Golang配置管理与K8s ConfigMap集成

Viper不自动更新ConfigMap配置，需手动实现watch+reload逻辑：用client-go Watch监听，加锁后调ReadConfig重载，注意类型设置和并发安全；RBAC权限需显式配置ServiceAccount对configmaps的读取权限。

ConfigMap变动后Viper不自动更新配置

Viper默认是静态加载配置的，哪怕底层ConfigMap变了，Viper.Get() 返回的还是旧值。这不是bug，是设计使然——它压根没监听机制。

真正要同步，得自己搭一层 watch + reload 逻辑。K8s client-go 提供了 Watch() 接口，但注意：不能直接调 viper.ReadInConfig()，它不支持热重载，会 panic 或静默失败。

• 必须用 viper.SetConfigType("yaml") 显式指定类型，再用 viper.ReadConfig(bytes.NewReader(data)) 替换内容
• watch 到变更后，先锁住 viper 实例（比如用 sync.RWMutex），再读新内容、再 unlock，否则并发读写会 panic
• 别在 watch 回调里直接改全局变量，Viper 的 Set() 不会触发已注册的 unmarshal 结构体更新

从K8s API读ConfigMap时权限被拒绝（403）

Pod 启动后拿不到 ConfigMap，日志里出现 Forbidden: User "system:serviceaccount:default:my-app" cannot get resource "configmaps"，说明 ServiceAccount 权限不够。

K8s RBAC 默认极简，连 default namespace 的 ConfigMap 都不许读。别指望 ClusterRoleBinding 自动生效，得手动配。

• 确保 Pod 使用的 ServiceAccount 在 spec.serviceAccountName 中明确指定，而不是依赖 default
• Role 必须在 ConfigMap 所在 namespace 定义（跨 ns 需 ClusterRole + ClusterRoleBinding）
• Rule 的 resources 字段必须写成 ["configmaps"]，不是 ["configmap"] 或 ["*"]（后者不匹配）
• 用 kubectl auth can-i get configmaps --namespace=myns --as=system:serviceaccount:myns:mysa 快速验证权限

Viper从ConfigMap读取嵌套结构时字段为空

ConfigMap 的 data 是 string map，比如 {"app.yaml": "server:\n port: 8080"}，但 Viper 默认只认顶层 key（"app.yaml"），不会自动解析 YAML 内容。所以 viper.GetInt("server.port") 返回 0。

关键在两步：先按 key 取出字符串，再喂给 Viper 解析。不能跳过中间环节。

• 用 configMap.Data["app.yaml"] 拿到原始 YAML 字符串，别试图用 viper.Set("app.yaml", ...)
• 调 viper.ReadConfig(bytes.NewReader([]byte(yamlStr)))，且必须在 viper.SetConfigType("yaml") 之后
• 如果 ConfigMap 里存的是 JSON，就设 "json"；类型错会导致 ReadConfig 静默失败，无报错也无日志
• 多个 ConfigMap 合并时，后加载的会覆盖前一个同名 key，顺序很重要

本地开发时Viper无法连接K8s API（no route to host）

本地跑程序连不上集群，报错 dial tcp 10.96.0.1:443: connect: no route to host，这是因为在非 Pod 环境下，rest.InClusterConfig() 会硬编码用 ClusterIP（如 https://10.96.0.1），而本地根本访问不到。

得切回 kubeconfig 模式，但别手动生成 clientset —— Viper 不管这个，是你初始化 K8s client 的事。

• 检测运行环境：os.Getenv("KUBERNETES_SERVICE_HOST") == "" 就走 clientcmd.BuildConfigFromFlags("", kubeconfigPath)
• kubeconfig 路径优先用 --kubeconfig 参数，其次 $KUBECONFIG，最后 ~/.kube/config
• 别在 init() 里初始化 client，Viper 加载配置阶段还没读到 --kubeconfig 参数，容易 panic
• 本地调试时，ConfigMap 内容可 mock 成 map[string]string，绕过 K8s API，加快迭代

最麻烦的不是代码怎么写，而是配置变更时的竞态：ConfigMap 更新、client watch 收到事件、Viper reload、业务代码刚好在读 —— 这四者之间没天然事务保证。锁粒度、reload 原子性、读操作是否加 RLock，每个点都得实测。