云原生之路05之Kubernetes应用配置管理

第八章 Kubernetes应用配置管理

前情回顾：

• K8S服务对外暴漏的方式：Service和 Ingress
• 具体服务实现还需要Pod完成

应用配置管理的概念

应用配置：

• 数据库配置
• 证书配置
• 应用自定义配置

K8s应用配置

• ConfigMap：一般性配置
• Secret：敏感信息配置

ConfigMap介绍

• ConfigMap是一种存储非敏感数据的资源对象：以<key—value>形式存储配置数据
• ConfigMap设计要素：解耦应用程序（镜像）和配置参数，不用于存储大块数据（<=1MB）
• ConfigMap主要服务于Pod：为容器提供环境变量，命令行参数和配置文件

ConfigMap使用小节

• ConfigMap用于存储非敏感应用配置
• 每个ConfigMap大小限制为1MB
• ConfigMap必须先于Pod创建，否则Pod无法启动
• Pod只能使用同Namespace下的ConfigMap
• 使用ConfigMap挂载配置文件，会自动更新
• 使用ConfigMap配置环境变量时，不会自动更新

Secret介绍

• Secret是一种资源对象：以<key-value>形式存储敏感数据（密码，token等）
• Secret的设计要素：数据采用base-64编码保存（非加密），通常结合RBAC rules来加强安全性
• Secret主要服务于Pod：为容器提供环境变量，镜像仓库密钥（由kubelet使用）和配置文件

Secret使用小节

• Secret用于存储敏感配置（区别于ConfigMap）
• 每个Secret大小限制为1MB
• Pod只能使用同Namespace下的Secret
• Secret数据使用Base64编码，本身不提供数据加密
  • 由于Secret会以纯文本方式存储在ETCD，需要限制ETCD的访问权限
  • 为Secret设置严格的RBAC规则，限制资源访问

实验：天气应用