网站导航
> 技术文档 > 深度解析 Kubernetes 配置管理:如何安全使用 ConfigMap 和 Secret_deployment如何引用configmap和secret

深度解析 Kubernetes 配置管理:如何安全使用 ConfigMap 和 Secret_deployment如何引用configmap和secret

网友: 技术文档 2025-07-30 22:17:41

目录

  • 深度解析 Kubernetes 配置管理:如何安全使用 ConfigMap 和 Secret
    • 一、目录结构
    • 二、ConfigMap 和 Secret 的创建
      • 1. 创建 ConfigMap
        • `config/app-config.yaml`:
        • `config/db-config.yaml`:
      • 2. 创建 Secret
        • `secrets/db-credentials.yaml`:
    • 三、在 Deployment 中使用 ConfigMap 和 Secret
        • `deployments/app-deployment.yaml`:
    • 四、只挂载 ConfigMap 或 Secret 中的某个变量
      • 1. 只挂载 ConfigMap 中的某个变量
      • 2. 只挂载 Secret 中的某个变量
        • 示例:只将 `DB_USER` 和 `DB_PASSWORD` 从 Secret 中注入到容器:
    • 五、部署和管理
    • 六、安全性和最佳实践
    • 七、总结

深度解析 Kubernetes 配置管理:如何安全使用 ConfigMap 和 Secret

在企业级 Kubernetes 环境中,如何高效、安全地管理应用配置是运维和开发的核心任务之一。Kubernetes 提供了 ConfigMap 和 Secret 两种资源对象,分别用于存储非敏感和敏感的配置信息。本文将通过一套完整的 YAML 文件示例,展示如何在 Kubernetes 中使用 ConfigMap 和 Secret 管理应用配置,包括创建、部署、更新和安全控制等方面,并且我们会演示如何只挂载 ConfigMap 或 Secret 中的某个变量。

一、目录结构

以下是示例项目的目录结构:

├── config/│ ├── app-config.yaml # 存储应用配置的 ConfigMap│ └── db-config.yaml # 存储数据库配置的 ConfigMap├── secrets/│ └── db-credentials.yaml # 存储数据库凭证的 Secret├── deployments/│ └── app-deployment.yaml # 应用的 Deployment 配置└── README.md

二、ConfigMap 和 Secret 的创建

1. 创建 ConfigMap

ConfigMap 用于存储非敏感的配置信息,例如环境变量、应用配置等。

config/app-config.yaml
apiVersion: v1kind: ConfigMapmetadata: name: app-config namespace: defaultdata: # 应用环境设置 APP_ENV: production LOG_LEVEL: info FEATURE_FLAG: \"true\" # 特性标志,用于控制功能开关
config/db-config.yaml
apiVersion: v1kind: ConfigMapmetadata: name: db-config namespace: defaultdata: # 数据库连接配置 DB_HOST: db.example.com DB_PORT: \"5432\" DB_NAME: myapp

2. 创建 Secret

Secret 用于存储敏感信息,例如数据库凭证、API 密钥等。数据以 base64 编码存储。

secrets/db-credentials.yaml
apiVersion: v1kind: Secretmetadata: name: db-credentials namespace: defaulttype: Opaquedata: # 数据库用户名和密码,值经过 base64 编码 DB_USER: YWRtaW4= # base64 编码的 \'admin\' DB_PASSWORD: cGFzc3dvcmQ= # base64 编码的 \'password\'

注意:Secret 中的值使用 base64 编码存储,实际使用时需要解码。

三、在 Deployment 中使用 ConfigMap 和 Secret

在 Deployment 中挂载 ConfigMap 和 Secret,可以通过环境变量或卷的方式将配置数据注入到容器中。

deployments/app-deployment.yaml
apiVersion: apps/v1kind: Deploymentmetadata: name: app-deployment namespace: defaultspec: replicas: 3 selector: matchLabels: app: myapp template: metadata: labels: app: myapp spec: containers: - name: app-container image: myapp:v1 ports: - containerPort: 8080 envFrom: # 使用 ConfigMap 注入环境变量 - configMapRef: name: app-config - configMapRef: name: db-config # 使用 Secret 注入环境变量 - secretRef: name: db-credentials volumeMounts: # 将 ConfigMap 挂载为文件 - name: config-volume  mountPath: /etc/config # 将 Secret 挂载为文件 - name: secret-volume  mountPath: /etc/secret volumes: # ConfigMap 挂载配置文件 - name: config-volume configMap: name: app-config # Secret 挂载敏感信息文件 - name: secret-volume secret: secretName: db-credentials

四、只挂载 ConfigMap 或 Secret 中的某个变量

如果只需要挂载 ConfigMap 或 Secret 中的某个变量,可以使用 envenvFrom 来指定具体的键,而不是将整个 ConfigMap 或 Secret 注入容器。

1. 只挂载 ConfigMap 中的某个变量

示例:只将 APP_ENV 环境变量从 ConfigMap 中注入到容器:
apiVersion: apps/v1kind: Deploymentmetadata: name: app-deployment namespace: defaultspec: replicas: 3 selector: matchLabels: app: myapp template: metadata: labels: app: myapp spec: containers: - name: app-container image: myapp:v1 ports: - containerPort: 8080 env: # 从 ConfigMap 中注入单一环境变量 - name: APP_ENV  valueFrom: configMapKeyRef:  name: app-config  key: APP_ENV # 仅注入 APP_ENV 变量

2. 只挂载 Secret 中的某个变量

示例:只将 DB_USERDB_PASSWORD 从 Secret 中注入到容器:
apiVersion: apps/v1kind: Deploymentmetadata: name: app-deployment namespace: defaultspec: replicas: 3 selector: matchLabels: app: myapp template: metadata: labels: app: myapp spec: containers: - name: app-container image: myapp:v1 ports: - containerPort: 8080 env: # 从 Secret 中注入数据库用户名和密码 - name: DB_USER  valueFrom: secretKeyRef:  name: db-credentials  key: DB_USER # 仅注入 DB_USER - name: DB_PASSWORD  valueFrom: secretKeyRef:  name: db-credentials  key: DB_PASSWORD # 仅注入 DB_PASSWORD

五、部署和管理

  1. 应用资源
    使用 kubectl 部署 ConfigMap、Secret 和 Deployment:

    kubectl apply -f config/kubectl apply -f secrets/kubectl apply -f deployments/

  2. 查看资源状态
    检查部署状态:

    kubectl get deploymentskubectl get podskubectl get configmapskubectl get secrets

  3. 更新 ConfigMap 和 Secret

    • 编辑 config/app-config.yamlsecrets/db-credentials.yaml

    • 使用 kubectl apply -f 更新资源。

    • 对于以环境变量形式注入的配置,更新后需要重启 Pod:

      kubectl rollout restart deployment app-deployment

六、安全性和最佳实践

  • 加密存储:启用 Kubernetes 的静态加密功能,确保 Secret 在 etcd 中以加密形式存储。
  • 访问控制:使用 RBAC 控制对 ConfigMap 和 Secret 的访问权限,确保只有授权的用户和服务可以访问。
  • 版本管理:为 ConfigMap 和 Secret 添加版本信息,便于追踪和回滚。
  • 外部 Secret 管理:对于敏感信息,建议使用外部 Secret 管理工具(如 HashiCorp Vault)进行管理,并通过 Kubernetes 的 External Secrets Operator 实现同步。

七、总结

通过上述示例,我们展示了如何在 Kubernetes 中使用 YAML 文件创建和管理 ConfigMap 和 Secret,实现应用配置的集中管理和动态更新。在实际操作中,建议将非敏感的配置存储在 ConfigMap 中,将敏感信息存储在 Secret 中,并通过环境变量或卷的方式将其注入到 Pod 中。这样可以有效地解耦应用和配置,提高系统的灵活性和安全性。

网络标签:

相关问题