默认情况下,容器可使用所在节点的全部CPU和内存资源,在多租户集群中极易引发资源争抢(如一个“贪婪”应用耗尽节点内存,导致其他Pod被杀死)、调度不均(调度器无法判断Pod合适节点)等问题。资源管理的核心目标,是通过声明式配置,让K8s“知晓”每个应用的资源需求,实现公平调度、资源隔离与稳定运行。
1、Secret(密钥管理)
1.1 概念
Secret 用来保存敏感数据,如:密码 Token 密钥
将敏感信息与Pod分离,方便控制访问并降低风险。
1.2 Secret 类型
| 类型 | 说明 |
| kubernetes.io/service-account-token | Kubernetes 自动创建,用于访问 APIServer。Pod 默认挂 载在 /run/secrets/kubernetes.io/serviceaccount。 |
| Opaque | 默认类型,用户自定义密码、密钥等(Base64 编码)。 |
| kubernetes.io/dockerconfigjson | 存储私有 Docker Registry 的认证信息。 |
| kubernetes.io/tls | 存储 SSL/TLS 证书与私钥。 |
使用前提:Pod 必须引用 Secret 才能使用。
使用方式:
1. 作为Volume 文件挂载。
2. 作为环境变量。
3. kubelet拉取镜像时使用认证信息。
应用场景:凭据管理
1.3 创建Secret
1.3.1 方法一:命令行创建
echo -n 'zhangsan' > username.txt echo -n 'abc1234' > password.txt kubectl create secret generic mysecret --from-file=username.txt --from file=password.txt kubectl get secrets kubectl describe secret mysecret1.3.2 方法二:YAML 文件(Base64 编码)
echo -n zhangsan | base64 # emhhbmdzYW4K= echo -n abc1234 | base64 # YWJjMTIzNAo== apiVersion: v1 kind: Secret metadata: name: mysecret1 type: Opaque data: password: 'YWJjMTIzNA==' username: 'emhhbmdzYW4=' kubectl apply -f secret.yaml kubectl get secret mysecret1 -o yaml1.4 使用 Secret
1.4.1 方式一:挂载为文件
#将 Secret 挂载到 Volume 中,以 Volume 的形式挂载到 Pod 的某个目录下 vim secret-test.yaml apiVersion: v1 kind: Pod metadata: name: mypod spec: containers: - name: nginx image: nginx volumeMounts: - name: secrets mountPath: "/etc/secrets" readOnly: true volumes: - name: secrets secret: secretName: mysecret kubectl exec -it mypod -- ls /etc/secrets1.4.2 方式二:导入环境变量
vim secret-test1.yaml apiVersion: v1 kind: Pod metadata: name: mypod1 spec: containers: - name: nginx image: nginx env: - name: TEST_USER valueFrom: secretKeyRef: name: mysecret1 key: username - name: TEST_PASSWORD valueFrom: secretKeyRef: name: mysecret1 key: password kubectl explain Pod.spec.containers.env.valueFrom kubectl exec -it mypod1 -- printenv | grep TEST2、ConfigMap(配置管理)
2.1 概念
与 Secret 类似,但存储非敏感配置数据。
ConfigMap 可供应用读取配置文件、命令行参数或环境变量。
应用场景:应用配置管理
2.2 创建 ConfigMap
2.2.1 方法一:从目录创建
mkdir /opt/configmap/ vim /opt/configmap/game.properties enemies=aliens lives=3 enemies.cheat=true enemies.cheat.level=noGoodRotten secret.code.passphrase=UUDDLRLRBABAS secret.code.allowed=true secret.code.lives=30 vim /opt/configmap/ui.properties color.good=purple color.bad=yellow allow.textmode=true how.nice.to.look=fairlyNice kubectl create configmap game-config --from-file=/opt/configmap/ //--from-file 指定在目录下的所有文件都会被用在 ConfigMap 里面创建一个键值对,键的名字就是文件 名,值就是文件的内容2.2.2 方法二:从文件创建
kubectl create configmap game-config-2 \ --from-file=/opt/configmap/game.properties \ --from-file=/opt/configmap/ui.properties2.2.3 方法三:使用字面值
kubectl create configmap special-config \ --from-literal=special.how=very \ --from-literal=special.type=goo2.3 Pod 中使用 ConfigMap
2.3.1 方式一:作为环境变量注入
vim env.yaml apiVersion: v1 kind: ConfigMap metadata: name: special-config namespace: default data: special.how: very special.type: good --- apiVersion: v1 kind: ConfigMap metadata: name: env-config namespace: default data: log_level: INFO kubectl create -f env.yaml kubectl get cm NAME DATA AGE env-config special-config 1 6S DATA 2 6S ---------------------------------------------- //Pod的创建 vim test-pod.yaml apiVersion: v1 kind: Pod metadata: name: test-pod spec: containers: - name: busybox image: busybox:1.28.4 command: ["/bin/sh", "-c", "env"] env: - name: SPECIAL_HOW_KEY valueFrom: configMapKeyRef: name: special-config key: special.how - name: SPECIAL_TYPE_KEY valueFrom: configMapKeyRef: name: special-config key: special.type envFrom: - configMapRef: name: env-config restartPolicy: Never kubectl logs test-pod2.3.2 方式二:命令行参数使用
vim test-pod2.yaml apiVersion: v1 kind: Pod metadata: name: test-pod2 spec: containers: - name: busybox image: busybox:1.28.4 command: - /bin/sh - -c - echo "$(SPECIAL_HOW_KEY) $(SPECIAL_TYPE_KEY)" env: - name: SPECIAL_HOW_KEY valueFrom: configMapKeyRef: name: special-config key: special.how - name: SPECIAL_TYPE_KEY valueFrom: configMapKeyRef: name: special-config key: special.type envFrom: - configMapRef: name: env-config restartPolicy: Never kubectl create -f test-pod2.yaml kubectl get pods NAME READY STATUS RESTARTS AGE test-pod2 0/1 Completed 0 34s kubectl logs test-pod2 very good2.3.3 方式三:以 Volume 形式挂载
在数据卷里面使用 ConfigMap,就是将文件填入数据卷,在这个文件中,键就是文件名,键值就是文件内容 vim test-pod3.yaml apiVersion: v1 kind: Pod metadata: name: test-pod3 spec: containers: - name: busybox image: busybox:1.28.4 command: [ "/bin/sh", "-c", "sleep 36000" ] volumeMounts: - name: config-volume mountPath: /etc/config volumes: - name: config-volume configMap: name: special-config restartPolicy: Never kubectl create -f test-pod3.yaml kubectl get pods NAME READY STATUS RESTART AGE test-pod3 1/1 Running 0 5s kubectl exec -it test-pod3 sh # cd /etc/config/ # ls special.how special.type # vi special.how # vi special.type2.3.4 ConfigMap 热更新机制
vim test-pod4.yaml apiVersion: v1 kind: ConfigMap metadata: name: log-config namespace: default data: log_level: INFO --- apiVersion: apps/v1 kind: Deployment metadata: name: my-nginx spec: replicas: 1 selector: matchLabels: app: my-nginx template: metadata: labels: app: my-nginx spec: containers: - name: my-nginx image: nginx ports: - containerPort: 80 volumeMounts: - name: config-volume mountPath: /etc/config volumes: - name: config-volume configMap: name: log-config kubectl apply -f test-pod.yaml kubectl exec -it my-nginx-c6df7db54-2x54r -- cat /etc/config/log_level修改:
kubectl edit configmap log-config apiVersion: v1 data: log_level: DEBUG #INFO 修改成 DEBUG kind: ConfigMap metadata: annotations: kubectl.kubernetes.io/last-applied-configuration: | {"apiVersion":"v1","data": {"log_level":"DEBUG"},"kind":"ConfigMap","metadata":{"annotations": {},"name":"log-config","namespace":"default"}} #INFO 修改成 DEBUG creationTimestamp: 2021-05-25T07:59:18Z name: log-config namespace: default resourceVersion: "93616" selfLink: /api/v1/namespaces/default/configmaps/log-config uid: 1b8115de-bd2f-11eb-acba-000c29d88bba # log_level: DEBUG //等大概10秒左右,使用该 ConfigMap 挂载的 Volume 中的数据同步更新 kubectl exec -it my-nginx-76b6489f44-6dwxh -- cat /etc/config/log_level DEBUGVolume 挂载的数据约 10 秒后同步更新。 环境变量不会自动更新。
2.3.5 触发滚动更新
更新 ConfigMap 不会自动触发 Pod 重启,可手动触发滚动更新。
更新 ConfigMap 目前并不会触发相关 Pod 的滚动更新,可以通过在 .spec.template.metadata.annotations 中添加 version/config ,每次通过修改 version/config 来触发滚动更新 kubectl patch deployment my-nginx --patch '{"spec": {"template": {"metadata": {"annotations": {"version/config": "20251016" }}}}}' annotations kubectl patch deployment myapp-cs --patch '{"spec": {"template": spec": {"containers":{"image":"soscscs/myapp:v2 }}}}}' spec":{"containers":[{"image":"soscscs/myapp:v1 kubectl get pods NAME READY STATUS RESTARTS AGE my-nginx-665dd4dc8c-j4k9t 0/1 ContainerCreating 0 4S my-nginx-76b6489f44-6dwxh 0/1 Terminating 0 10M kubectl get pods NAME READY STATUS RESTARTS AGE my-nginx-665dd4dc8c-j4k9t 1/1 Running 0 74s PS:更新 ConfigMap 后: ●使用该 ConfigMap 挂载的 Env 不会同步更新。 ●使用该 ConfigMap 挂载的 Volume 中的数据需要一段时间(实测大概10秒)才能同步更新总结
| 项目 | Secret | ConfigMap |
| 存储内容 | 敏感信息(密码、密钥) | 普通配置信息 |
| 数据编码 | Base64 | 纯文本 |
| 使用方式 | Volume、Env、镜像拉取凭证 | Volume、Env、命令参数 |
| 是否自动更新 | Volume 延迟更新,Env 不会 | Volume 延迟更新,Env 不会 |
| 安全性 | 高(需 RBAC 控制) | 普通 |
` 方法详解)
、OPLS-DA(正交偏最小二乘判别分析)与CRITIC-TOPSIS(基于CRITIC权重的优劣解距离法) 三种方法结合使用多指标综合评价)
