Kubernetes 配置与存储：ConfigMap、Secret 与 PV/PVC

Souloss

公告

欢迎来到我的博客！这是一条示例公告

Learn More

标签

Souloss

公告

欢迎来到我的博客！这是一条示例公告

Learn More

标签

Souloss

公告

欢迎来到我的博客！这是一条示例公告

Learn More

标签

1247 字

4 分钟

Kubernetes 配置与存储：ConfigMap、Secret 与 PV/PVC

2023-08-11

云原生

Kubernetes

/

云原生

应用代码和配置必须分离——这是十二要素应用的核心原则之一。Kubernetes 通过 ConfigMap 和 Secret 实现配置管理，通过 PV/PVC 体系实现存储管理。理解这些机制，是构建可移植、可维护的云原生应用的前提。

一、ConfigMap：配置管理#

ConfigMap 将非敏感配置数据以键值对形式存储，Pod 通过环境变量或 Volume 挂载引用。

1.1 创建 ConfigMap#

1
apiVersion: v1
2
kind: ConfigMap
3
metadata:
4
  name: app-config
5
data:
6
  # 简单键值对
7
  LOG_LEVEL: "info"
8
  MAX_CONNECTIONS: "100"
9
  # 完整配置文件
10
  nginx.conf: |
11
    server {
12
      listen 80;
13
      location / {
14
        proxy_pass http://backend:8080;
15
      }
16
    }

1
# 从文件创建 ConfigMap
2
kubectl create configmap app-config --from-file=nginx.conf
3

4
# 从目录创建（目录中每个文件成为一个键）
5
kubectl create configmap app-config --from-file=config/
6

7
# 从字面值创建
8
kubectl create configmap app-config --from-literal=LOG_LEVEL=info

1.2 Pod 引用 ConfigMap#

方式一：环境变量

1
spec:
2
  containers:
3
    - name: my-app
4
      image: my-app:v1
5
      envFrom:                    # 引用整个 ConfigMap
6
        - configMapRef:
7
            name: app-config
8
      env:                        # 引用单个键
9
        - name: LOG_LEVEL
10
          valueFrom:
11
            configMapKeyRef:
12
              name: app-config
13
              key: LOG_LEVEL

方式二：Volume 挂载

1
spec:
2
  containers:
3
    - name: my-app
4
      image: my-app:v1
5
      volumeMounts:
6
        - name: config
7
          mountPath: /etc/nginx/nginx.conf
8
          subPath: nginx.conf      # 挂载单个键，不覆盖目录
9
  volumes:
10
    - name: config
11
      configMap:
12
        name: app-config

Note

通过 Volume 挂载的 ConfigMap 会自动更新——当 ConfigMap 内容变更时，Pod 内的文件会自动刷新（有延迟，通常 1-2 分钟）。通过环境变量引用的 ConfigMap 不会自动更新——需要重启 Pod 才能生效。

二、Secret：敏感信息管理#

Secret 的数据以 Base64 编码存储。虽然 Base64 不是加密，但 Secret 与 ConfigMap 的分离使得 RBAC 可以对敏感信息施加更严格的访问控制。

2.1 Secret 类型#

类型	用途	示例
`Opaque`	通用键值对（默认）	数据库密码、API Token
`kubernetes.io/tls`	TLS 证书	Ingress HTTPS
`kubernetes.io/dockerconfigjson`	镜像拉取凭证	私有镜像仓库
`kubernetes.io/basic-auth`	基本认证	用户名密码
`kubernetes.io/ssh-auth`	SSH 认证	SSH 密钥

2.2 创建与使用 Secret#

1
# 创建通用 Secret
2
kubectl create secret generic db-secret \
3
  --from-literal=username=admin \
4
  --from-literal=password='S3cur3P@ss!'
5

6
# 创建 TLS Secret
7
kubectl create secret tls tls-secret \
8
  --cert=cert.pem \
9
  --key=key.pem
10

11
# 创建镜像拉取 Secret
12
kubectl create secret docker-registry regcred \
13
  --docker-server=registry.example.com \
14
  --docker-username=user \
15
  --docker-password=pass

1
# Pod 引用 Secret
2
spec:
3
  containers:
4
    - name: my-app
5
      image: my-app:v1
6
      env:
7
        - name: DB_PASSWORD
8
          valueFrom:
9
            secretKeyRef:
10
              name: db-secret
11
              key: password
12
  imagePullSecrets:              # 拉取私有镜像
13
    - name: regcred

2.3 Secret 安全最佳实践#

实践	说明
启用 etcd 加密	配置 `EncryptionConfiguration`，Secret 在 etcd 中加密存储
使用外部密钥管理	通过 External Secrets Operator 对接 Vault/AWS Secrets Manager
限制 RBAC	只授予必要的 Secret 读取权限
避免明文提交	不要将 Secret YAML 提交到 Git，使用 Sealed Secrets 或 SOPS
使用 ServiceAccount Token	Kubernetes 1.24+ 自动挂载短期 Token，取代长期 Secret

Warning

默认情况下，Secret 在 etcd 中以 Base64 明文存储。任何有 etcd 访问权限的人都能读取 Secret 原文。生产环境必须启用 etcd 静态加密。

三、Volume：存储卷基础#

Volume 将存储挂载到 Pod 中，其生命周期与 Pod 相同——Pod 删除时 Volume 也被清理（临时卷）。持久化存储需要 PV/PVC。

3.1 常见临时卷类型#

类型	说明	适用场景
`emptyDir`	Pod 内共享的临时目录，Pod 删除即消失	Sidecar 共享文件、缓存
`hostPath`	挂载宿主机路径	调试、DaemonSet 访问节点文件
`configMap`	挂载 ConfigMap 内容	配置文件
`secret`	挂载 Secret 内容	证书、密钥
`projected`	将多个源投射到同一目录	组合 ConfigMap + Secret

1
spec:
2
  containers:
3
    - name: app
4
      image: my-app:v1
5
      volumeMounts:
6
        - name: cache
7
          mountPath: /tmp/cache
8
        - name: config
9
          mountPath: /etc/config
10
  volumes:
11
    - name: cache
12
      emptyDir:                   # 临时目录
13
        medium: Memory            # 可选：使用内存（tmpfs）
14
        sizeLimit: 256Mi
15
    - name: config
16
      configMap:
17
        name: app-config

Warning

hostPath 卷存在安全风险——Pod 可以读写宿主机文件。生产环境应避免使用 hostPath，或通过 Pod Security Policy 限制。

四、PV 与 PVC：持久化存储#

PV（PersistentVolume）是集群级存储资源，PVC（PersistentVolumeClaim）是用户对存储的请求。PV 和 PVC 的分离使得存储管理员和应用开发者各司其职。

4.1 PV/PVC 绑定流程#

flowchart TB DEV["开发者提交 PVC 请求 10Gi 存储"] --> BIND{"存在匹配 PV?"} BIND -->|"是"| BOUND["PVC 绑定到 PV 状态: Bound"] BIND -->|"否"| SC{"有 StorageClass?"} SC -->|"是"| PROV["StorageClass 动态供给 PV"] PROV --> BOUND SC -->|"否"| PENDING["PVC 状态: Pending 等待管理员创建 PV"] BOUND --> POD["Pod 挂载 PVC 使用存储"] style DEV fill:#e3f2fd,stroke:#1565c0 style BOUND fill:#c8e6c9,stroke:#2e7d32 style PENDING fill:#ffcdd2,stroke:#c62828

4.2 PV 示例#

1
apiVersion: v1
2
kind: PersistentVolume
3
metadata:
4
  name: pv-nfs-1
5
spec:
6
  capacity:
7
    storage: 50Gi
8
  accessModes:
9
    - ReadWriteMany             # 多节点读写
10
  persistentVolumeReclaimPolicy: Retain  # 保留数据
11
  nfs:
12
    server: nfs.example.com
13
    path: /data/share1

4.3 PVC 示例#

1
apiVersion: v1
2
kind: PersistentVolumeClaim
3
metadata:
4
  name: my-data
5
spec:
6
  accessModes:
7
    - ReadWriteOnce             # 单节点读写
8
  resources:
9
    requests:
10
      storage: 10Gi
11
  storageClassName: fast        # 指定 StorageClass

4.4 访问模式#

模式	缩写	说明	典型后端
ReadWriteOnce	RWO	单节点读写	AWS EBS、GCE PD、Ceph RBD
ReadOnlyMany	ROX	多节点只读	NFS、CephFS
ReadWriteMany	RWX	多节点读写	NFS、CephFS、GlusterFS
ReadWriteOncePod	RWOP	单 Pod 独占读写	本地存储

4.5 回收策略#

策略	说明
Retain	PVC 删除后保留 PV 和数据，需手动清理
Delete	PVC 删除后自动删除 PV 和后端存储
Recycle	已弃用，执行 `rm -rf /volume/*` 后重新可用

五、StorageClass：动态供给#

StorageClass 定义存储”模板”，当 PVC 没有匹配的 PV 时，StorageClass 自动创建 PV。

1
apiVersion: storage.k8s.io/v1
2
kind: StorageClass
3
metadata:
4
  name: fast
5
provisioner: ebs.csi.aws.com     # CSI 供给器
6
parameters:
7
  type: gp3                       # AWS EBS gp3 类型
8
  iopsPerGB: "5000"
9
  throughput: "250"
10
reclaimPolicy: Delete
11
volumeBindingMode: WaitForFirstConsumer  # 延迟绑定
12
allowVolumeExpansion: true               # 允许扩容

5.1 volumeBindingMode#

模式	说明	适用场景
Immediate	PVC 创建后立即供给 PV	集群单区域
WaitForFirstConsumer	等 Pod 调度后再供给 PV	多区域集群，确保 PV 与 Pod 同区域

WaitForFirstConsumer 解决了一个关键问题：如果集群跨多个可用区，Immediate 模式可能在 Zone A 创建 PV，但 Pod 被调度到 Zone B——跨区域挂载会失败。WaitForFirstConsumer 等 Pod 调度结果确定后，再在 Pod 所在区域创建 PV。

5.2 存储扩容#

1
# 扩容 PVC
2
kubectl patch pvc my-data -p '{"spec":{"resources":{"requests":{"storage":"20Gi"}}}}'
3

4
# 查看扩容状态
5
kubectl get pvc my-data
6
# NAME      STATUS   VOLUME   CAPACITY   ACCESS MODES   STORAGECLASS   AGE
7
# my-data   Bound    pv-xxx   20Gi       RWO            fast           5m

Note

存储扩容需要 StorageClass 设置 allowVolumeExpansion: true。部分存储后端（如 AWS EBS）只支持扩容不支持缩容。

六、Pod 中使用 PVC#

1
apiVersion: apps/v1
2
kind: Deployment
3
metadata:
4
  name: mysql
5
spec:
6
  selector:
7
    matchLabels:
8
      app: mysql
9
  template:
10
    metadata:
11
      labels:
12
        app: mysql
13
    spec:
14
      containers:
15
        - name: mysql
16
          image: mysql:8.0
17
          env:
18
            - name: MYSQL_ROOT_PASSWORD
19
              valueFrom:
20
                secretKeyRef:
21
                  name: db-secret
22
                  key: password
23
          volumeMounts:
24
            - name: mysql-data
25
              mountPath: /var/lib/mysql
26
            - name: config
27
              mountPath: /etc/mysql/conf.d
28
      volumes:
29
        - name: mysql-data
30
          persistentVolumeClaim:
31
            claimName: mysql-pvc     # 引用 PVC
32
        - name: config
33
          configMap:
34
            name: mysql-config       # 引用 ConfigMap

总结#

概念	核心要点
ConfigMap	非敏感配置，环境变量或 Volume 挂载，Volume 方式自动更新
Secret	敏感信息，Base64 编码（非加密），需启用 etcd 加密
emptyDir	Pod 内临时共享目录，Pod 删除即消失
hostPath	宿主机路径挂载，安全风险高，生产环境慎用
PV	集群级存储资源，独立于 Pod 生命周期
PVC	用户对存储的请求，绑定到 PV
StorageClass	存储模板，支持动态供给和扩容
WaitForFirstConsumer	延迟绑定，确保 PV 与 Pod 同区域