在 Kubernetes (K8s) 中,ConfigMap 和 Secret 是用于存储配置数据的资源对象,它们允许你将配置与容器镜像分离,从而增加了应用的灵活性和可移植性。这两种资源的主要区别在于它们存储的数据类型和用途:ConfigMap 用于存储非敏感的配置数据,而 Secret 用于存储敏感数据。
ConfigMap
概念
ConfigMap 是用来存储配置信息的键值对,比如数据库的连接信息、环境变量或配置文件的内容。ConfigMap 可以被 Pod 使用,以环境变量、命令行参数或配置文件的形式使配置信息可用于应用。
核心特性
- 解耦配置:允许你将配置信息与容器镜像分离,便于应用的移植和管理。
- 动态配置:可以在不重新构建容器镜像的情况下更新配置信息。
- 共享配置:一个 ConfigMap 可以被多个 Pods 使用,便于共享配置。
使用场景
- 应用程序的配置信息,如数据库 URL、外部服务的地址等。
- 应用程序需要的配置文件内容。
- 设置命令行参数。
Secret
概念
Secret 用于存储敏感信息,比如密码、OAuth 令牌、SSH 密钥等。Kubernetes 以特殊方式处理 Secret,以减少泄露风险,比如在内存中存储而不是写入磁盘,或通过 API 传输时使用 SSL/TLS 加密。
核心特性
- 保护敏感数据:提供一种存储敏感信息的机制,避免在容器镜像或脚本中硬编码。
- 按需挂载:Secret 可以按需挂载到 Pod 的容器中,并且可以以环境变量或文件的形式使用。
- 限制访问:可以通过 Kubernetes 的 RBAC 策略限制对 Secret 的访问。
使用场景
- 存储数据库、API 或外部服务的认证信息。
- 存储证书和私钥等加密数据。
- 存储其他任何需要保密的信息。
使用示例
ConfigMap 示例
创建一个 ConfigMap 来存储应用配置:
apiVersion: v1
kind: ConfigMap
metadata:
name: app-config
data:
database_url: "jdbc:mysql://:3306/db_name"
external_api_url: "https://api."
在 Pod 中使用 ConfigMap:
apiVersion: v1
kind: Pod
metadata:
name: myapp-pod
spec:
containers:
- name: myapp-container
image: myapp:1.0
envFrom:
- configMapRef:
name: app-config
Secret 示例
创建一个 Secret 来存储敏感信息:
apiVersion: v1
kind: Secret
metadata:
name: my-secret
type: Opaque
data:
password: cGFzc3dvcmQ= # Base64 编码的 "password"
在 Pod 中使用 Secret:
apiVersion: v1
kind: Pod
metadata:
name: myapp-pod
spec:
containers:
- name: myapp-container
image: myapp:1.0
env:
- name: PASSWORD
valueFrom:
secretKeyRef:
name: my-secret
key: password
通过使用 ConfigMap 和 Secret,你可以有效地管理 Kubernetes 应用的配置数据和敏感信息,提高应用的安全性和可维护性。
