Docker Compose 文件详解:服务、网络与卷
2026/5/29 0:23:50
从基础用法到真实踩坑,再到 GitOps 与安全加固的完整实践
一、为什么需要 ConfigMap 与 Secret?
1.1 传统配置管理的三大痛点(真实生产视角)
在容器化之前,配置通常以以下方式存在:
- 配置硬编码在代码或镜像中
- 多环境靠手工改配置文件
- 密码、Token 明文出现在 Git 仓库或 CI 日志
# 典型反例 ENV=prod DB_PASSWORD=123456 REDIS_HOST=10.0.0.12生产风险:
- 改配置 = 重新构建镜像 → 发布成本极高
- 人肉改配置 → 环境漂移
- 一次 Git 泄露 = 全网裸奔
1.2 Kubernetes 的标准解法
Kubernetes 用 ConfigMap + Secret 从架构层面解决问题:
- 配置与镜像解耦
- 多环境同镜像,不同配置
- 配置可独立变更
- 敏感信息隔离管理
一句话总结: 镜像不可变,配置可演进
二、ConfigMap:非敏感配置的标准容器化方案
2.1 ConfigMap 的本质
- K8s 原生对象
- 存储非敏感配置<