将资源对象映射为存储卷

最新推荐文章于 2023-05-26 11:01:04 发布
最新推荐文章于 2023-05-26 11:01:04 发布
阅读量870 收藏
点赞数 1
分类专栏: Kubernetes 文章标签: kubernetes docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gaochuang_/article/details/121445591
版权

在Kubernetes中有一些资源对象可以以存储卷的形式挂载为容器内的目录或者文件,目前包括ConfigMap、Secret、DownwardAPI、ServiceAccountToken、Project Volume

一、ConfigMap

ConfigMap主要保存应用程序所需要的配置文件,并且通过Volume形式挂载到容器内的文件系统中,供容器内的应用程序读取。

例如,一个包含两个配置文件的ConfigMap资源如下:

apiVersion: v1
kind: ConfigMap
metadata:
  name: cm-appconfigfiles
data:
  key-serverxml: |
    <?xml version='1.0' encoding='utf-8'?>
    ......
  key-loggingproperties: "handlers
    ......
    = 4host-manager.org.apache.juli.FileHandler\r\n\r\n"

    在Pod的YAML配置中,可以将ConfigMap设置为一个Volume,然后在容器中通过VolumeMounts将ConfigMap类型的Volume挂载到/config目录下:

apiVersion: v1
kind: Pod
metadata:
  name: cm-test-app
spec:
  containers:
  - name: cm-test-app
    image: kubeguide/tomcat-app:v1
    ports:
    - containerPort: 8080
    volumeMounts:
    - name: serverxml
      mountPath: /configfiles
  volumes:
  - name: serverxml
    configMap:
      name: cm-appconfigfiles
      items:
      - key: key-serverxml
        path: server.xml
      - key: key-loggingproperties
        path: logging.properties

    在Pod成功创建之后,进入容器内部查看在/config目录下有两个文件

 

 ConfigMap中的配置内容如果是UTF-8编码的字符,则将被系统认为是文本文件,如果是其它字符,则系统将以二进制数据格式进行保存(设置binaryData字段)

二、Secret

apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque #
data:
  password: dmFsdWUtMg0K #base64编码
  username: dmFsdWUtMg0K #base64编码
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: mycontainer
    image: redis
    volumeMounts:
    - name: foo
      mountPath: "/etc/foo"
  volumes:
  - name: foo
    secret:
      secretName: mysecret

 

三、Downward API

 通过Downward API可以将Pod或Container的某些元数据信息(例如Pod名称、Pod IP、Node IP、Label、 Annotation、容器资源限制等)以文件形式挂载到容器内,供容器内部使用。下面是将Pod的标签通过DownWard API挂载为容器内文件:

apiVersion: v1
kind: Pod
metadata:
  name: downward-api-test
  labels:
    zone: us-est-coast
    cluster: test-cluster
    rack: rack-001
  annotations:
    build: two
    builder: chugao
spec:
  containers:
  - name: client-container
    image: busybox
    command: ["sh", "-c"]
    args:
    - while true; do
      if [[ -e /etc/podinfo/labels ]]; then
        echo -en '\n\n'; cat /etc/podinfo/labels; fi;
      if [[ -e /etc/podinfo/annotations ]]; then
        echo -en '\n\n'; cat /etc/podinfo/annotations; fi;
        sleep 5;
      done;
    volumeMounts:
      - name: podinfo
        mountPath: /etc/podinfo
  volumes:
    - name: podinfo
      downwardAPI:
        items:
        - path: "labels"
          fieldRef:
            fieldPath: metadata.labels
        - path: "annotations"
          fieldRef:
            fieldPath: metadata.annotations

 

 

 

四、Projected Volume和Service Account Token

     Projected Volume是一种特殊的卷类类型,用于将(ConfigMap、Secret、Downward API)一个或多个资源一次性挂载到容器内的同一个目录下。

     如果Pod希望同时挂载ConfigMap、Secret、Downward API,则需要设置不同类型的Volume都挂载为容器内的目录或文件。如果应用程序希望将配置文件和秘钥文件放在容器内的同一个目录下,则通过多个Volume就无法实现。为了支持这种需求,Kubernetes引入了一种新的Projected Volume存储卷类型,用于将多种配置类型数据通过单个Volume挂载到容器内的单个目录下:

   Projected Volume的一些常见的应用场景:

  1. 通过Pod的标签生成的不同的配置文件,需要使用配置文件,以及用户名和密码,这时需要使用3种资源:ConfigMap、Secret、Downward API
  2. 在自动化运维应用中使用配置文件和账号信息时,需要使用ConfigMap、Secret
  3. 在配置文件内使用Pod名称(metadata.name)记录日志时,需要使用ConfigMap、Downward API
  4. 如果某个Secret对Pod所在命名空间(metadata.namespace)进行加密时,需要使用Secret、Downward API

Projected Volume在Pod的Volume定义中类型projected,通过srouces字段设置一个或多个ConfigMap、Sectet、Downward API、ServiceAccountToken资源。各种类型的资源配置内容与单独设置Volume时基本一样,但有两点不同:

  • 对于Secret类型从Volume字段为"secretName"在projected.source.secret中被改为”name"
  • Volume的挂载模式为“defaultMode”仅可以设置在projected级别,对于各子项,仍然可以设置各自的挂载模式,使用字段名为“mode” 
    #
#使用Projected Volume挂载COnfigMap、Sectet、Downward API 三种资源
#
apiVersion: v1
kind: Pod
metadata:
  name: volume-test
spec:
  containers:
  - name: container-test
    image: busybox
    volumeMounts:
    - name: all-in-one
      mountPath: "/projected-volume"
      readOnly: true
  volumes:
  - name: all-in-one
    projected:
      sources:
      - secret:
          name: mysecret
          items:
            - key: username
              path: my-group/my-username
      - downwardAPI:
          items:
            - path: "labels"
              fieldRef:
                fieldPath: metadata.labels
            - path: "cpu_limit"
              resourceFieldRef:
                containerName: container-test
                resource: limits.cpu  
      - configMap:
          name: muconfigmap
          items:
            - key: config
              path: my-group/my-configmap

  使用projected Volume挂载两个Secret资源,其中一个设置为非默认挂载

#
#使用Projected Volume挂载ServiceAccountToken
#
apiVersion: v1
kind: Pod
metadate:
  name: sa-token-test
spec:
  containers:
  - name: container-test
    image: busybox
    volumemounts:
    - name: token-vol
      mountPath: "/service-account"
      readOnly: true
  volumes:
  - name: token-val
    projected:
      sources:
      - serviceAccountToken:
        audience: api
        expirationsSeconds: 3600
        path: token

 

#
#使用projected挂载两个secret并同一个设置挂载模式
#
apiVersion: v1
kind: Pod
metadata:
  name: test-pod
spec:
  containers:
  - name: container-test
    image: busybox
    volumeMounts:
    - name: all-in-one
      mountPath: "/projected-volume"
      readOnly: true
  volumes:
  - name: all-in-one
    projected:
      sources:
      - secret:
          name: mysecret
          items:
            - key: username
              path: my-group/my-username
      - secret:
          name: mysecret2
          items:
            - key: passwoed
              path: my-group/my-password
              mode: 0511                       #设置非默认挂载

对于ServiceAccountToken类型为Volume,可以设置Token的audience、expirationsSeconds、path等属性信息

  • audience: 预期受众的名称。Token的接收者必须使用其中的audience标识符来标识自己,否则应该拒绝该Token。该字段是可选的,默认为API Server的标识符“api”
  • expirationsSeconds: Service Account Token的过期时间,默认为1h至少为10min。管理员可以通过kube-apiver的启动参数--service-account-max-token-expiration限制token的最长生效
  • path:挂载目录下的相对路径
GaoChuang_
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Kubernetes之Secrets
山不转的博客
07-24 2622
Secrets是Kubernetes中一种对象类型,用来保存密码、私钥、口令等敏感信息。与直接将敏感信息嵌入image、pod相比,Secrets更安全、更灵活,用户对敏感信息的控制力更强。同Docker对敏感信息的管理类似,首先用户创建Secrets将敏感信息加密后保存在集群中,创建pod时通过volume、环境变量引用Secrets。 创建Secrets 假设pod需要访问数据库。首先将用...
sfs:PitchPoint解决方案使用的分布式对象存储服务器以最少的资源安全地存储数十亿个大小文件。 对象数据存储在实现为Facebooks Haystack Object Store的复制卷中。 本质上将对象名称映射到体积位置的对象元数据存储在elasticsearch索引中
05-05
对象进行版本控制,可以为每个容器配置存储的修订版本数。 这意味着您绝不会通过覆盖或删除对象来使对象变松(除非您强制删除)。 每个对象上都可以设置TTL,因此不需要手动清除 对象数据存储在数据文件中,这些...
Kubernetes将资源对象映射存储
zyy247796143的博客
07-08 568
ConfigMap主要保存应用程序所需的配置文件,并且通过Volume形式挂载到容器内的文件系统中,供容器内的应用程序读取。 在Pod的YAML配置中,将ConfigMap设置为一个Volume,然后在容器中通过volumeMounts将ConfigMap类型的Volume挂载到 /configfiles 目录下Pod创建成功之后,进入容器内查看,可以看到在/configfiles目录下存在server.xml和logging.properties文件: ConfigMap中配置的内容如果是UTF-8编码的
K8S---Projected Volume
liao__ran的博客
05-25 623
Projected Volume 将一个或多个上述资源对象(ConfigMap、Secret、Downward API)一次性挂载到容器内的同一个目录下 Projected Volume的一些常见应用场景 通过Pod的标签生成不同的配置文件,需要使用配置文件,以及用户名和密码,这时需要使用3种资源:ConfigMap、Secrets、Downward API。 在自动化运维应用中使用配置文件和账号信息时,需要使用ConfigMap、Secrets。 在配置文件内使用Pod名称(metadata.nam
k8s 之存储
yaoxie1534的博客
11-04 933
每次使用存储要先创建pv, 再创建pvc,真累!所以我们可以实现使用存储的动态供给特性。静态存储需要用户申请PVC时保证容量和读写类型与预置PV的容量及读写类型完全匹配, 而动态存储则无需如此.管理员无需预先创建大量的PV作为存储资源Kubernetes从1.4版起引入了一个新的资源对象StorageClass,可用于将存储资源定义为具有显著特性的类(Class)而不是具体的PV。用户通过PVC直接向意向的类别发出申请,匹配由管理员事先创建的PV,或者由其按需为用户动态创建PV,这样就免去。
kubernetes之configmap,深度解析mountPath,subPath,key,path的关系和作用
monkey的专栏
03-02 5311
kubernetes之configmap,深度解析mountPath,subPath,key,path的关系和作用 参考:https://www.cnblogs.com/breezey/p/6582082.html 我们知道,在几乎所有的应用开发中,都会涉及到配置文件的变更,比如说在web的程序中,需要连接数据库,缓存甚至是队列等等。而我们的一个应用程序从写第一行代码开始,要经历开发环境...
configmap挂载文件权限修改
web13618542420的博客
08-31 1473
k8s中configmap挂载文件的权限默认是420。这是十进制表示,转换成八进制就是644,如果容器中使用非root用户,此时文件没有可执行权限,需要修改文件权限。如上所示,将名为test的configmap的权限设置成493,转换成八进制就是755。在volumes字段中修改defaultMode参数的值。修改权限的时候切记yaml中是十进制。...
Ceph对象存储底层对象分布揭秘.docx
10-12
每部分 RGW 上传的文件片段根据配置进行切块,形成若干个 Object,Object 逻辑归属于某个 PG 中,最终 Object 存储在 PG 映射的一组 OSD 磁盘上,Ceph 最终存储的是对象(内容+属性),通过后端存储引擎 Object ...
内存映射 C++实例
07-09
首先,我们定义了一个结构体 `memoryMapStruct`,用于存储文件句柄、文件映射对象和内存中的数据指针。 然后,在 `OnOpenDocument` 函数中,我们打开文件,创建文件映射对象,并将文件映射到内存中。接着,我们使用...
javaapi和源码-restbuilder:用于为基于dropwizard的JavaRESTAPI生成源代码。它生成资源,服务,映射器和实体
05-19
存储库是做什么用的? 快速总结REST API和微服务是分布式应用程序的基本构建块。 软件工程师很难理解整个应用程序所需的所有API。 特别是当他们的团队较小且资源有限时。 RISE REST Builder旨在帮助此类软件工程师...
unimapperjs:UniMapperJS-适用于所有类型的数据库(SQL,NoSQL)的通用node.js(native ES6ES7)类似于LINQ的对象映射器(ORMODM)
05-18
UniMapperJS UniMapperJS是通用的Node.js(本机ES6 / ES7)类似LINQ的对象映射器(ORM / ODM),可以映射您为其创建适配器的任何对象。 !! 正在开发中 !! 参见主要特点适配器-如果不支持您的数据库,则可以编写...
kubernetes中configmap挂载文件的权限
大叶子不小的博客
05-26 1311
(十进制表示),转换成八进制就是644,在使用非root用户的容器内,此文件是没有执行权限的。链接:https://juejin.cn/post/7202417229149274173。商业转载请联系作者获得授权,非商业转载请注明出处。kubernetes 中通过configmap挂载文件的默认权限是。可以通过修改volumes字段中的defaultMode参数值。,权限设置成493,转换成八进制就是755。
kubernetes实践之六十二:Secret 使用
clmaykr95629的博客
06-21 450
一: 简介 Secret 可以作为数据卷被挂载,或作为环境变量暴露出来以供 pod 中的容器使用。它们也可以被系统的其他部分使用,而不直接暴露在 pod 内。例如,它们可以保存凭据,系统的其他部分应该用它来代表您与外部系统进行...
21-【kubernetes】Kubernetes pv、pvc、configmap和secret
qq_42303254的博客
10-13 641
一、pv、pvc、StorageClass存储类 1、存在的问题: pvc在申请时,未必会有现成的满足pvc申请条件的pv资源 2、解决方案: 引入StorageClass(存储类—k8s的标准资源)。那么pvc在申请时,不直接申请pv,而是向StorageClass存储类进行申请,然后StorageClss存储类再根据pvc的申请条件,动态创建,满足pvc申请条件的pv资源。前提条件:【1】、StorageClass存储类能够符合pvc申请条件;【2】、存储设备必须支持RestFul风格的请求创建接
kube-apiserver 配置参数解读(kubernets version 1.12.0)
梦想起飞的地方.........
03-07 2864
kube-apiserver 配置参数解读(kubernets version 1.12.0) 下面是kube-apiserverversion 1.12.0的所有配置,其中高亮加粗的是我认为需要注意的Flag。 Flag Comments --admission-control-config-file admission control的配置文件 --a...
kubernetes实践之七:安全机制API Server认证之Service Account Token
clmaykr95629的博客
03-21 845
一:前言 Kubernetes有User Account和Service Account两套独立的账号系统。 1.User Account是给人用的,Service Account 是给Pod 里的进程使用的,面向的对象不同...
k8s使用ServiceAccount Token的方式访问apiserver
weixin_33754065的博客
11-22 2696
首先,如果是普通版kubernetes集群,可以登陆到master集群,可以使用私钥证书的方式访问。证书路径:master的/etc/kubernetes/pki 下面。 使用命令: curl --cacert ca.crt --cert apiserver.crt --key apiserver.key https...
Kubernetes Service Account如何生成Token
weixin_30399797的博客
04-10 1167
Service Account是运行pods用到的帐号,默认是default。如果apiserver启动配置--admission-control=ServiceAccount,Service Account就要生成Token才能启动pods或者连接apiserver进行操作。下面讲讲如何把默认Service Account(default)生成Token。 1,生成serviceaccount...
secret学习笔记
rendongxingzhe的博客
04-19 1200
Secret是用来保存敏感信息的,比如密码、令牌或者key,redis、mysql密码。 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 这样的信息可能会被放在Pod规约中或者镜像中。 使用 Secret 意味着你不需要在应用程序代码中包含机密数据。 Secret 类似于ConfigMap但专门用于保存机密数据。 每个 Secret 的尺寸最多为 1MiB。施加这一限制是为了避免用户创建非常大的 Secret, 进而导致 API 服务器和 kubelet 内存耗尽。不过创建很多小的 ...
Kubernetes 中的资源对象
最新发布
08-16
### 回答1: Kubernetes 是一个开源的容器编排工具,可以帮助用户自动化部署、扩展和管理容器化应用程序。在 Kubernetes 中,资源对象是指用于描述和管理集群中各种资源的抽象概念。 以下是 Kubernetes 中常见的资源对象类型: 1. Pod(容器组):Pod 是 Kubernetes 中最小的可部署对象,通常包含一个或多个容器,共享同一个网络命名空间和存储卷。 2. ReplicaSet(副本集):ReplicaSet 用于管理一组相同的 Pod 副本,保证在集群中的任何时间都有指定数量的副本运行。 3. Deployment(部署):Deployment 是一种管理 Pod 和 ReplicaSet 的高级对象,用于实现容器化应用程序的滚动更新和回滚。 4. Service(服务):Service 提供了一种逻辑方式来访问一组 Pod,通常用于将网络流量路由到后端的 Pod。 5. ConfigMap(配置映射):ConfigMap 用于存储集群中的配置数据,例如应用程序的环境变量和配置文件。 6. Secret(密钥):Secret 用于存储敏感信息,例如密码和证书,以安全地在集群中传输和存储。 7. PersistentVolume(持久卷):PersistentVolume 用于将持久化存储抽象出来,使其在不同的存储系统之间具有可移植性。 8. StatefulSet(有状态集):StatefulSet 用于管理具有唯一标识和稳定网络标识符的 Pod,通常用于运行需要持久化存储和有状态服务的应用程序。 这些资源对象是 Kubernetes 集群中的基本构建块,使用它们可以轻松地管理和扩展容器化应用程序。 ### 回答2: Kubernetes中的资源对象是指在Kubernetes集群中由用户定义和管理的各种资源类型,用于表示和控制应用程序、服务和基础设施等方面的相关资源。 Kubernetes提供了多种资源对象,包括但不限于以下几种: 1. Pod(容器组):Pod是Kubernetes中最小的可调度和部署单元,可以包含一个或多个容器。Pod通常将相关的容器组合在一起,共享网络和存储,并提供容器之间的通信和数据共享。 2. ReplicaSet(副本集):ReplicaSet用于定义和管理Pod的集合。它确保指定数量的Pod副本运行,并根据需要自动进行缩放,以实现应用程序的高可用性和负载均衡。 3. Deployment(部署):Deployment是ReplicaSet的高级抽象,用于实现无缝的应用程序部署和升级。它可以定义应用程序的副本数、升级策略和滚动升级等参数,并确保在应用程序版本变更时无需停机。 4. Service(服务):Service定义了一组Pod的访问方式和网络连接,提供了一个稳定的地址和端口,使得其他Pod或外部用户能够与应用程序进行通信。 除了上述常用资源对象,还有诸如ConfigMap(配置映射)、Secret(密钥)、Namespace(命名空间)等资源对象,它们用于管理和传递应用程序的配置信息、敏感数据和资源隔离等方面的需求。 通过使用这些资源对象,用户可以方便地定义和管理各种不同类型的应用程序和服务,并通过Kubernetes提供的强大的调度和管理功能,实现高可用性、弹性伸缩和自动化的应用程序部署和运维。 ### 回答3: Kubernetes 中的资源对象是指在集群中定义和管理的可部署的计算资源。它们用来描述和控制应用程序的部署、扩展和管理。Kubernetes 中有多种资源对象可供使用,如下所示: 1. Pod: Pod 是 Kubernetes 中最小的可部署对象单元。它由一个或多个容器组成,并共享相同的网络和存储资源。Pod 可以用来运行一个或多个容器应用程序。 2. Deployment: Deployment 是用来管理 Pod 的资源对象。它定义了一组 Pod 的副本,并负责监控和维护这些 Pod 的状态。通过 Deployment,可以方便地进行应用的部署、升级和回滚操作。 3. Service: Service 是用来暴露 Pod 的网络服务的资源对象。它为一组 Pod 提供了一个统一的访问入口,并负责将请求按照相应的负载均衡算法分发给后端的 Pod。 4. Volume: Volume 是用来管理 Pod 中的存储资源资源对象。它可以将外部存储系统挂载到 Pod 中,以便应用程序可以进行持久化数据的存储。 此外,Kubernetes 还提供了许多其他类型的资源对象,如 StatefulSet、DaemonSet、Job、CronJob 等,用于满足不同应用程序的需求。这些资源对象可以通过 YAML 或 JSON 文件进行定义和配置,并通过 Kubernetes API 进行管理和操作。 通过使用 Kubernetes 的资源对象,我们可以更方便地管理和部署应用程序,实现高可用性和弹性的系统架构,提高应用程序的可靠性和可扩展性。它为开发人员和运维人员提供了一种简单而强大的方式来管理和扩展应用程序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值