当前位置：首页 > 技术 > 正文内容

Kubernetes中ConfigMap与Secret的配置管理实践

访客技术 2026年6月22日 5

ConfigMap与Secret：解耦应用配置与敏感信息

Kubernetes通过ConfigMap和Secret对象实现了配置数据与容器镜像的分离，使应用程序更具可移植性和安全性。ConfigMap用于存储非敏感的配置项，如端口号、域名或功能开关；而Secret则专门设计用于保存密码、密钥等敏感内容，其数据在集群内以Base64编码形式存储，提供基础层级的安全隔离。

典型应用场景分析

传统方式将配置硬编码进镜像或启动脚本中，导致环境适配困难且更新成本高。当多个微服务共享同一数据库连接参数时，若采用手动修改每个Deployment的方式，维护效率极低。Kubernetes的解决方案允许集中管理这些共用参数，并通过声明式API动态注入到Pod中，实现一次变更、全局生效的效果。

ConfigMap的创建方法

可通过命令行直接定义键值对：

kubectl create configmap app-settings \
  --from-literal=APP_PORT=8080 \
  --from-literal=LOG_LEVEL=debug

也可基于现有文件生成，例如从配置目录构建：

echo "max_connections=100" > db.conf
kubectl create configmap database-config --from-file=db.conf

更推荐使用YAML清单进行版本控制：

apiVersion: v1
kind: ConfigMap
metadata:
  name: app-config
data:
  application.yml: |
    server:
      port: 8080
    spring:
      profiles.active: production

ConfigMap的注入方式

环境变量注入适用于简单参数传递：

env:
- name: SERVER_PORT
  valueFrom:
    configMapKeyRef:
      name: app-settings
      key: APP_PORT

挂载为卷更适合复杂配置文件：

volumes:
- name: config-volume
  configMap:
    name: database-config
containerMounts:
- mountPath: /etc/app/conf
  name: config-volume

注意：环境变量仅在Pod启动时读取，后续ConfigMap更新不会自动同步；而挂载卷中的文件会异步更新（通常延迟约30秒），但需应用自行支持热重载机制才能生效。

Secret的创建与使用

通用Secret可通过以下命令创建：

kubectl create secret generic db-credentials \
  --from-literal=username=admin \
  --from-literal=password='S3c!r3tP@ss'

查看其内容需解码Base64字段：

kubectl get secret db-credentials -o jsonpath='{.data.password}' | base64 -d

在Pod中引用Secret作为环境变量：

env:
- name: DB_PASSWORD
  valueFrom:
    secretKeyRef:
      name: db-credentials
      key: password

或将其挂载为文件以避免暴露于进程环境中：

volumes:
- name: secret-volume
  secret:
    secretName: tls-cert
containerMounts:
- mountPath: "/etc/tls"
  name: secret-volume
  readOnly: true

安全注意事项

尽管Secret采用编码存储，但仍可在集群内部轻易解码，因此不应视为绝对安全方案。建议配合RBAC策略限制访问权限，并结合外部密钥管理系统（如Hashicorp Vault）实现更高级别的保护。对于生产环境，应启用etcd静态加密以防止物理介质泄露风险。

实际部署示例

以下是一个Nginx配置实例，通过ConfigMap注入虚拟主机设置：

apiVersion: v1
kind: Pod
metadata:
  name: nginx-server
spec:
  containers:
  - name: nginx
    image: nginx:alpine
    volumeMounts:
    - name: site-config
      mountPath: /etc/nginx/conf.d/default.conf
      subPath: site.conf
  volumes:
  - name: site-config
    configMap:
      name: nginx-site

对应ConfigMap定义：

apiVersion: v1
kind: ConfigMap
metadata:
  name: nginx-site
data:
  site.conf: |
    server {
        listen 80;
        server_name example.com;
        location / {
            return 200 "Hello from ConfigMap\n";
        }
    }

执行kubectl apply -f后，可通过curl测试响应结果。修改ConfigMap后，容器内文件将在短时间内自动更新，验证方式为持续监控/etc/nginx/conf.d/目录下的文件变化。

标签: ConfigMap Secret Kubernetes 环境变量卷挂载

返回列表

上一篇：C#中Monitor机制详解

下一篇：基于Flux、Helm v3、Linkerd与Flagger实现Kubernetes渐进式交付

老程序员博客

Kubernetes中ConfigMap与Secret的配置管理实践

ConfigMap与Secret：解耦应用配置与敏感信息

典型应用场景分析

ConfigMap的创建方法

ConfigMap的注入方式

Secret的创建与使用

安全注意事项

实际部署示例

相关文章

Linux crontab 详解

富文本里可以允许的 HTML 属性

Mac 安装 Node.js 指南

Dom\HTML_NO_DEFAULT_NS 的副作用：自动加闭合标签

Laravel 事件和监听器创建

自定义域名解析神器 dnsmasq

发表评论

Copyright © agingcoder.cn

Powered By Z-BlogPHP. Theme by TOYEAN.

老程序员博客

Kubernetes中ConfigMap与Secret的配置管理实践

ConfigMap与Secret：解耦应用配置与敏感信息

典型应用场景分析

ConfigMap的创建方法

ConfigMap的注入方式

Secret的创建与使用

安全注意事项

实际部署示例

相关文章

Linux crontab 详解

富文本里可以允许的 HTML 属性

Mac 安装 Node.js 指南

Dom\HTML_NO_DEFAULT_NS 的副作用：自动加闭合标签

Laravel 事件和监听器创建

自定义域名解析神器 dnsmasq

发表评论取消回复

Copyright © agingcoder.cn

Powered By Z-BlogPHP. Theme by TOYEAN.

发表评论