管理配置信息和敏感信息
一、什么是ConfigMap和Secret
在 Kubernetes 中,ConfigMap 和 Secret 是两种用于管理配置数据的核心资源对象,但分别针对非敏感和敏感数据,以下是两者的核心概念与区别:
- ConfigMap:非敏感配置管理
- 定义与用途
ConfigMap 用于存储非敏感配置数据(如环境变量、配置文件、命令行参数),实现应用配置与容器镜像的解耦。通过 ConfigMap,用户可以动态调整配置而无需重建镜像或重启容器。 - 数据形式与创建方式
- 键值对或文件内容:支持纯文本、多行配置或直接挂载文件到容器内。
- 创建方式:
- 命令行:
kubectl create configmap从文件、目录或字面量生成。 - YAML 文件:定义键值对或配置文件内容。
- 命令行:
- 动态更新
- 卷挂载:ConfigMap 更新后,挂载的卷会自动同步到容器内(延迟约 1 分钟)。
- 环境变量:需重启 Pod 生效。
- 使用场景
- 多环境配置切换(如开发、生产环境的数据库地址)。
- 共享日志级别、功能开关等非敏感配置。
- Secret:敏感数据管理
- 定义与用途
Secret 专用于存储敏感信息(如密码、API 密钥、TLS 证书),通过 Base64 编码存储,避免明文暴露在镜像或 Pod 定义中。 - 数据类型与安全
- 类型:
- generic:通用敏感数据(如密码)。
- tls:存储 TLS 证书和私钥。
- docker-registry:容器仓库认证信息。
- 安全性:Base64 编码非加密,需结合 RBAC 和加密存储增强安全。
- 类型:
- 使用方式
- 卷挂载:以文件形式挂载到容器内(如
/run/secrets目录)。 - 环境变量:注入敏感参数(需谨慎,因环境变量可能被日志记录)。
- 卷挂载:以文件形式挂载到容器内(如
- 更新与限制
- 更新 Secret 后,挂载为卷的数据会同步更新,但环境变量需重启 Pod。
- 大小限制:与 ConfigMap 类似,单个 Secret 不超过 1 MiB。
- 核心区别与选择建议
| 特性 | ConfigMap | Secret |
|---|---|---|
| 数据类型 | 非敏感明文数据 | 敏感数据(Base64 编码) |
| 典型用途 | 环境变量、配置文件 | 密码、令牌、证书 |
| 安全机制 | 无加密,依赖权限控制 | Base64 编码,需额外加密策略 |
| 动态更新 | 卷挂载自动同步 | 同 ConfigMap |
| 命名空间 | 仅限同一命名空间内使用 | 同 ConfigMap |
- 选择建议:
- ConfigMap:适用于功能开关、端口号等无需保密的数据。
- Secret:必须用于密码、密钥等敏感信息,并启用加密存储(如 Kubernetes 的加密 Secret 功能)。
最佳实践
分离敏感与非敏感数据:使用 ConfigMap 和 Secret 分别管理,避免混用。
限制访问权限:通过 RBAC 控制 ConfigMap 和 Secret 的读写权限。
优先动态供应:结合 StorageClass 或 Helm 实现自动化配置管理。
监控与更新:定期检查 Released 状态的资源,防止数据泄漏或配置过期。
通过合理使用 ConfigMap 和 Secret,Kubernetes 实现了配置的灵活管理与安全性平衡,为云原生应用提供了可靠的配置解决方案。
二、使用ConfigMap为Tomcat提供配置文件
ConfigMap常用来为应用程序提供配置文件,下面以为Tomcat服务器提供配置文件为例进行测试。
(1)编写Tomcat配置文件
[root@master ~]# cat tomcat-users.xml
<?xml version='1.0' encoding='utf-8'?>
<tomcat-users xmlns="http://tomcat.apache.org/xml"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://tomcat.apache.org/xml tomcat-users.xsd"
version="1.0">
<role rolename="admin-gui"/>
<role rolename="manager-gui"/>
<user username="admin" password="tomcat" roles="admin-gui,manager-gui"/>
</tomcat-users>
该文件启用admin-gui和manager-gui角色,并设置相应的用户名和密码
(2)执行以下命令基于tomcat-users.xml文件创建一个名为tomcat-users-config的ConfigMap
[root@master ~]# kubectl create configmap tomcat-users-config --from-file=tomcat-users.xml
configmap/tomcat-users-config created
(3)查看该ConfigMap的信息,获知其存储数据中tomcat-users.xml文件名为键名,tomcat-users.xml文件内容为键值
[root@master ~]# kubectl get configmap/tomcat-users-config -o yaml
apiVersion: v1
data:
tomcat-users.xml: |+
<?xml version='1.0' encoding='utf-8'?>
<tomcat-users xmlns="http://tomcat.apache.org/xml"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://tomcat.apache.org/xml tomcat-users.xsd"
version="1.0">
<role rolename="admin-gui"/>
<role rolename="manager-gui"/>
<user username="admin" password="tomcat" roles="admin-gui,manager-gui"/>
</tomcat-users>
kind: ConfigMap
metadata:
creationTimestamp: "2025-05-04T09:00:03Z"
name: tomcat-users-config
namespace: default
resourceVersion: "80876"
uid: f59531b1-d227-46cc-9d0c-36687da34368
(4)编写部署tomcat的Deployment和Service配置文件
[root@master ~]# cat tomcat-deploy-service.yaml
apiVersion: apps/v1 # 版本号
kind: Deployment # 类型为Deployment
metadata: # 元数据
name: tomcat-deploy
spec:
replicas: 2
selector: # 选择器,指定该控制器管理哪些Pod
matchLabels:
app: tomcat-pod
template:
metadata:
labels:
app: tomcat-pod
spec:
containers:
- name: tomcat
image: tomcat:8.0-alpine # 容器所用的镜像
ports:
- containerPort: 8080 # 容器需要暴露的端口
volumeMounts:
- name: tomcat-users-config # 要挂载的卷的名称
# 容器挂载的目录路径为/usr/local/tomcat/conf,文件名为tomcat-users.xml
mountPath: /usr/local/tomcat/conf/tomcat-users.xml
subPath: tomcat-users.xml # 要挂载的ConfigMap中的键名
volumes:
- name: tomcat-users-config # 定义卷名
configMap:
name: tomcat-users-config # ConfigMap对象
---
apiVersion: v1
kind: Service
metadata:
name: tomcat-svc #设置service的显示名字
spec:
selector:
app: tomcat-pod # 指定pod的标签
ports:
- port: 8080 #让集群知道service绑定的端口
targetPort: 8080 #目标Pod的端口
[root@master ~]#
(5)执行创建
[root@master ~]# kubectl apply -f tomcat-deploy-service.yaml
deployment.apps/tomcat-deploy created
service/tomcat-svc created
(6)查看创建的Service,获取集群IP地址和服务发布端口
[root@master ~]# kubectl get svc tomcat-svc
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
tomcat-svc ClusterIP 10.102.133.116 <none> 8080/TCP 41s
(7)测试,可以在控制平面节点上图形化界面打开浏览器,访问此网址,进入Tomcat初始界面,单击Manager App按钮弹出对话框,输入设置的用户名和密码进入管理界面,此效果只做了命令行验证
[root@master ~]# curl 10.102.133.116:8080
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8" />
<title>Apache Tomcat/8.0.53</title>
<link href="favicon.ico" rel="icon" type="image/x-icon" />
<link href="favicon.ico" rel="shortcut icon" t
......
(8)删除本例所创建对象
[root@master ~]# kubectl get configmap
NAME DATA AGE
kube-root-ca.crt 1 42d
tomcat-users-config 1 13m
[root@master ~]# kubectl delete configmap tomcat-users-config
configmap "tomcat-users-config" deleted
[root@master ~]# kubectl delete -f tomcat-deploy-service.yaml
deployment.apps "tomcat-deploy" deleted
service "tomcat-svc" deleted
[root@master ~]#
三、使用Secret为MongDB提供配置文件
Secret非常适合提供密码、令牌等数据量较小的加密信息,下面以为MongDB提供初始化的root用户账户和密码为例进行示范。
(1)对要提供的账户和密码进行Base64编码
[root@master ~]# echo -n 'root' | base64
cm9vdA==
[root@master ~]# echo -n 'mongopass' | base64
bW9uZ29wYXNz
(2)编写Secret配置文件
[root@master ~]# cat mongo-secret.yaml
apiVersion: v1
kind: Secret # 资源类型
metadata:
name: mongo-secret # Secret名称
type: Opaque # Secret类型
data: # 提供base64编码的数据
username: cm9vdA==
password: bW9uZ29wYXNz
(3)执行创建
[root@master ~]# kubectl apply -f mongo-secret.yaml
secret/mongo-secret created
(4)查看创建的Secret
[root@master ~]# kubectl get secret mongo-secret -o yaml
apiVersion: v1
data:
password: bW9uZ29wYXNz
username: cm9vdA==
kind: Secret
metadata:
annotations:
kubectl.kubernetes.io/last-applied-configuration: |
{"apiVersion":"v1","data":{"password":"bW9uZ29wYXNz","username":"cm9vdA=="},"kind":"Secret","metadata":{"annotations":{},"name":"mongo-secret","namespace":"default"},"type":"Opaque"}
creationTimestamp: "2025-05-04T09:15:38Z"
name: mongo-secret
namespace: default
resourceVersion: "82479"
uid: 642df5ae-89b5-4d69-80a6-6b2f4648cfb5
type: Opaque
[root@master ~]#
(5)编写部署MongDB的Deployment配置文件
MongDB是数据库,实际应用中一般使用StatefulSet控制器运行有状态应用程序,这里仅做测试,为简化操作,使用Deployment控制器部署
[root@master ~]# cat mongo-deploy.yaml
apiVersion: apps/v1
kind: Deployment
metadata:
name: mongodb
spec:
replicas: 1
selector:
matchLabels:
app: mongodb
template:
metadata:
labels:
app: mongodb
spec:
containers:
- name: mongo
image: mongo:4.4
imagePullPolicy: IfNotPresent
env: # 定义环境变量
- name: MONGO_INITDB_ROOT_USERNAME # 环境变量名称
valueFrom:
secretKeyRef: # 使用Secret提供数据
name: mongo-secret # Secret对象
key: username # Secret中的键
- name: MONGO_INITDB_ROOT_PASSWORD
valueFrom:
secretKeyRef:
name: mongo-secret
key: password
这里通过Secret为MongDB提供初始化的root用户账户和密码
(6)执行创建
[root@master ~]# kubectl apply -f mongo-deploy.yaml
deployment.apps/mongodb created
(7)查看pod,获取名称
[root@master ~]# kubectl get pod
NAME READY STATUS RESTARTS AGE
mongodb-8bbc9cf9d-p76j7 1/1 Running 0 2m51s
(8)进入Pod的容器进行测试
[root@master ~]# kubectl exec -it mongodb-8bbc9cf9d-p76j7 -- /bin/sh
# mongo -u root -p mongopass
MongoDB shell version v4.4.29
connecting to: mongodb://127.0.0.1:27017/?compressors=disabled&gssapiServiceName=mongodb
Implicit session: session { "id" : UUID("75620f94-c1b3-4147-abbe-48e059315d6a") }
MongoDB server version: 4.4.29
Welcome to the MongoDB shell.
For interactive help, type "help".
For more comprehensive documentation, see
https://docs.mongodb.com/
Questions? Try the MongoDB Developer Community Forums
https://community.mongodb.com
---
The server generated these startup warnings when booting:
2025-05-04T09:21:03.155+00:00: /sys/kernel/mm/transparent_hugepage/enabled is 'always'. We suggest setting it to 'never'
---
> exit
bye
# exit
结果表明,Secret提供的用户名和密码在MongoDB中生效了。
(9)删除创建的Secret和Deployment,清理实验环境
[root@master ~]# kubectl delete -f mongo-secret.yaml
secret "mongo-secret" deleted
[root@master ~]# kubectl delete -f mongo-deploy.yaml
deployment.apps "mongodb" deleted