ConfigMap 适合存非敏感配置如数据库地址、超时时间、日志级别;Secret 用于密码、token、私钥等需加密字段,但仅 base64 编码,真正安全需启用 etcd 加密或集成 Vault 等外部密钥服务。
ConfigMap 适合存数据库地址、超时时间、日志级别等非敏感配置;Secret 专用于密码、token、私钥等必须加密的字段——但注意:Secret 只是 base64 编码,不是加密,真正安全需配合 etcd 加密启用或 Vault 等外部密钥服务。
当你的服务数
400-7654-355 DB_HOST 或在 Deployment 中写死 value: "192.168.1.100" → 必须改镜像重部署,违反十二要素原则config.yaml 并提交到代码库 → 敏感信息泄露风险极高不是把 YAML 往 Git 里一扔就叫配置即代码。关键在结构化 + 自动化同步。推荐采用分层目录结构:
config-repo/ ├── base/ # 公共字段:service.name, logging.level ├── dev/ # 覆盖 base:database.url → "localhost:5432" ├── staging/ # 同名字段覆盖,加灰度开关:feature.flag.canary: true └── production/ # 加密字段留空,由 CI 注入 Secret 引用
这样做的好处是:同一份 base 被所有环境复用,避免重复定义;CI 流水线用 kustomize build staging 即可生成对应环境完整 manifest。
prod / staging)中维护独立 YAML —— 分支合并极易冲突,且无法保证字段一致性envFrom: configMapRef 一次性注入全部键值 —— 一旦 ConfigMap 多了个调试字段,可能意外覆盖应用内部默认值conftest test 或 datree 扫描合规性(比如检查是否漏了 resources.limits 或误写了明文 password)Kubernetes 的 ConfigMap 更新后,挂载的卷内容确实会变(Linux 下是 inotify 事件),但绝大多数语言运行时不会自动 reload。Java Spring Boot 默认不监听文件变化;Go 的 viper.WatchConfig() 需手动调用;Python 的 configparser 更是纯静态读取。
正确做法分两层:K8s 层用 subPath 挂载单个文件(避免整个目录 reload 触发重启),应用层主动监听或定期轮询。例如:
volumeMounts: - name: app-config mountPath: /etc/app/config.yaml subPath: config.yaml # 关键:只挂单个文件,不触发 Pod 重建
@RefreshScope 注解,并调用 /
actuator/refresh 端点
fsnotify 监听文件变更,再触发 viper.ReadInConfig()
chokidar + require.cache 清理后重载模块,但要注意全局状态污染Consul 适合已有 HashiCorp 技术栈、强依赖服务发现的场景,但原生不支持配置回滚和审计日志;Vault 是密钥管理王者,但做通用配置太重,学习成本高;Nacos 和 Apollo 更贴近国内落地需求:Nacos 支持 K8s 原生集成和 DNS 服务发现,Apollo 提供完善的 UI、灰度发布、配置对比和生效追踪。
真实踩坑点在于客户端耦合——别让业务代码直接调 apollo-client 的 getConfig(),应封装成统一配置门面(如 conf.Get("db.timeout")),内部按环境自动路由到 Consul 或 Apollo,未来切换成本才低。
nacos.client.config.auto-refresh 默认为 false,不打开就收不到推送application 是公共配置,自定义 namespace 如 redis-dev 需显式初始化 ConfigService.getConfig("redis-dev")
/data/apollo/cache),否则启动直接失败配置管理最难的从来不是工具选型,而是组织层面的规范落地:谁有权限改生产配置?配置变更是否强制关联工单?测试环境配置能否一键同步到预发?这些流程没对齐,再好的技术方案也会在上线前最后一刻崩掉。
