一、背景
在自动化流程中,对于一个应用来说,从开发阶段的配置管理,到制作容器镜像,再到最后通过K8S集群发布为服务,整个过程涉及到的配置非常多;
应用环境:通常是指代码层面的依赖配置,以常用的Nacos来说,通常会涉及框架、组件、自定义等几个层面的配置管理;
运行环境:以微服务架构来说,实际环境中需要管理多个应用的服务发布,在整个过程中必然会存在很多配置的管理,比如应用的资源分配、不同环境交互时的身份认证、敏感信息的安全管理等;
不论是应用还是运行层面的配置,都会涉及到一个基本的逻辑:配置可以抽取出来单独管理,在流程中直接引入该配置即可;
二、ConfigMap
ConfigMap用来将非机密性的数据保存到键值对中,Pod可以将其用作环境变量、命令行参数或者存储卷中的配置文件,会将环境配置信息和容器镜像解耦,便于应用配置的修改。
1、创建
ConfigMap中data字段用来保存UTF-8字符串,binaryData用来保存二进制数据作为base64编码的字串;
apiVersion: v1
kind: ConfigMap
metadata:
name: app-config-map
namespace: default
data:
active: test
started: hello
program: world
创建【ConfigMap】
kubectl apply -f app-config-map.yaml
查看【ConfigMap】
kubectl get cm/app-config-map -o yaml
K8S界面查看【ConfigMap】
2、使用
用法一:使用「app-config-map」中的值来配置【Pod】,在env中定义多个环境变量,但是值从ConfigMap中读取;
apiVersion: v1
kind: Pod
metadata:
name: auto-client-one
spec:
containers:
- name: auto-client
image: auto-client:1.1.3
imagePullPolicy: Never
ports:
- containerPort: 8079
env:
- name: DATA_ACTIVE
valueFrom:
configMapKeyRef:
name: app-config-map
key: active
- name: DATA_STARTED
valueFrom:
configMapKeyRef:
name: app-config-map
key: started
- name: DATA_PROGRAM
valueFrom:
configMapKeyRef:
name: app-config-map
key: program
创建【Pod】
kubectl create -f auto-client-one.yaml
用法二:在【Pod】配置中,直接使用envFrom引入「app-config-map」,从而完成环境变量的设置;
apiVersion: v1
kind: Pod
metadata:
name: auto-client-two
spec:
containers:
- name: auto-client
image: auto-client:1.1.3
imagePullPolicy: Never
ports:
- containerPort: 8079
envFrom:
- configMapRef:
name: app-config-map
查看环境变量
# 1、执行该命令
kubectl exec -it auto-client-one -- bash
# 2、输入命令:env
env
# 3、打印的环境变量,只留下【app-config-map】配置的参数
DATA_ACTIVE=test
DATA_PROGRAM=world
DATA_STARTED=hello
# 4、查看【DATA_STARTED】的变量值
echo $DATA_STARTED
在【auto-client:1.1.3】容器镜像中,添加了一个输出环境变量的定时任务,通过查看运行日志,可以看到相关配置会被代码正确读取;
@Component
public class PrintEnvJob {
private static final Logger LOG = LoggerFactory.getLogger(PrintEnvJob.class.getName()) ;
@Scheduled(fixedDelay = 60000)
public void systemData () {
Map<String,String> envMap = System.getenv();
for (Map.Entry<String, String> entry:envMap.entrySet()){
String key = entry.getKey();
String value = entry.getValue();
LOG.info("【key:{},value:{}】",key,value);
}
}
}
【auto-client-one】日志输出
【auto-client-two】日志输出
注意事项
·ConfigMap在设计上不是用来保存大量数据的,因此保存的数据不可超过1MiB;
· ConfigMap并不提供保密或者加密功能,如果存储的数据是机密的,可以使用Secret对象,或者使用其它方式确保数据的私密性;
· ConfigMap中可以通过将immutable字段设置为true创建不可变更的配置,如果要修改只能删除后重建。
三、Secret
Secret是一种包含少量敏感信息例如密码、令牌或密钥的对象,这样的信息可能会被放在Pod规约中或者镜像中,使用Secret意味着不需要在应用程序代码中包含敏感数据;
1、创建
将【auto-client:1.1.3】镜像推送到云端的docker私有仓库里,并且删除本地相关镜像,测试下面的流程;
这里以最常见的镜像拉取场景来说,通常容器镜像文件是放在私有的云端仓库,K8S在访问时需要提供身份证明,可以通过Secret配置来处理该场景;
kubectl create secret docker-registry 【secret名称】 --docker-server=【仓库地址】 --docker-username=【用户名】 --docker-password=【密码】 --namespace=【命名空间】 -o yaml > cloud-registry-secret.yaml
2、使用
在上面配置了镜像拉取的Secret对象,在Pod层面使用imagePullSecrets来引用该对象,当从私有仓库拉取容器镜像时,节点上的kubelet能够完成与镜像仓库的身份认证;
apiVersion: apps/v1
kind: Deployment
metadata:
name: auto-client-deployment
labels:
app: auto-client
spec:
replicas: 1
selector:
matchLabels:
app: auto-client
template:
metadata:
labels:
app: auto-client
spec:
imagePullSecrets:
- name: cloud-registry-secret
containers:
- name: auto-client
image: 【仓库地址】/auto-client:1.1.3
imagePullPolicy: Always
ports:
- containerPort: 8079
注意事项
·默认情况下Secret未加密地存储在etcd中,任何拥有权限的用户都可以检索或修改Secret信息;
· 每个Secret的大小最多为1MiB,施加这一限制是为了避免用户创建非常大的Secret,进而导致API服务器和kubelet内存耗尽。
四、Pod与容器
在定义Pod时可以选择性地为每个容器设定所需要的资源数量,最常见的可设定资源是CPU和内存大小,或者其他类型的资源,这样有利于调度器给Pod选择合适的节点;
apiVersion: apps/v1
kind: Deployment
metadata:
name: auto-client-rs-deployment
labels:
app: auto-client
spec:
replicas: 1
selector:
matchLabels:
app: auto-client
template:
metadata:
labels:
app: auto-client
spec:
containers:
- name: auto-serve
image: auto-client:1.1.3
imagePullPolicy: Never
ports:
- containerPort: 8079
resources:
requests:
cpu: "250m"
memory: "128Mi"
limits:
cpu: "500m"
memory: "256Mi"
注意事项
·CPU和内存统称为计算资源,计算资源的数量是可测量的,可以被请求、被分配、被消耗;
· requests为容器指定资源需求,limits为容器设置资源限制;
· 如果Pod运行所在节点有足够的可用资源,容器可以使用超出对应资源request属性所设置的资源量,但是不可以使用超出其资源limit属性所设置的资源量。
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理
