10. ConfigMap

컨테이너의 주 프로세스 변경 애플리케이션에 명령줄 옵션 전달 애플리케이션에 노출되는 환경변수 설정 컨피그맵으로 애플리케이션 설정 시크릿으로 민감한 정보 전달

7.1 컨테이너화된 애플리케이션 설정

컨테이너화된 애플리케이션의 설정값들은 다음과 같이 구성될 수 있다.

• 명령줄 인수로 설정값 지정
• 설정값을 파일에 저장하여 적용
  • 단점) 해당 설정 파일을 컨테이너 이미지 안에 포함하거나, 파일이 포함된 볼륨을 mount하여 사용해야 해서 까다롭다. 
• 환경 변수를 사용 (ex. MYSQL_ROOT_PASSWORD)
• Configmap 이란 설정 데이터를 저장하는 쿠버네티스 리소스를 의미한다. 

컨피그맵을 사용해 다음 방법으로 애플리케이션을 구성할 수 있다.

• 컨테이너에 명령줄 인수 전달
• 각 컨테이너를 위한 사용자 정의 환경변수 지정
• 특수한 유형의 볼륨을 통해 설정 파일을 컨테이너에 마운트

이러한 환경변수 중에서 보안상 민감한 내용은 Secret이라는 오브젝트를 이용하여 전달하게 된다.

 

7.2 컨테이너에 명령줄 인자 전달

7.2.1 도커에서 명령어와 인자 정의

컨테이너에서 실행하는 전체 명령은 명령어/인자 이렇게 두 부분으로 구성되어 있다.

• ENTRYPOINT : 컨테이너가 시작될 때 호출될 명령어 정의
• CMD : ENTRYPOINT 에 전달되는 인자 정의

위의 두 명령어 타입은 쿠버네티스에서 다음과 같이 쓰인다.

설명	도커	쿠버네티스
컨테이너 내부에서 실행되는 실행 파일	ENTRYPOINT	command
실행파일에 전달되는 인자	CMD	args

 

7.2.2 Pod에서 명령과 인자 재정의

컨테이너를 정의할 때, command와 args 모두 정의할 수 있다. 

생성 후에는 args의 value 값을 주로 재정의한다.

이때 command와 args 필드는 pod 생성 후에 업데이트 할 수 없다. 

spec:
  containers:
   - commnad: ["/bin/command"]
     args: ["arg1", "arg2", "arg3"]

args value를 지정하여 스크립트에 인자값을 전달할 수 있다.

apiVersion: v1
kind: Pod
metadata:
  name: fortune5s
spec:
  containers:
  - image: luksa/fortune:args
    args: ["5"]
    name: html-generator
...

위의 yaml 파일에서 args로 5를 fortuneloop.sh 스크립트로 넘겼다. 따라서 해당 pod는 5초마다 새로운 운세 메시지를 반환하게 된다.

root@master001:~/Chapter07# curl http://172.30.65.180
The first thing we do, lets kill all the lawyers.
                -- Wm. Shakespeare, "Henry VI", Part IV
root@master001:~/Chapter07# curl http://172.30.65.180
The first thing we do, lets kill all the lawyers.
                -- Wm. Shakespeare, "Henry VI", Part IV
root@master001:~/Chapter07# curl http://172.30.65.180
FORTUNE PROVIDES QUESTIONS FOR THE GREAT ANSWERS: #19
A:      To be or not to be.
Q:      What is the square root of 4b^2?

 

7.3 컨테이너의 환경변수 설정

쿠버네티스는 pod의 각 컨테이너마다 개별적으로 환경 변수를 지정할 수 있다.

환경 변수 리스트(파일)로 각 컨테이너에 적용시키게 된다.

컨테이너별 환경변수 설정

이를 확인하기 위해 이번에는 환경 변수로 interval을 설정해 본다. 

환경변수로 값을 가져올 것이기 때문에 fortuneloop.sh 파일에서 기존에는 인자값으로 interval을 초기화하는 부분을 주석처리한다. 

#!/bin/bash
trap "exit" SIGINT
# INTERVAL=$1 : INTERVAL를 인자값으로 가져오도록 설정
echo Configured to generate new fortune every $INTERVAL seconds

mkdir -p /var/htdocs

while :
do
  echo $(date) Writing fortune to /var/htdocs/index.html
  /usr/games/fortune > /var/htdocs/index.html
  sleep $INTERVAL
done

7.3.1 컨테이너 정의에 환경변수 지정

새로운 fortuneloop.sh 파일을 포함한 이미지를 생성하여 docker 허브로 푸시한다. 

그리고 pod 생성하는 yaml 파일의 환경변수 목록에 단일 변수를 추가하여 생성한다.

운세가 1초에 한번씩 바뀌도록 INTERVAL 환경변수를 설정했다.

metadata:
  name: fortune-env
spec:
  containers:
  - image: luksa/fortune:env
    env:
    - name: INTERVAL
      value: "1"

1초마다 운세 메시지가 바뀌어서 출력된다.

root@master001:~/Chapter07# curl http://172.30.254.30
Bridge ahead.  Pay troll.
root@master001:~/Chapter07# curl http://172.30.254.30
Q:      What is the sound of one cat napping?
A:      Mu.
root@master001:~/Chapter07# curl http://172.30.254.30
You own a dog, but you can only feed a cat.
root@master001:~/Chapter07# curl http://172.30.254.30
You tread upon my patience.
                -- William Shakespeare, "Henry IV"

 

7.3.2 변수에서 다른 환경 변수 참조

yaml 파일 안에 $(VAR)을 사용해 이미 정의된 환경변수나 기타 기존 변수를 참조할 수 있다.

env:
- name: FIRST_VAR
  value: "Wongyeong"
- name: SECOND_VAR
  value: "$(FIRST_VAR)LEE"

 

7.3.3 하드코딩된 환경변수의 단점

pod의 yaml 파일에 환경변수를 하드코딩하는 것은 동일한 pod에도 같은 설정을 일일히 해야함을 의미한다.

따라서 여러 환경에서 동일한 정의를 재사용하기 위해 컨피그맵 리소스를 사용해 환경변수 내용을 pod 정의에서 분리한다.

 

 

7.4 ConfigMap으로 설정 분리

환경에 따라 다르거나 자주 변경되는 옵션은 어플리케이션 정의 소스와 분리하여 관리한다.

ConfigMap으로 이러한 설정값을 관리할 수 있다.

 

7.4.1 ConfigMap?

• ConfigMap은 설정값의 내용을 key-value 쌍으로 구성한 맵이다.
• ConfigMap의 내용은 컨테이너의 환경변수 또는 볼륨 파일로 전달된다. 
• Pod는 ConfigMap을 이름으로 참조한다.
  • 서로 다른 네임스페이스에 동일한 이름의 ConfigMap을 생성해도 각 컨피그맵은 개별적으로 관리된다.

7.4.2 ConfigMap 생성

kubectl create configmap

root@master001:~/Chapter07# kubectl create configmap fortune-config --from-literal=sleep-interval=10
configmap/fortune-config created

• from-literal : 문자열 항목을 추가 가능하며, 해당 옵션을 여러번 전달하여 여러 문자열 항목 추가 가능

위 명령어로 sleep-interval=20이라는 단일 항목을 가진 configmap이 생성된다.

해당 configmap에 설정된 항목과 map의 이름을 확인 가능하다.

root@master001:~/Chapter07# kubectl get configmap fortune-config -o yaml
apiVersion: v1
data:
  sleep-interval: "10"
kind: ConfigMap
metadata:
  creationTimestamp: "2021-05-08T10:48:10Z"
  managedFields:
  - apiVersion: v1
    fieldsType: FieldsV1
    fieldsV1:
      f:data:
        .: {}
        f:sleep-interval: {}
    manager: kubectl-create
    operation: Update
    time: "2021-05-08T10:48:10Z"
  name: fortune-config
  namespace: default
  resourceVersion: "15407755"
  uid: e19889c4-83bc-49ac-a01c-7b013074bec0

 

파일 내용으로 ConfigMap 생성

컨피그맵에 전체 설정 파일과 같은 데이터를 통으로 저장하는 것도 가능하다.

$ kubectl create configmap my-config --from-file=config-file.conf

# 수동으로 key 지정 가능: customkey로 지정하는 예
$ kubectl create configmap my-config --from-file=customkey=config-file.conf

 

디렉터리에 있는 파일로 생성

디렉터리 안의 모든 파일을 가져와서 생성한다.

각 파일을 개별 항목으로 저장하며, 이때 파일이름이 key로 사용하기에 유효한 파일만 추가한다.

$ kubectl create configmap my-config --from-file=/path/to/dir

 

다양한 옵션 결합

위의 방법들을 조합해서 사용할 수 있다.

$ kubectl create configmap my-config \
  --from-file=foo.json \         # 단일 파일
  --from-file=bar=foobar.conf \  # 사용자 정의 key 밑에 저장된 파일
  --from-file=config-opts/ \     # 디렉터리
  --from-literal=some=thing      # 문자열 값

 

7.4.3 ConfigMap 항목을 환경변수로 컨테이너에 전달

이제 ConfigMap을 Pod안의 컨테이너에 전달하는 방법을 살펴본다.

이에는 여러 옵션이 있다.

1. env.valueFrom
2. envFrom

valueFrom 을 사용하여 환경변수를 ConfigMap에서 가져오도록 선언할 수 있다.

apiVersion: v1
kind: Pod
metadata:
  name: fortune-env-from-configmap
  labels:
    app: kubia
spec:
  containers:
    - image: luksa/fortune:env
      name: html-generator
      env:
        - name: INTERVAL          
          valueFrom:
            configMapKeyRef: 
              name: fortune-config  # 이름을 통한 ConfigMap 참조 
              key: sleep-interval   # fortune-config 의 sleep-interval 키에 저장된 값으로 환경변수 설정
...

이 상황에서 만약 존재하지 않는 ConfigMap을 참조할 경우 해당 컨테이너는 시작되지 않는다.

그 후에 해당 ConfigMap이 생성되면 실패된 컨테이너도 자동으로 올라오게 된다.

( optional: true 를 설정하면 컨피그맵을 못찾아도 컨테이너를 시작시킨다)

 

7.4.4 ConfigMap의 모든 항목을 한 번에 환경 변수로 전달

envFrom 속성을 사용해 ConfigMap의 모든 항목을 환경변수로 노출할 수 있다.

spec:
  containers:
    - image: some-image
      envFrom:                    #  env대신 envFrom 
        - prefix: CONFIG_         #  모든 환경변수는 CONFIG_ 접두사를 가짐             
          configMapKeyRef:        #  my-config-map이란 이름의 컨피그맵 참조
            name: my-config-map

ConfigMap에 FOO, BAR 라는 키가 있다면, 컨테이너에는 CONFIG_FOO, CONFIG_BAR 라는 환경 변수가 적용된다.

FOO-BAR 같은 경우는 대시(-)를 포함하여 올바른 환경변수 이름이 될 수 없다.

 

7.4.5 ConfigMap 항목을 명령줄 인자로 전달

컨피그맵 항목을 컨테이너의 환경 변수로 초기화하여 사용

apiVersion: v1
kind: Pod
metadata:
  name: fortune2s-args-configmap
  labels:
    app: kubia
spec:
  containers: 
    - image: luksa/fortune:args  # 환경변수가 아닌 args 로 부터 INTERVAL 를 가져오는 이미지 사용
      name: html-generator
      env:
        - name: INTERVAL         # ConfigMap 사용하여 환경변수 INTERVAL 정의 
          valueFrom:
            configMapKeyRef:
              name: fortune-config
              key: sleep-interval
      args: ["$(INTERVAL)"]       # 환경변수 INTERVAL 로 지정한 값을 argument 로 사용

 

7.4.6 ConfigMap 볼륨을 사용한 전달

ConfigMap 볼륨을 사용해 파일로 컨피그랩의 각 항목을 노출시킬 수 있다.

이는 대부분 대형 설정 파일을 컨테이너에 전달하는 용도로 쓰인다.

 

ConfigMap 생성

Nginx 컨테이너의 환경변수를 설정 파일로 세팅.

Nginx 컨테이너는 클라이언트로 응답을 압축해서 보내는 역할을 한다.

$ vi configmap-files/my-nginx-config.conf
server {
  listen  80;
  server_name www.kubia-example.com;

  # 평문 및 xml 파일에 대해 gzip 압축 활성화
  gzip  on;
  gzip_types  text/plain application/xml;

  location / {
    root /usr/share/nginx/html;
    index index.html index.htm;
  }
}

configmap-files 디렉터리 하위에 있는 모든 파일을 사용한 컨피그맵을 생성한다.

root@master001:~/Chapter07# kubectl create configmap fortune-config --from-file=configmap-files
configmap/fortune-config created

해당 ConfigMap의 yaml 파일은 다음과 같다.

root@master001:~/Chapter07# kubectl get configmap fortune-config -o yaml
apiVersion: v1
data:
  my-nginx-config.conf: |
    server {
        listen              80;
        server_name         www.kubia-example.com;

        gzip on;
        gzip_types text/plain application/xml;

        location / {
            root   /usr/share/nginx/html;
            index  index.html index.htm;
        }

    }
  sleep-interval: |
    25
kind: ConfigMap
metadata:
  creationTimestamp: "2021-05-08T15:24:57Z"
  managedFields:
  - apiVersion: v1
    fieldsType: FieldsV1
    fieldsV1:
      f:data:
        .: {}
        f:my-nginx-config.conf: {}
        f:sleep-interval: {}
    manager: kubectl-create
    operation: Update
    time: "2021-05-08T15:24:57Z"
  name: fortune-config
  namespace: default
  resourceVersion: "15449748"
  uid: bd477478-5516-4758-b54f-72f9e3d0699c

data 하위로 my-nginx-config.conf와 sleep-interval 설정값을 확인할 수 있다.

이제 이 컨피그맵을 두 컨테이너에서 동시에 사용하도록 한다.

 

볼륨 안에 있는 ConfigMap 항목 사용

ConfigMap의 내용을 가진 볼륨을 생성한다.

ConfigMap 항목을 파일로 마운트한 pod는 다음과 같이 설정한다.

apiVersion: v1
kind: Pod
metadata:
  name: fortune-configmap-volume
spec:
  containers:
  - image: luksa/fortune:env
    env:
    - name: INTERVAL
      valueFrom:
        configMapKeyRef:
          name: fortune-config
          key: sleep-interval
    name: html-generator
    volumeMounts:
    - name: html
      mountPath: /var/htdocs
  - image: nginx:alpine
    name: web-server
    volumeMounts:
    - name: html
      mountPath: /usr/share/nginx/html
      readOnly: true
    - name: config
      mountPath: /etc/nginx/conf.d     # <- 컨피그맵 볼륨을 마운트하는 위치
      readOnly: true
    - name: config                     
      mountPath: /tmp/whole-fortune-config-volume
      readOnly: true
    ports:
      - containerPort: 80
        name: http
        protocol: TCP
  volumes:
  - name: html
    emptyDir: {}
  - name: config       # <- 해당 볼륨은 fortune-config 컨피그맵을 참조
    configMap:
      name: fortune-config

nginx는 /etc/nginx/nginx.conf 파일의 설정값을 읽는다.

nginx.conf 파일을 보면 다음과 같이 /etc/nginx/conf.d/ 디렉터리 안에 있는 모든 .conf 파일을 읽도록 되어있다.

  include /etc/nginx/conf.d/*.conf

따라서 위의 yaml파일에서 config 볼륨이 fortune-config 의 컨피그맵을 참조함에 따라 nginx 컨테이너는 fortune-config 를 환경변수로 전달받는다.

 

이는 다음과 같이 확인 가능하다.

<nginx의 ConfigMap 볼륨과 마운트된 디렉터리 확인>

root@master001:~/Chapter07# kubectl exec fortune-configmap-volume -c web-server -- ls /etc/nginx/conf.d
my-nginx-config.conf
sleep-interval

단, 이때 sleep-interval은 html-generator 컨테이너에서 쓰이는 것으로, web-server에는 노출될 필요가 없다.

따라서 불륨에 특정 ConfigMap 항목만 노출하는 법을 알아본다.

  volumes:
  - name: html
    emptyDir: {}
  - name: config
    configMap:
      name: fortune-config
      items:    # <- 볼륨에 포함할 항목을 조회하여 선택 
      - key: my-nginx-config.conf      # <- 해당 value를 개별적으로 선택
        path: gzip.conf                # <- gzip.conf 라는 이름의 파일로 /etc/nginx/conf.d에 생성

<nginx의 ConfigMap 볼륨과 마운트된 디렉터리 확인>

root@master001:~/Chapter07# kubectl exec fortune-configmap-volume-with-items -c web-server -- ls /etc/nginx/conf.d
gzip.conf

😨 (＃°Д°) mount를 하면 마운트한 파일 시스템에 있는 파일만 포함하고, 기존에 로컬(컨테이너)의 해당 경로에 있는 파일은 접근할 수 없다. 이를 보완하기 위해서는 개별 ConfigMap 항목을 파일로 마운트 하는 방법을 사용한다.

 

개별 ConfigMap 항목을 file로 마운트하기

전체 볼륨을 마운트 하는대신 volumeMount에 subPath 속성으로 파일이나 디렉터리 하나만을 볼륨에 마운트 할 수 있다.

spec:
  containers:
    - image: some/image
      volumeMounts:
        - name: myvolume
          mountPath: /etc/someconfig.conf   # 컨테이너의 디렉터리가 아닌 파일을 마운트
          subPath: myconfig.conf            # ConfigMap 볼륨의 myconfig.conf 항목만 마운트 

하지만 이 방법은 파일 업데이트에 결함을 가지고 있다.

 

ConfigMap 불륨 안에 있는 파일 권한 설정

기본적으로 ConfigMap 볼륨의 모든 파일 권한은 0644로 설정되며, 이는 defaultMode 속성으로 변경할 수 있다.

  volumes:
  - name: html
    emptyDir: {}
  - name: config
    configMap:
      name: fortune-config
      defaultMode: 0660

ConfigMap은 보안상 중요하지 않은 설정 데이터를 전달하는데 주로 사용하지만,

필요에 따라 파일의 권한을 지정할 수도 있다.

 

7.4.7 애플리케이션 재시작 없이 설정 업데이트

환경변수 또는 명령줄 인수를 설정 소스로 사용하는 것의 단점은 프로세스가 실행되는 동안 업데이트 할 수 없다는 것이다.

이는 ConfigMap을 볼륨으로 노출하면 애플리케이션의 재시작 없이 업데이트 할 수 있다.

ConfigMap을 업데이트하면, 이를 참조하는 모든 볼륨의 파일이 업데이트된다.

 

컨피그맵 편집

ConfigMap 편집 후 pod 안에서 실행 중인 프로세스가 ConfigMap 볼륨에 노출된 파일을 다시 로드하도록 한다.

1) ConfigMap 편집

gzip on -> gzip off로 수정

root@master001:~/Chapter07# vi fortune-pod-configmap-volume-defaultMode.yaml
configmap/fortune-config edited

vi 로 파일을 저장하고 나오는 순간 ConfigMap이 업데이트 되면서 볼륨의 실제 파일도 업데이트 된다.

root@master001:~/Chapter07# kubectl exec fortune-configmap-volume -c web-server cat /etc/nginx/conf.d/my-nginx-config.conf
kubectl exec [POD] [COMMAND] is DEPRECATED and will be removed in a future version. Use kubectl exec [POD] -- [COMMAND] instead.
server {
    listen              80;
    server_name         www.kubia-example.com;

    gzip off;
    gzip_types text/plain application/xml;

    location / {
        root   /usr/share/nginx/html;
        index  index.html index.htm;
    }

}

위와 같이 파일이 업데이트 된 것을 확인할 수 있다.

다만 nginx는 파일의 변경을 감시하지 않기 때문에 실질적으로 반영되지는 않았다.

따라서 Nginx에게 설정파일을 다시 로드하도록 한다.

root@master001:~/Chapter07# kubectl exec fortune-configmap-volume -c web-server -- nginx -s reload
2021/05/09 02:27:04 [notice] 34#34: signal process started

이는 심볼릭 링크를 사용하여 원본 파일을 참조하기 때문에 가능하다.

root@master001:~/Chapter07# kubectl exec -it fortune-configmap-volume -c web-server -- ls -lA /etc/nginx/conf.d
total 4
drwxr-xr-x    2 root     root          4096 May  9 02:23 ..2021_05_09_02_23_08.552611578
lrwxrwxrwx    1 root     root            31 May  9 02:23 ..data -> ..2021_05_09_02_23_08.552611578
lrwxrwxrwx    1 root     root            27 May  8 15:50 my-nginx-config.conf -> ..data/my-nginx-config.conf
lrwxrwxrwx    1 root     root            21 May  8 15:50 sleep-interval -> ..data/sleep-interval