配置容器化應用的方式:①命令列引數;②環境變數;③檔案化配置
一、向容器傳遞命令列引數或環境變數
這兩種方式在 Pod 建立後不可被修改
1. 在Docker中定義命令與引數
- ENTRYPOINT:容器啟動時被呼叫的可執行程式
- CMD:傳遞給 ENTRYPOINT 的預設引數。可被覆蓋
docker run <image> <arguments>
上面兩條指令均支援以下兩種形式
- shell:
ENTRYPOINT node app.js(/bin/sh -c node app.js) - exec:
ENTRYPOINT ["node", "app.js"](node app.js)
e.g.
FROM ubuntu:latest
ADD test.sh /bin/test.sh # test.sh每“$1”秒輸出一行文字
ENTRYPOINT ["/bin/test.sh"]
CMD ["10"]
docker build -t lb/test:args .
docker push lb/test:args
docker run -it lb/test:args
docker run -it lb/test:args 15 # 傳遞引數
2. 向容器傳遞命令列引數
映象的 ENTRYPOINT 和 CMD 均可被覆蓋
kind: Pod
spec:
containers:
- image: some/image
command: ["/bin/command"] # 對應ENTRYPOINT,一般情況不覆蓋
args: ["arg1", "arg2"] # 對應CMD
另一種參數列示方式
args:
- foo # 字串無需引號標記
- "15" # 數值需要
3. 為容器設定環境變數
K8s 可為 Pod 中的每個容器指定環境變數
kind: Pod
spec:
containers:
- image: some/image
env: # 指定環境變數
- name: FOO
value: "foo"
- name: BAR
value: "$(INTERVAL)bar" # 引入其他環境變數(command和args屬性值也可以藉此引用環境變數)
在每個容器中,K8s 會自動暴露相同名稱空間下每個 service 對應的環境變數
二、ConfigMap
1. 介紹
- 本質為鍵值對對映,值可以為字面量或配置檔案
- 應用無需讀取 ConfigMap,對映的內容通過環境變數或卷檔案的形式傳遞給容器
- Pod 通過名稱引用 ConfigMap
2. 建立 ConfigMap
apiVersion: v1
kind: ConfigMap
data:
sleep-interval: "25" # 配置條目
metadata:
name: my-config
直接建立
# 可指定字面量或配置檔案
kubectl create configmap my-config \
--from-file=foo.json \ # 單獨的檔案
--from-file=bar=foobar.conf \ # 自定義鍵名目錄下的檔案
--from-file=config-opts/ \ # 完整資料夾
--from-literal=some=thing # 字面量
ConfigMap 鍵名需僅包含數字、字母、破折號、下劃線、圓點,可首位圓點。鍵名不合法則不會對映
3. 傳遞 ConfigMap 作為環境變數
kind: Pod
spec:
containers:
- image: some/image
env:
- name: INTERVAL
valueFrom: # 使用ConfigMap中的key初始化
configMapKeyRef:
name: my-config
key: sleep-interval
啟動 Pod 時若無 ConfigMap:Pod 正常排程,容器啟動失敗。後續建立 ConfigMap,失敗容器會重啟。可設定
configMapKeyRef.optional=true,這樣即使 ConfigMap 不存在,容器也能啟動
一次性傳遞所有
spec:
containers:
- image: some/image
envFrom: # 傳遞所有
- prefix: CONFIG_ # 為所有環境變數設定字首(可選)
configMapKeyRef:
name: my-config
若不是合法的環境變數名稱,K8s 不會自動轉換鍵名(如 CONFIG_FOO-BAR)
4. 傳遞 ConfigMap 作為命令列引數
使用 ConfigMap 初始化某個環境變數,然後在引數欄位中引用該環境變數
apiVersion: v1
kind: Pod
spec:
containers:
- image: some/image
env:
- name: INTERVAL
valueFrom:
configMapKeyRef:
name: my-config
key: sleep-interval
args: ["$(INTERVAL)"] # 引數中引用環境變數
5. 傳遞 ConfigMap 作為配置檔案
ConfigMap 卷會將每個條目暴露成一個檔案,執行在容器中的程式可通過讀取檔案內容獲取相應的值
將 ConfigMap 卷掛載到某個資料夾
apiVersion: v1
kind: Pod
metadata:
name: test-configmap
spec:
containers:
- image: nginx:alpine
name: web-server
volumeMounts:
- name: config
mountPath: /etc/nginx/conf.d/ # 掛載到資料夾會隱藏該資料夾中已存在的檔案
readOnly: true
volumes:
- name: config
configMap:
name: fortune-config
$ kubectl exec test-configmap -c web-server ls /etc/nginx/conf.d
my-nginx-config.conf
sleep-interval
暴露指定的 ConfigMap 條目
spec:
volumes:
- name: config
configMap:
name: fortune-config
items: # 只暴露指定條目為檔案
- key: my-nginx-config.conf
path: test.conf
# 此時 /etc/nginx/conf.d/ 中只有 test.conf
不隱藏資料夾中的其他檔案
subPath 可用作掛載卷中的某個獨立檔案或資料夾,無需掛載整個卷
spec:
containers:
- image: some/image
volumeMounts:
- name: config
mountPath: /etc/someconfig.conf # 掛載到某個檔案
subPath: myconfig.conf # 僅掛載條目myconfig.conf
這種檔案掛載方式會有檔案更新的缺陷
為 ConfigMap 卷中的檔案設定許可權
volumes:
- name: config
configMap:
name: fortune-config
defaultMode: "6600" # 預設644
6. 更新配置且不重啟應用程式
更新 ConfigMap 後,卷中引用它的檔案也會相應更新,程式發現檔案改變後進行過載。K8s 也支援檔案更新後手動通知容器
kubectl edit configmap fortune-config
kubectl exec test-configmap -c web-server cat /etc/nginx/conf.d/my-nginx-config.conf
kubectl exec test-configmap -c web-server -- nginx -s reload
- 所有檔案會被一次性更新:ConfigMap 更新後,K8s 會建立一個資料夾寫入所有檔案,最終將符號連結轉為該資料夾
- 如果掛載的是容器中的單個檔案而不是完整的卷,ConfigMap 更新後對應的檔案不會被更新
三、Secret
與 ConfigMap 類似。區別:①K8s 僅將 Secret 分發到需要訪問 Secret 的 Pod 所在的機器節點;②只存在於節點的記憶體中;③etcd 以加密形式儲存 Secret
1. 預設令牌 Secret
預設被掛載到所有容器(可通過設定 Pod 定義中或 Pod 使用的服務賬戶中的automountServiceAccountToken=false來關閉該預設行為)
$ kubectl get secrets
NAME TYPE DATA AGE
default-token-zns7b kubernetes.io/service-account-token 3 2d
$ kubectl describe secrets
...
Data # 包含從 Pod 內部安全訪問 K8s API 伺服器所需的全部資訊
====
ca.crt: 570 bytes
namespace: 7 bytes
token: eyJhbGciO...
$ kubectl describe pod
...
Mounts:
/var/run/secrets/kubernetes.io/serviceaccount from default-token-zns7b
$ kubectl exec mypod ls /var/run/secrets/kubernetes.io/serviceaccount/
ca.crt
namespace
token
2. 建立 Secret
$ kubectl create secret generic fortune-https --from-file=https.key --from-file=https.cert --from-file=foo
$ kubectl get secret fortune-https -o yaml
apiVersion: v1
kind: Secret
data:
foo: YmFyCg==
https.cert: HtD4SF...
https.key: PJgF0G...
Secret 條目的內容會被 Base64 編碼:Secret 條目可涵蓋二進位制資料,Base64 編碼可將二進位制資料轉為純文字(但 Secret 大小限於 1MB)
向 Secret 新增純文字條目
stringData: # 該欄位只寫,檢視時不會顯示,而是被編碼後展示在data欄位下
foo: bar
3. 使用 Secret
將 Secret 卷暴露給容器後,條目的值會被自動解碼並以真實形式寫入對應檔案或環境變數
apiVersion: v1
kind: Pod
metadata:
name: test-secret
spec:
containers:
- image: luksa/fortune:env
name: html-generator
env:
- name: INTERVAL
valueFrom:
configMapKeyRef:
name: fortune-config
key: sleep-interval
volumeMounts:
- name: html
mountPath: /var/htdocs
- image: nginx:alpine
name: web-server
volumeMounts:
- name: html
mountPath: /usr/share/nginx/html
readOnly: true
- name: config
mountPath: /etc/nginx/conf.d
readOnly: true
- name: certs
mountPath: /etc/nginx/certs/
readOnly: true
ports:
- containerPort: 80
- containerPort: 443
volumes:
- name: html
emptyDir: {}
- name: config
configMap:
name: fortune-config
items:
- key: my-nginx-config.conf
path: https.conf
- name: certs
secret:
secretName: fortune-https
Secret 也支援通過 defaultModes 指定卷中檔案的預設許可權
# Secret 卷採用記憶體檔案系統列出容器的掛載點,不會寫入磁碟
$ kubectl exec test-secret -c web-server -- mount | grep certs
tmpfs on /etc/nginx/certs type tmpfs (ro,relatime)
暴露 Secret 為環境變數
不推薦,該方式可能無意中暴露 Secret 資訊
env:
- name: FOO_SECRET
valueFrom:
secretKeyRef:
name: fortune-https
key: foo
4. 映象拉取 Secret
從私有映象倉庫拉取映象時,K8s 需擁有拉取映象所需的證書
①建立包含 Docker 映象倉庫證書的 Secret
kubectl create secret docker-registry mydockerhubsecret \
--docker-username=myusername --docker-password=mypassword --docker-email=myemail
②Pod 中欄位imagePullSecrets引用該 Secret
apiVersion: v1
kind: Pod
metadata:
name: private-pod
spec:
imagePullSecrets:
- name: mydockerhubsecret
containers:
- image: username/private:tag
name: test
後續可新增 Secret 到 ServiceAccount 使所有 Pod 都能自動新增上該 Secret