion: v1
kind: ConfigMap
metadata:namespace: test-configmap-volumelabels: {}name: test-configmap-volume1
spec:template:metadata:labels: {}
data:a: aab: bbc: cc

2.2.1 将整个configmap资源对象挂载到容器内部

更新nginx-v1工作负载配置文件，将测试用的configmap资源对象挂载到nginx容器/etc/ssl目录下。

kind: Deployment
apiVersion: apps/v1
metadata:name: nginx-v1namespace: test-configmap-volumelabels:app: nginx-v1annotations:deployment.kubernetes.io/revision: '2'
spec:replicas: 1selector:matchLabels:app: nginx-v1template:metadata:creationTimestamp: nulllabels:app: nginx-v1spec:volumes:- name: volume-pikzy0configMap:name: test-configmap-volume1defaultMode: 420containers:- name: container-jzx3ihimage: 'nginx'ports:- name: tcp-80containerPort: 80protocol: TCPresources: {}volumeMounts:- name: volume-pikzy0readOnly: truemountPath: /etc/sslterminationMessagePath: /dev/termination-logterminationMessagePolicy: FileimagePullPolicy: IfNotPresentrestartPolicy: AlwaysterminationGracePeriodSeconds: 30dnsPolicy: ClusterFirstserviceAccountName: defaultserviceAccount: defaultsecurityContext: {}affinity: {}schedulerName: default-schedulerstrategy:type: RollingUpdaterollingUpdate:maxUnavailable: 25%maxSurge: 25%revisionHistoryLimit: 10progressDeadlineSeconds: 600

再次进入容器/etc/ssl目录下，结果如下。

当ConfigMap以volume的形式挂载到容器中的指定路径时，如果目标路径在容器中不存在，Kubernetes会在容器启动时自动创建这个路径。如果目标路径已经存在于容器中，ConfigMap默认会会覆盖原先目录下的内容（除非使用子路径），并且ConfigMap的每个key都会被创建为该目录下的一个新文件（文件名与key相同）。

2.2.2 将configmap资源对象指定key挂载到容器内部

更新nginx-v1工作负载配置文件，将测试用的configmap资源对象指定key挂载到nginx容器/etc/ssl目录下。（将key a、b挂载到容器/etc/ssl路径下并且a的文件名改为haa，b的文件名改成hbb）

......spec:volumes:- name: volume-pikzy0configMap:name: test-configmap-volume1items:- key: apath: haa- key: bpath: hbbdefaultMode: 420containers:- name: container-jzx3ihimage: 'nginx'ports:- name: tcp-80containerPort: 80protocol: TCPresources: {}volumeMounts:- name: volume-pikzy0readOnly: truemountPath: /etc/sslterminationMessagePath: /dev/termination-logterminationMessagePolicy: FileimagePullPolicy: IfNotPresentrestartPolicy: Always.......

结果如下：

当ConfigMap将指定key以volume的形式挂载到容器中的指定路径时，如果目标路径在容器中不存在，Kubernetes会在容器启动时自动创建这个路径。如果目标路径已经存在于容器中，ConfigMap默认会会覆盖原先目录下的内容（除非使用子路径），这些key都会被创建为该目录下的一个新文件（文件名与path相同）。

2.2.3 将configmap资源对象通过子路径挂载到容器内部

不管是将整个configmap资源对象挂载到容器内部，还是将configmap资源对象指定key挂载到容器内部，如果目标路径已经存在于容器中，ConfigMap默认会会覆盖原先目录下的内容。有时候我们就想覆盖原先目录下指定文件，这时候就需要使用子路径，使用subpath选定configMap的指定的key-value挂载在容器中，不会覆盖掉原目录下的其他文件。

更新nginx-v1工作负载配置文件，将测试用的configmap资源对象指定key a通过子路径覆盖容器/etc/ssl/openssl.cnf文件。

.......spec:volumes:- name: volume-pikzy0configMap:name: test-configmap-volume1defaultMode: 420containers:- name: container-jzx3ihimage: 'nginx'ports:- name: tcp-80containerPort: 80protocol: TCPresources: {}volumeMounts:- name: volume-pikzy0readOnly: truemountPath: /etc/ssl/openssl.cnfsubPath: aterminationMessagePath: /dev/termination-logterminationMessagePolicy: FileimagePullPolicy: IfNotPresent.......

结果如下：

通过使用subpath选定configMap的指定的key-value挂载在容器中，不会覆盖掉原目录下的其他文件。

2.3 挂载Secret

详细步骤参见《Kubernetes对象——Secret 》这篇博文，本文不再赘余，使用方式和挂载ConfigMap一致。

3、总结

（1）将整个ConfigMap/Secret资源对象挂载到容器内部

　　当ConfigMap/Secret以Volume的形式挂载到容器中的指定路径时，如果目标路径在容器中不存在，Kubernetes会在容器启动时自动创建这个路径。如果目标路径已经存在于容器中，ConfigMap默认会会覆盖原先目录下的内容，并且ConfigMap的每个key都会被创建为该目录下的一个新文件（文件名与key相同）。

（2）将ConfigMap/Secret资源对象指定key挂载到容器内部

　　当ConfigMap/Secret将指定key以Volume的形式挂载到容器中的指定路径时，如果目标路径在容器中不存在，Kubernetes会在容器启动时自动创建这个路径。如果目标路径已经存在于容器中，ConfigMap默认会会覆盖原先目录下的内容，这些key都会被创建为该目录下的一个新文件（文件名与path相同）。