Kubernetes 系列(四):配置與存儲篇 - ConfigMap、Secret 與 Volume
前言
應用程式除了程式碼本身,還需要配置資訊(如資料庫連線設定)、敏感資訊(如密碼)以及資料持久化。Kubernetes 提供了完整的解決方案:
- ConfigMap:管理非敏感配置
- Secret:管理敏感資訊
- Volume:提供資料儲存
本篇將深入探討這些資源的使用方式和最佳實踐。
ConfigMap:配置管理
為什麼需要 ConfigMap?
在容器化之前,我們可能這樣管理配置:
- 配置寫在程式碼裡(❌ 難以修改)
- 使用環境變數(✅ 但不易管理)
- 使用配置檔案(✅ 但需要掛載)
ConfigMap 統一解決這些問題,將配置與容器映像檔分離。
graph LR
CM[ConfigMap] -->|環境變數| POD1[Pod]
CM -->|掛載檔案| POD2[Pod]
CM -->|命令列參數| POD3[Pod]創建 ConfigMap
方法一:從文字值創建
1 | kubectl create configmap app-config \ |
方法二:從檔案創建
1 | # 從單一檔案 |
方法三:使用 YAML 定義
1 | apiVersion: v1 |
使用 ConfigMap
方式一:作為環境變數
1 | apiVersion: v1 |
方式二:作為檔案掛載
1 | apiVersion: v1 |
方式三:作為命令列參數
1 | apiVersion: v1 |
ConfigMap 熱更新
環境變數:Pod 必須重啟才能讀取新值
掛載檔案:自動更新(約 1 分鐘內),但應用程式需要自己偵測變化
1 | # 掛載為單一檔案時,可使用 subPath,但不會自動更新 |
Secret:敏感資訊管理
ConfigMap vs Secret
| 特性 | ConfigMap | Secret |
|---|---|---|
| 用途 | 非敏感配置 | 敏感資訊 |
| 儲存方式 | 明文 | Base64 編碼 |
| 記憶體存放 | 否 | 是(tmpfs) |
| 大小限制 | 1MiB | 1MiB |
注意:Secret 的 Base64 不是加密,只是編碼。生產環境應啟用 etcd 加密。
Secret 類型
| 類型 | 用途 |
|---|---|
Opaque |
預設,任意用戶定義資料 |
kubernetes.io/basic-auth |
基本認證 |
kubernetes.io/ssh-auth |
SSH 私鑰 |
kubernetes.io/tls |
TLS 憑證 |
kubernetes.io/dockerconfigjson |
Docker Registry 認證 |
創建 Secret
方法一:命令列創建
1 | # Generic Secret |
方法二:YAML 定義
1 | apiVersion: v1 |
1 | # 編碼/解碼 |
使用 Secret
與 ConfigMap 類似,可以作為環境變數或檔案掛載:
1 | apiVersion: v1 |
拉取私有映像檔
1 | apiVersion: v1 |
Secret 最佳實踐
- 不要將 Secret 提交到 Git
- 使用外部密鑰管理:AWS Secrets Manager、HashiCorp Vault
- 啟用 etcd 加密:在叢集層級加密儲存
- 限制存取權限:使用 RBAC 控制誰可以讀取 Secret
- 定期輪換:定期更換密碼和憑證
Volume:資料存儲
為什麼需要 Volume?
容器的檔案系統是臨時的:
- 容器重啟後,檔案會消失
- 同一 Pod 內的容器需要共享檔案
- 資料庫等應用需要持久化資料
Volume 類型概覽
graph TD
V[Volume 類型] --> T[臨時儲存]
V --> P[持久儲存]
V --> S[特殊用途]
T --> E[emptyDir]
T --> CM[configMap]
T --> SEC[secret]
P --> HP[hostPath]
P --> PVC[persistentVolumeClaim]
P --> NFS[nfs]
P --> CLOUD[雲端儲存]
S --> DOWN[downwardAPI]
S --> PROJ[projected]emptyDir:臨時共享儲存
Pod 內容器間共享資料,Pod 刪除後資料消失。
1 | apiVersion: v1 |
hostPath:掛載主機目錄
將節點上的檔案或目錄掛載到 Pod。
1 | apiVersion: v1 |
| hostPath type | 說明 |
|---|---|
"" |
不檢查 |
DirectoryOrCreate |
目錄不存在則創建 |
Directory |
目錄必須存在 |
FileOrCreate |
檔案不存在則創建 |
File |
檔案必須存在 |
⚠️ 安全警告:hostPath 可存取節點檔案系統,生產環境應謹慎使用。
持久化儲存:PV 與 PVC
概念說明
graph LR
ADMIN[管理員] -->|創建| PV[PersistentVolume<br/>實際儲存]
DEV[開發者] -->|創建| PVC[PersistentVolumeClaim<br/>資源請求]
PVC -->|綁定| PV
POD[Pod] -->|使用| PVC- PersistentVolume(PV):叢集中的一塊儲存,由管理員創建
- PersistentVolumeClaim(PVC):對儲存的請求,由開發者創建
- StorageClass:動態供應儲存的模板
PersistentVolume 範例
1 | apiVersion: v1 |
存取模式
| 模式 | 縮寫 | 說明 |
|---|---|---|
ReadWriteOnce |
RWO | 單一節點讀寫 |
ReadOnlyMany |
ROX | 多節點唯讀 |
ReadWriteMany |
RWX | 多節點讀寫 |
ReadWriteOncePod |
RWOP | 單一 Pod 讀寫 |
回收策略
| 策略 | 說明 |
|---|---|
Retain |
PVC 刪除後保留 PV,需手動處理 |
Delete |
PVC 刪除後自動刪除 PV |
Recycle |
清除資料後重新可用(已棄用) |
PersistentVolumeClaim 範例
1 | apiVersion: v1 |
在 Pod 中使用 PVC
1 | apiVersion: v1 |
StorageClass:動態供應
不用預先創建 PV,由 StorageClass 自動創建。
1 | apiVersion: storage.k8s.io/v1 |
1 | # 使用 StorageClass 的 PVC |
常見雲端 StorageClass
| 雲端 | Provisioner | 說明 |
|---|---|---|
| AWS | ebs.csi.aws.com |
EBS 儲存 |
| GCP | pd.csi.storage.gke.io |
Persistent Disk |
| Azure | disk.csi.azure.com |
Azure Disk |
實戰範例:有狀態應用部署
部署 PostgreSQL
1 | # 1. StorageClass(雲端環境可能已內建) |
本章重點回顧
ConfigMap
- 用途:管理非敏感的配置資訊
- 使用方式:環境變數、檔案掛載、命令列參數
- 熱更新:檔案掛載可自動更新(但需應用程式配合)
Secret
- 用途:管理敏感資訊(密碼、憑證)
- 編碼:使用 Base64,不是加密
- 最佳實踐:不提交 Git、啟用 etcd 加密、使用外部密鑰管理
Volume
- 臨時儲存:emptyDir(Pod 內共享)
- 主機儲存:hostPath(掛載節點目錄)
- 持久儲存:PV + PVC + StorageClass
PV/PVC 流程
graph LR
A[創建 StorageClass] --> B[創建 PVC]
B --> C[動態創建 PV]
C --> D[PVC 綁定 PV]
D --> E[Pod 使用 PVC]下一篇預告
在下一篇文章中,我們將探討 資源管理與自動擴展:
- 資源請求與限制(Requests/Limits)
- Horizontal Pod Autoscaler (HPA)
- Pod 調度策略
- 探針機制(Liveness/Readiness/Startup)
系列文章導覽
- Part 1:入門篇 - 認識 K8s 與核心架構
- Part 2:基礎篇 - Pod、Deployment 與 Service
- Part 3:網路篇 - 服務發現與流量管理
- Part 4:配置與存儲篇 - ConfigMap、Secret 與 Volume(本篇)
- Part 5:進階篇 - 資源管理與自動擴展
- Part 6:實戰篇 - 部署完整微服務應用
參考資源
All articles on this blog are licensed under CC BY-NC-SA 4.0 unless otherwise stated.
Related Articles
2026-01-07
Kubernetes 系列(一):入門篇 - 認識 K8s 與核心架構
前言如果你已經熟悉 Docker,能夠將應用程式打包成容器並順利運行,那麼恭喜你已經跨出了容器化的第一步!但當你的應用從單一容器發展到數十甚至數百個容器時,新的挑戰隨之而來:如何確保容器崩潰後自動重啟?如何在多台機器之間分配容器?如何實現服務的滾動更新而不影響使用者?這時候,你就需要 Kubernetes(簡稱 K8s) 這個目前最主流的容器編排工具。 如何確保容器崩潰後自動重啟? 如何在多台機器之間分配容器? 如何實現服務的滾動更新而不影響使用者? 如何讓容器之間互相通訊? 這時候,你就需要一個容器編排工具,而 Kubernetes(簡稱 K8s) 正是目前最主流的解決方案。 本篇文章將帶你從零開始認識 Kubernetes,理解它的核心架構與設計理念,為後續的深入學習打下堅實基礎。 什麼是 Kubernetes?命名由來Kubernetes 源自希臘語「κυβερνήτης」,意為「舵手」或「領航員」。這個名字暗示了它的核心功能:掌舵你的容器艦隊。 為什麼叫 K8s?因為「Kubernetes」中間有 8 個字母(ubernete),所以簡稱 K8s。 一句話定義 ...
2026-01-07
Kubernetes 系列(二):基礎篇 - Pod、Deployment 與 Service
前言在上一篇文章中,我們認識了 Kubernetes 的核心架構與基本概念。本篇將深入探討 K8s 中最重要的三個資源類型:Pod、Deployment 與 Service。 這三個概念構成了 K8s 應用部署的基礎: Pod:容器運行的最小單位 Deployment:管理 Pod 的部署與更新 Service:為 Pod 提供穩定的存取端點 掌握這三個概念,你就能開始在 K8s 上部署和管理應用程式了。 Pod:最小部署單位什麼是 Pod?Pod 是 K8s 中最小的可部署單位,也是最基本的調度單位。一個 Pod 代表叢集中運行的一個進程。 graph TB subgraph "Pod" C1[Container 1<br/>Web Server] C2[Container 2<br/>Sidecar] V[Shared Volume] N[Shared Network<br/>localhost] end C1 <-...
2026-01-07
Kubernetes 系列(三):網路篇 - 服務發現與流量管理
前言在上一篇文章中,我們學習了 Service 的基本概念和四種類型。本篇將更深入地探討 Kubernetes 的網路模型,包括: 服務發現:Pod 如何找到其他服務? Ingress:如何將外部流量路由到叢集內部? 網路策略:如何控制 Pod 之間的網路通訊? 理解這些概念,你就能設計出安全、高效的 K8s 網路架構。 Kubernetes 網路模型核心原則K8s 網路模型基於幾個基本原則: 每個 Pod 有唯一 IP:Pod 不共享 IP,簡化通訊模型 Pod 之間可直接通訊:無需 NAT,任何 Pod 可直接連線到任何其他 Pod 節點與 Pod 可直接通訊:節點上的程式可直接連線 Pod Pod 看到的 IP 與其他人看到的相同:沒有隱藏的 NAT graph TD subgraph "Node 1 (10.0.1.1)" P1[Pod A<br/>10.244.1.5] P2[Pod B<br/>10.244.1.8] end subgraph "...
2026-01-07
Kubernetes 系列(五):進階篇 - 資源管理與自動擴展
前言當應用程式部署到 K8s 後,如何確保它穩定運行且高效利用資源?本篇將探討: 資源管理:設定 CPU 和記憶體的請求與限制 自動擴展:根據負載自動調整 Pod 數量 調度策略:控制 Pod 在哪些節點上運行 健康檢查:確保只有健康的 Pod 接收流量 這些是生產環境部署的必備知識。 資源管理:Requests 與 Limits為什麼需要資源管理?沒有資源限制的情況下: 某個 Pod 可能消耗所有 CPU/記憶體 導致其他 Pod 無法正常運行 節點可能因 OOM(Out of Memory)崩潰 graph TD subgraph "沒有限制" A[Pod A] -->|佔用 80% CPU| N1[Node] B[Pod B] -->|飢餓| N1 C[Pod C] -->|飢餓| N1 end subgraph "有限制" D[Pod A: 限制 30%] --> N2[Node] ...
2026-01-07
Kubernetes 系列(六):實戰篇 - 部署完整微服務應用
前言經過前五篇的學習,你已經掌握了 Kubernetes 的核心概念。本篇將綜合運用這些知識,完成一個完整微服務應用的部署: 設計應用架構 使用 Helm 簡化部署 多環境配置管理 日誌與監控整合 常見問題排除 讓我們開始真正的實戰! 應用架構設計範例應用:電商平台我們將部署一個簡化版的電商微服務系統: graph TD USER[使用者] -->|HTTPS| ING[Ingress] ING --> GW[API Gateway] GW --> USVC[User Service] GW --> PSVC[Product Service] GW --> OSVC[Order Service] USVC --> REDIS[(Redis)] PSVC --> PDB[(PostgreSQL<br/>Products)] OSVC --> ODB[(PostgreSQL<br/>Orders)] OSVC --> M...
2025-12-15
AWS 服務系列(一):入門與核心概念 - 後端工程師必備的雲端基礎
前言作為一名後端工程師,掌握雲端服務已經從「加分項目」變成「必備技能」。AWS(Amazon Web Services)作為全球市佔率最高的雲端平台,提供了超過 200 種服務,涵蓋運算、儲存、資料庫、網路、機器學習等各個領域。 本系列文章將從後端工程師的實務角度出發,由淺入深地介紹 AWS 的核心服務。我們不會只是照本宣科地介紹功能,而是著重於為什麼要用、什麼時候用、以及如何正確地用。 本篇作為系列的開篇,將涵蓋以下重點: AWS 的全球基礎架構概念 身份與存取管理(IAM)的核心原則 帳號安全最佳實踐 成本管理的基本策略 AWS 全球基礎架構Region 與 Availability Zone在開始使用任何 AWS 服務之前,首先需要理解其全球基礎架構的設計理念。AWS 的基礎架構由三個層級組成: graph TD subgraph "AWS 全球基礎架構" A[Region 區域] --> B[Availability Zone 可用區域] B --> C[Data Center 資料中心] ...
Comments
