将资源对象映射为存储卷

最新推荐文章于 2024-05-06 20:02:12 发布
最新推荐文章于 2024-05-06 20:02:12 发布
阅读量883 收藏
点赞数 1
分类专栏: Kubernetes 文章标签: kubernetes docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GaoChuang_/article/details/121445591
版权

在Kubernetes中有一些资源对象可以以存储卷的形式挂载为容器内的目录或者文件,目前包括ConfigMap、Secret、DownwardAPI、ServiceAccountToken、Project Volume

一、ConfigMap

ConfigMap主要保存应用程序所需要的配置文件,并且通过Volume形式挂载到容器内的文件系统中,供容器内的应用程序读取。

例如,一个包含两个配置文件的ConfigMap资源如下:

apiVersion: v1
kind: ConfigMap
metadata:
  name: cm-appconfigfiles
data:
  key-serverxml: |
    <?xml version='1.0' encoding='utf-8'?>
    ......
  key-loggingproperties: "handlers
    ......
    = 4host-manager.org.apache.juli.FileHandler\r\n\r\n"

    在Pod的YAML配置中,可以将ConfigMap设置为一个Volume,然后在容器中通过VolumeMounts将ConfigMap类型的Volume挂载到/config目录下:

apiVersion: v1
kind: Pod
metadata:
  name: cm-test-app
spec:
  containers:
  - name: cm-test-app
    image: kubeguide/tomcat-app:v1
    ports:
    - containerPort: 8080
    volumeMounts:
    - name: serverxml
      mountPath: /configfiles
  volumes:
  - name: serverxml
    configMap:
      name: cm-appconfigfiles
      items:
      - key: key-serverxml
        path: server.xml
      - key: key-loggingproperties
        path: logging.properties

    在Pod成功创建之后,进入容器内部查看在/config目录下有两个文件

 

 ConfigMap中的配置内容如果是UTF-8编码的字符,则将被系统认为是文本文件,如果是其它字符,则系统将以二进制数据格式进行保存(设置binaryData字段)

二、Secret

apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque #
data:
  password: dmFsdWUtMg0K #base64编码
  username: dmFsdWUtMg0K #base64编码
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: mycontainer
    image: redis
    volumeMounts:
    - name: foo
      mountPath: "/etc/foo"
  volumes:
  - name: foo
    secret:
      secretName: mysecret

 

三、Downward API

 通过Downward API可以将Pod或Container的某些元数据信息(例如Pod名称、Pod IP、Node IP、Label、 Annotation、容器资源限制等)以文件形式挂载到容器内,供容器内部使用。下面是将Pod的标签通过DownWard API挂载为容器内文件:

apiVersion: v1
kind: Pod
metadata:
  name: downward-api-test
  labels:
    zone: us-est-coast
    cluster: test-cluster
    rack: rack-001
  annotations:
    build: two
    builder: chugao
spec:
  containers:
  - name: client-container
    image: busybox
    command: ["sh", "-c"]
    args:
    - while true; do
      if [[ -e /etc/podinfo/labels ]]; then
        echo -en '\n\n'; cat /etc/podinfo/labels; fi;
      if [[ -e /etc/podinfo/annotations ]]; then
        echo -en '\n\n'; cat /etc/podinfo/annotations; fi;
        sleep 5;
      done;
    volumeMounts:
      - name: podinfo
        mountPath: /etc/podinfo
  volumes:
    - name: podinfo
      downwardAPI:
        items:
        - path: "labels"
          fieldRef:
            fieldPath: metadata.labels
        - path: "annotations"
          fieldRef:
            fieldPath: metadata.annotations

 

 

 

四、Projected Volume和Service Account Token

     Projected Volume是一种特殊的卷类类型,用于将(ConfigMap、Secret、Downward API)一个或多个资源一次性挂载到容器内的同一个目录下。

     如果Pod希望同时挂载ConfigMap、Secret、Downward API,则需要设置不同类型的Volume都挂载为容器内的目录或文件。如果应用程序希望将配置文件和秘钥文件放在容器内的同一个目录下,则通过多个Volume就无法实现。为了支持这种需求,Kubernetes引入了一种新的Projected Volume存储卷类型,用于将多种配置类型数据通过单个Volume挂载到容器内的单个目录下:

   Projected Volume的一些常见的应用场景:

  1. 通过Pod的标签生成的不同的配置文件,需要使用配置文件,以及用户名和密码,这时需要使用3种资源:ConfigMap、Secret、Downward API
  2. 在自动化运维应用中使用配置文件和账号信息时,需要使用ConfigMap、Secret
  3. 在配置文件内使用Pod名称(metadata.name)记录日志时,需要使用ConfigMap、Downward API
  4. 如果某个Secret对Pod所在命名空间(metadata.namespace)进行加密时,需要使用Secret、Downward API

Projected Volume在Pod的Volume定义中类型projected,通过srouces字段设置一个或多个ConfigMap、Sectet、Downward API、ServiceAccountToken资源。各种类型的资源配置内容与单独设置Volume时基本一样,但有两点不同:

  • 对于Secret类型从Volume字段为"secretName"在projected.source.secret中被改为”name"
  • Volume的挂载模式为“defaultMode”仅可以设置在projected级别,对于各子项,仍然可以设置各自的挂载模式,使用字段名为“mode” 
    #
#使用Projected Volume挂载COnfigMap、Sectet、Downward API 三种资源
#
apiVersion: v1
kind: Pod
metadata:
  name: volume-test
spec:
  containers:
  - name: container-test
    image: busybox
    volumeMounts:
    - name: all-in-one
      mountPath: "/projected-volume"
      readOnly: true
  volumes:
  - name: all-in-one
    projected:
      sources:
      - secret:
          name: mysecret
          items:
            - key: username
              path: my-group/my-username
      - downwardAPI:
          items:
            - path: "labels"
              fieldRef:
                fieldPath: metadata.labels
            - path: "cpu_limit"
              resourceFieldRef:
                containerName: container-test
                resource: limits.cpu  
      - configMap:
          name: muconfigmap
          items:
            - key: config
              path: my-group/my-configmap

  使用projected Volume挂载两个Secret资源,其中一个设置为非默认挂载

#
#使用Projected Volume挂载ServiceAccountToken
#
apiVersion: v1
kind: Pod
metadate:
  name: sa-token-test
spec:
  containers:
  - name: container-test
    image: busybox
    volumemounts:
    - name: token-vol
      mountPath: "/service-account"
      readOnly: true
  volumes:
  - name: token-val
    projected:
      sources:
      - serviceAccountToken:
        audience: api
        expirationsSeconds: 3600
        path: token

 

#
#使用projected挂载两个secret并同一个设置挂载模式
#
apiVersion: v1
kind: Pod
metadata:
  name: test-pod
spec:
  containers:
  - name: container-test
    image: busybox
    volumeMounts:
    - name: all-in-one
      mountPath: "/projected-volume"
      readOnly: true
  volumes:
  - name: all-in-one
    projected:
      sources:
      - secret:
          name: mysecret
          items:
            - key: username
              path: my-group/my-username
      - secret:
          name: mysecret2
          items:
            - key: passwoed
              path: my-group/my-password
              mode: 0511                       #设置非默认挂载

对于ServiceAccountToken类型为Volume,可以设置Token的audience、expirationsSeconds、path等属性信息

  • audience: 预期受众的名称。Token的接收者必须使用其中的audience标识符来标识自己,否则应该拒绝该Token。该字段是可选的,默认为API Server的标识符“api”
  • expirationsSeconds: Service Account Token的过期时间,默认为1h至少为10min。管理员可以通过kube-apiver的启动参数--service-account-max-token-expiration限制token的最长生效
  • path:挂载目录下的相对路径
GaoChuang_
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Kubernetes之Secrets
山不转的博客
07-24 2631
Secrets是Kubernetes中一种对象类型,用来保存密码、私钥、口令等敏感信息。与直接将敏感信息嵌入image、pod相比,Secrets更安全、更灵活,用户对敏感信息的控制力更强。同Docker对敏感信息的管理类似,首先用户创建Secrets将敏感信息加密后保存在集群中,创建pod时通过volume、环境变量引用Secrets。 创建Secrets 假设pod需要访问数据库。首先将用...
对象映射到关系数据库
10-27
### 将对象映射到关系数据库 #### 对象与关系映射(O/R Mapping)详解 在现代商业应用开发中,面向对象技术与关系型数据库的结合已成为标准实践。这一组合通常涉及使用Java或C#等面向对象语言构建应用程序,并利用...
kubernetes之configmap,深度解析mountPath,subPath,key,path的关系和作用
monkey的专栏
03-02 5403
kubernetes之configmap,深度解析mountPath,subPath,key,path的关系和作用 参考:https://www.cnblogs.com/breezey/p/6582082.html 我们知道,在几乎所有的应用开发中,都会涉及到配置文件的变更,比如说在web的程序中,需要连接数据库,缓存甚至是队列等等。而我们的一个应用程序从写第一行代码开始,要经历开发环境...
configmap挂载文件权限修改
web13618542420的博客
08-31 1509
k8s中configmap挂载文件的权限默认是420。这是十进制表示,转换成八进制就是644,如果容器中使用非root用户,此时文件没有可执行权限,需要修改文件权限。如上所示,将名为test的configmap的权限设置成493,转换成八进制就是755。在volumes字段中修改defaultMode参数的值。修改权限的时候切记yaml中是十进制。...
【云原生 Kubernetes 系列】K8s 实战 如何给应用注入数据 II 将pod数据传递给容器_pod容器传参
最新发布
2401_84182685的博客
05-06 559
【代码】【云原生 Kubernetes 系列】K8s 实战 如何给应用注入数据 II 将pod数据传递给容器_pod容器传参。
硬核!Kubernetes 工作负载的高级设置,你会吗?
weixin_51954021的博客
12-13 1675
OpenKube 为我司研发的一个容器云产品 ----------- The article was written by:GoodGoodStudy(linyuan@deepexi.com) 我们再深入浅出的了解一下 Pod,Pod 只是一个逻辑概念,Kubernetes 真正处理的,还是宿主机操作系统上 Linux 容器的 NameSpace 和 Cgroups,而并不存在一个所谓的 Pod 的边界或者隔离环境。Pod 是一组共享了某些资源的容器,Pod 里的所有容器共享的是一个 Network .
kubernetes实践之六十二:Secret 使用
clmaykr95629的博客
06-21 457
一: 简介 Secret 可以作为数据被挂载,或作为环境变量暴露出来以供 pod 中的容器使用。它们也可以被系统的其他部分使用,而不直接暴露在 pod 内。例如,它们可以保存凭据,系统的其他部分应该用它来代表您与外部系统进行...
visual c++ vc列出所有的磁盘映射.显示磁盘映射
04-04
在Windows操作系统中,磁盘映射是指将物理磁盘或者网络共享资源映射为一个或多个逻辑驱动器字母,使得用户可以通过这些驱动器字母来访问这些存储设备或网络位置。磁盘标则是用于标识磁盘的一个唯一的名称,通常...
数据模型资源手册 1
12-23
《数据模型资源手册 1》是一本专为IT专业人士准备的重要参考资料,它深入探讨了数据建模领域的核心概念和实践技巧。数据模型是信息化建设中的基石,它为数据库设计提供了蓝图,帮助我们理解、组织和管理数据。本书...
内存映射存储文件详细算法
12-06
在文件处理函数`FileReverse`中,首先读取文件大小,然后创建文件映射,接着将文件映射到内存,对文件内容进行反转,最后释放资源并更新文件内容。这个例子展示了内存映射文件的一个常见应用——高效地修改大文件...
sfs:PitchPoint解决方案使用的分布式对象存储服务器以最少的资源安全地存储数十亿个大小文件。 对象数据存储在实现为Facebooks Haystack Object Store的复制中。 本质上将对象名称映射到体积位置的对象元数据存储在elasticsearch索引中
05-05
对象进行版本控制,可以为每个容器配置存储的修订版本数。 这意味着您绝不会通过覆盖或删除对象来使对象变松(除非您强制删除)。 每个对象上都可以设置TTL,因此不需要手动清除 对象数据存储在数据文件中,这些...
KubernetesServiceAccount+Secret(超详细汇总)
热门推荐
BigData_Mining的博客
03-13 1万+
第一章、前言 每一个用户对API资源进行操作都需要通经过以下三个步骤: 第一步:对客户端访问进行认证操作,确认是否具有访问k8s权限 token(共享秘钥) SSL(双向SSL认证) ....通过任何一个认证即表示认证通过,进入下一步 第二步:授权检查,确认是否对资源具有相关的权限 ABAC(基于属性的访问控制) RBAC(基于角色的访问控制) NODE(基...
ali CNCF ServiceAccount 学习笔记
weixin_40455124的博客
03-30 1540
ServiceAccount 挂载及使用 挂载目录:/run/secrets/kubernetes.io/serviceaccount 如果Pod没有指定ImagePullSecrets,则把service account的ImagePullSecrets加到Pod中 token 用于访问apiserver 默认认证信息 1 Group:system:servviceaccounts:[names...
kubernetesService Account和secret关系
码农崛起
04-16 2304
https://blog.csdn.net/ccy19910925/article/details/80610336 Service Account Service Account概念的引入是基于这样的使用场景:运行在pod里的进程需要调用Kubernetes API以及非Kubernetes API的其它服务。Service Account它并不是给kubernetes集群的用户使用的,而是...
kubernetes实践之七:安全机制API Server认证之Service Account Token
clmaykr95629的博客
03-21 861
一:前言 Kubernetes有User AccountService Account两套独立的账号系统。 1.User Account是给人用的,Service Account 是给Pod 里的进程使用的,面向的对象不同...
Kubernetes Service Account如何生成Token
weixin_30399797的博客
04-10 1184
Service Account是运行pods用到的帐号,默认是default。如果apiserver启动配置--admission-control=ServiceAccountService Account就要生成Token才能启动pods或者连接apiserver进行操作。下面讲讲如何把默认Service Account(default)生成Token。 1,生成serviceaccount...
k8s使用ServiceAccount Token的方式访问apiserver
weixin_33754065的博客
11-22 2702
首先,如果是普通版kubernetes集群,可以登陆到master集群,可以使用私钥证书的方式访问。证书路径:master的/etc/kubernetes/pki 下面。 使用命令: curl --cacert ca.crt --cert apiserver.crt --key apiserver.key https...
Kubernetes中的Volume介绍
dianfu2892的博客
09-24 2868
Kubernetes中支持的所有磁盘挂载简介发表于 2018年1月26日 Weihai Feb 10,2016 7400 字 | 阅读需要 15 分钟 容器磁盘上的文件的生命周期是短暂的,这就使得在容器中运行重要应用时会出现一些问题。首先,当容器崩溃时,kubelet 会重启它,但是容器中的文件将丢失——容器以干净的状态(镜像...
iBatis简易教程:从数据库操作到对象映射
iBatis是一个流行的Java持久层框架,它允许开发者将Java对象(POJOs)映射到SQL语句上,以实现对象关系映射(ORM)。与重型框架如Hibernate和EJB不同,iBatis更加灵活,支持使用存储过程和现有SQL,因此更适合那些...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值