容器卷挂载的秘密

最新推荐文章于 2024-05-17 15:39:51 发布
最新推荐文章于 2024-05-17 15:39:51 发布
阅读量973 收藏
点赞数
分类专栏: kubernetes 文章标签: 运维 docker kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a1023934860/article/details/128039746
版权

什么是容器卷

数据卷 (Data Volumes )是一个可供容器使用的特殊目录,它将主机操作系统目录直接映射进容器,类似于 Linux 中的 mount 行为。

容器挂载原理


containerd创建的容器里的数据存储在下面的目录中

[root@master01 httpbin]#ls /run/containerd/io.containerd.runtime.v2.task/k8s.io/{podid}/rootfs/

所以我们可以这样思考一下

  1. docker挂载也使用了命名空间的机制,一个容器(也就是一个进程)单独记录一套挂载信息。
  2. 每个容器中的数据目录都存储在上面的目录中。我们进入容器ls 获取的信息就是上面的信息,只是在进入容器的时候使用了CLONE_NEWNS机制也就是chroot 功能。
  3. 所以容器挂载卷,使用了两个机制,第一 CLONE_NEWNS 命名空间机制,让你以为你是在一台新的系统上,其实是原始系统的一个目录中,第二使用挂载命名空间,这样可以使这个新的系统只能看到它自己的挂载信息。
  4. 这样来完成容器挂载的操作。
  5. 对于k8s来说,远程挂载也可以实现,所以可以使用类似于AWS等存储系统。

k8s中容器挂载的方式

让我们先重温一下,k8s如何将volumes挂载到容器内部,下面是一段nginx,静态文件挂载到node上的yaml配置。

spec: #期望Pod实现的功能(即在pod中部署)
  containers: #生成container,与docker中的container是同一种
  - name: ssx-nginx-c
    image: nginx:latest #使用镜像nginx: 创建container,该container默认80端口可访问
    ports:
    - containerPort: 80  # 开启本容器的80端口可访问
    volumeMounts:  #挂载持久存储卷
    - name: volume #挂载设备的名字,与volumes[*].name 需要对应 
    mountPath: /usr/share/nginx/html #挂载到容器的某个路径下  
  volumes:
  - name: volume #和上面保持一致 这是本地的文件路径,上面是容器内部的路径
    hostPath:
    path: /opt/web/dist #此路径需要实现创建
  • volumeMounts: 下可配置 指定挂载卷挂载到容器内部指定目录中。
  • volumes: 配置了当前挂载卷的类型,名称,以及挂载类型的一些属性等

对于存储来说,我们需要确定使用那些挂载类型可以满足当前容器的需求,所以我们需要对挂载类型进行一一列举分析。

挂载类型

下面只列举几个常用的类型,至于全部支持的类型请查看源码staging/src/k8s.io/api/core/v1/types.go:VolumeSource{}

hostPath

直接挂载到node节点上的目录中
容器删除时,挂载的内容不会消失

type HostPathVolumeSource struct {
    // node路径
    Path string `json:"path" protobuf:"bytes,1,opt,name=path"`
    // 挂载类型
    Type *HostPathType `json:"type,omitempty" protobuf:"bytes,2,opt,name=type"`
}
// +enum
type HostPathType string
const (
    //对于向后兼容,如果未设置,则将其留空
    HostPathUnset HostPathType=“”
    //如果给定路径上不存在任何内容,将在那里创建一个空目录
    //如文件模式0755所需,具有与Kubelet相同的组和所有权。
    HostPathDirectoryOrCreate HostPathType=“DirectoryOr创建”
    //给定路径上必须存在目录
    HostPathDirectory HostPathType=“Directory”
    //如果给定路径上不存在任何内容,将在那里创建一个空文件
    //如文件模式0644所需,具有与Kubelet相同的组和所有权。
    HostPathFileOrCreate HostPathType=“FileOrCreate”
    //文件必须存在于给定路径
    HostPathFile HostPathType=“File”
    //给定路径上必须存在UNIX套接字
    HostPathSocket HostPathType=“Socket”
    //给定路径上必须存在字符设备
    HostPathCharDev HostPathType=“CharDevice”
    //给定路径上必须存在块设备
    HostPathBlockDev HostPathType=“BlockDevice”
)

使用此类卷时要小心,因为:

  • HostPaths 可以公开特权系统凭据(例如 Kubelet)或特权 API(例如容器运行时套接字),可用于容器逃逸或攻击集群的其他部分。
  • 由于节点上的文件不同,具有相同配置(例如从 PodTemplate 创建)的 Pod 在不同节点上的行为可能不同
  • 在底层主机上创建的文件或目录只能由 root 写入。您要么需要在 特权容器中以 root 身份运行您的进程,要么修改主机上的文件权限以便能够写入hostPath卷

emptyDir

secret

spec:
  volumes:
  - name: secret-volume
    secret:
    secretName: test-db-secret
  containers:
  - name: db-client-container
    image: myClientImage
    volumeMounts:
    - name: secret-volume
      readOnly: true
      mountPath: "/etc/secret-volume"

secret是指定目录,而里面的key就是文件名,value是文件内容,configmap也一致。

configmap

spec:
  containers:
    - name: test
      image: busybox:1.28
      volumeMounts:
        - name: config-vol
          mountPath: /etc/config
  volumes:
    - name: config-vol
      configMap:
        name: log-config
        items:
          - key: log_level
            path: log_level

cephfs

apiVersion: v1
kind: Pod
metadata:
  name: cephfs
spec:
  containers:
  - name: cephfs-rw
    image: kubernetes/pause
    volumeMounts:
    - mountPath: "/mnt/cephfs"
      name: cephfs
  volumes:
  - name: cephfs
    cephfs:
      monitors:
      - 10.16.154.78:6789
      - 10.16.154.82:6789
      - 10.16.154.83:6789
      # by default the path is /, but you can override and mount a specific path of the filesystem by using the path attribute
      # path: /some/path/in/side/cephfs
      user: admin
      secretFile: "/etc/ceph/admin.secret"
      readOnly: true

nfs

apiVersion: v1
kind: Pod
metadata:
  name: test-pd
spec:
  containers:
  - image: registry.k8s.io/test-webserver
    name: test-container
    volumeMounts:
    - mountPath: /my-nfs-data
      name: test-volume
  volumes:
  - name: test-volume
    nfs:
      server: my-nfs-server.example.com
      path: /my-nfs-volume
      readOnly: true

PVC

apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
    - name: myfrontend
      image: nginx
      volumeMounts:
      - mountPath: "/var/www/html"
        name: mypd
  volumes:
    - name: mypd
      persistentVolumeClaim:
        claimName: myclaim
        readOnly: true

参考文献

https://kubernetes.io/docs/concepts/storage/volumes/ (讲解volumes每个类型的用途)
https://github.com/kubernetes/examples/blob/master/volumes/cephfs/cephfs.yaml (ceph例子)
https://blog.csdn.net/hwruirui/article/details/119566635(pid命名空间讲解)

迷茫路人
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
k8s1.24 FAQ
SharkVeryBusy的博客
05-17 1435
k8s部分问题处理方法
docker运行容器远程挂载的方法
09-30
本篇文章主要介绍了docker运行容器远程挂载的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
浅谈Docker 容器数据挂载小结
01-20
为了更直观了解数据挂载的操作,做个实验一一验证数据挂载的各种情况。 情况一、本地不存在文件挂载容器存在文件 首先是当本地不存在该文件,而容器内存在该文件的情况,尝试把不存在的文件挂载到存在该文件的容器中。以一个 Alpine 镜像为例,这里把一个修改后的 Alpine 镜像打了新标签,叫做 volume_test: # 本地目录不存在 test 文件。 $ docker run --name=test -v ~/test.txt:/etc/hosts -d volume_test 0cba2e50229df7508c616bd456c4ab131f2fe1a88385c34f8a58
Docker数据挂载相关
01-20
挂载的时候,类似于linux u盘插入的操作,宿主机目录会被复制进去。 命令启动挂载 挂载本地目录 必须写绝对路径 [root@warship ~]# docker run -itd -v ./nginx:/etc/nginx --name nginx4 nginx:latest docker: Error response from daemon: create ./nginx: ./nginx includes invalid characters for a local volume name, only [a-zA-Z0-9][a-zA-Z0-9_.-] are allow
docker 挂载学习与使用
Antg的博客
03-29 2026
docker 挂载学习与使用
docker挂载和数据
liulanba的博客
05-14 2659
我们还定义了两个 volumes,一个用于将本地的 /data/mysql 目录挂载到 MySQL 容器中的 /var/lib/mysql 目录上,另一个用于将当前目录(即 .)挂载到 Django 容器中的 /code 目录上。它们允许容器中的数据在容器停止和删除后仍然存在,并允许多个容器共享同一,使用数据可以使容器中的数据持久化,并且可以在多个容器之间共享相同的数据。MySQL 容器中的数据会被保存到本地的 /data/mysql 目录中,而 Django 容器中的代码会被保存到本地的当前目录中。
Docker基本操作五 (挂载数据
chengxuyuan316的博客
08-25 1206
Docker基本操作五 (挂载数据
Docker 文件挂载挂载(volume)
方亚军的博客
07-14 5999
存储在主机文件系统的一部分中,该文件系统由Docker管理(在Linux上是“/var/lib/docker/volumes/”)。Docker主机或Docker容器上的非Docker进程可以随时对其进行修改。-v不以斜杆(/)开头的路径Docker容器内部绝对路径叫绑定(docker会自动管理,docker不会把他当成目录,而把它当成)#docker将创建出名为nginx的,并保存容器/etc/nginx下面的内容。可以把数据挂载到内存中。......
docker容器 - (volume)- 挂载
lpfstudy的博客
06-14 4063
容器化应用程序开发和部署过程中,(Volume)是一个非常常见的概念,它可以将主机文件系统或其他容器的文件系统挂载容器内部的特定路径上,从而为容器提供额外的持久化存储。持久化存储:容器中的文件系统是短暂且易变的,当容器被删除后,容器内数据也会随之消失。而通过使用,可以将需要持久化的数据存储在中,从而保证数据的持久化。数据共享:容器化应用程序通常由多个容器组成,这些容器需要分享数据或配置信息。通过使用,不同的容器之间可以共享相同的,从而实现数据共享。数据备份。
centos7 container run报错Failed to create pod sandbox: rpc error: code = Unknown desc = failed to crea
ZGIT的博客
06-23 3123
open /run/containerd/io.containerd.runtime.v2.task/k8s.io/6d3eb5b522c3ac340207ccc30bd52faa536875b9af380f53a98abaa74857fb50/log.json: no such file or directory解决: 更新libseccomp版本
K8S基于Containerd安装
tianqiuhao的博客
03-28 960
K8S搭建,基于Containerd,1个master节点,3个node节点。
容器技术-容器文件挂载.pptx
11-24
容器技术与应用
Docker中的数据三种挂载方式
qq_44258779的博客
04-17 1062
指定路径挂载 -v /宿主机路径:容器路路径 docker run -it -v /myfiles:/home centos /bin/bash #测试 [root@3814a593f4f7 /]# cd /home [root@3814a593f4f7 home]# ls [root@3814a593f4f7 home]# touch test.txt [root@3814a593f4f7 home]# ls test.txt [root@3814a593f4f7 home]# [root@izbp1.
Docker | Docker 容器挂载
热门推荐
Willian的博客屋
10-19 1万+
Docker Volume Docker镜像是由多个文件系统(只读层)叠加而成。当我们启动一个容器的时候,Docker会加载只读镜像层并在其上(即镜像栈顶部)添加一个读写层。如果运行中的容器修改了现有的一个已经存在的文件,那该文件将会从读写层下面的只读层复制到读写层,该文件的只读版本仍然存在,只是已经被读写层中该文件的副本所隐藏。当删除Docker容器,并通过该镜像重新启动时,之前的更改将会丢失...
K8s将节点上的容器运行时从 Docker Engine 改为 containerd
qq_46141154的博客
11-21 113
搜索 plugins."io.containerd.grpc.v1.cri".registry.mirrors 添加后面两项 docker加速地址可以在自己的aliyun服务器。# 在master节点查看是否node节点 是否更换为containerd。# 设置必需的 sysctl 参数,这些参数在重新启动后仍然存在。# aliyun 容器镜像服务 -》 镜像工具 -》 镜像加速器。# yum 安装containerd。# 配置containerd镜像加速。# 取消node节点的不可调度。
K8s 的数据volume
IChen.的博客
07-05 1251
Volume 容器磁盘上的文件的生命周期是短暂的,这就使得在容器中运行重要应用时会出现一些问题。首先,当容器崩溃时,kubelet会重启它,但是容器中的文件将丢失——容器以干净点状态(镜像最初点状态)重新启动。其次,在pod中同时运行多个容器时,这些容器之间通常需要共享文件。Kubernetes中的volume就能很好的解决了这些问题。 背景 Docker中也有一个volume的概念,尽管它稍微宽松一些,管理也很少。在Docker中,就像是磁盘或是另一个容器中的一个目录。它的生命周期不受管理,直到最
docker 数据挂载(详细案例)
qq_44767162的博客
04-15 1万+
什么是数据: 当我们把应用和环境 打包成一个镜像。 并且以这个镜像 运行产生一个容器时,当这个容器被删除,容器中的数据也随之被删除。 于是便产生了需求:容器中的数据持久化。 容器之间 有一个数据共享技术,将docker 中产生的 数据 同步到本地。 这就是 技术,将容器的内目录挂载到 本地,也就是Linux 服务器上。 容器的持久化操作和同步操作,容器之间可以数据共享。 如何使用数据: 1:使用命令直接挂载 docker run -it -v 主机目录:容器目录内 可以 使用 docker in
docker 数据挂载的三种方式
xiuqingzhouyang的博客
03-11 5314
Volumes由Docker管理,存储在宿主机的某个地方(在linux上是/var/lib/docker/volumes/)。警告:使用Bind mounts的一个副作用是,容器中运行的程序可以修改宿主机的文件系统,包括创建,修改,删除重要的系统文件或目录。tmpfs 不在磁盘上持久存储,也不在 Docker 容器里面存储,他存储在 localhost 的内存中,它可以在容器的整个生命周期内被容器所使用。Docker提供的DNS解决方案就是如此,将宿主机的/etc/resolv.conf挂载到每个容器中。
Docker:基础概念、常用命令
最新发布
想听风雨的博客
05-17 497
Docker:基础概念、常用命令
docker查看容器挂载
05-10
要查看Docker容器中的挂载,可以使用以下命令: ``` docker inspect [容器名称或ID] ``` 这将返回Docker容器的详细信息,包括挂载的路径和配置。在输出中,找到“Mounts”部分,它将列出所有挂载的路径和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值