解释k8s种ConfigMap和Secret的作用,如何在Pod中挂载环境变
一、ConfigMap & Secret 核心定位
属于Kubernetes的配置管理特性,用于解耦应用与配置
1. ConfigMap
作用:存储非敏感配置数据
存储内容:
- 环境变量
- 命令行参数
- 配置文件(如JSON/XML/YAML)
- 系统参数(如JVM参数)
2. Secret
作用:存储敏感信息
存储内容:
- 数据库凭证
- API密钥
- TLS证书
- SSH密钥
对比特性
| 特性 | ConfigMap | Secret |
|---|---|---|
| 数据加密 | 明文存储 | Base64编码 |
| 适用场景 | 非敏感配置 | 凭证/密钥 |
| 存储限制 | 1MB | 1MB |
| 自动更新 | 支持(需配置) | 支持(需配置) |
二、Pod挂载方式
1. 环境变量注入
apiVersion: v1
kind: Pod
metadata:name: myapp-pod
spec:containers:- name: appimage: myapp:v1env:- name: DB_HOSTvalueFrom:configMapKeyRef:name: db-configkey: host- name: DB_PASSWORDvalueFrom:secretKeyRef:name: db-secretkey: password
2. 文件卷挂载
apiVersion: v1
kind: Pod
metadata:name: myapp-pod
spec:containers:- name: appimage: myapp:v1volumeMounts:- name: config-volumemountPath: /etc/app/config- name: secret-volumemountPath: /etc/app/secretvolumes:- name: config-volumeconfigMap:name: app-config- name: secret-volumesecret:secretName: app-secret
三、最佳实践
- 敏感数据必用Secret:即使Base64不是加密,也比明文安全
- 热更新策略:
- 环境变量方式:修改后需重建Pod
- 文件卷方式:kubelet定期同步更新(默认1分钟间隔)
- 配置分离:按环境(dev/test/prod)创建不同ConfigMap
- 权限控制:通过RBAC限制Secret访问权限
四、创建配置示例
创建ConfigMap:
kubectl create configmap app-config \--from-literal=DB_HOST=mysql-service \--from-literal=CACHE_ENABLED=true
创建Secret:
# 从文件创建
kubectl create secret generic db-credentials \--from-file=./ssl.cert \--from-literal=password='S!B\#d3z'# 专门类型Secret
kubectl create secret tls https-cert \--cert=path/to/cert.crt \--key=path/to/cert.key
上述配置实现了什么功能?开发时如何创建对应的ConfigMap和Secret?
apiVersion: apps/v1
kind: Deployment
spec:template:spec:containers:- name: appenvFrom: # 环境变量注入方式- configMapRef: # 加载 ConfigMap 所有键值作为环境变量name: app-config- secretRef: # 加载 Secret 所有键值作为环境变量name: db-credentials