一个完整的demo项目示例:https://github.com/jasonrita/helm-demo
探针
应用的探针用于检测该应用是否健康,是否准备好对外提供服务。健康状况是非常关键的属性,因此每个应用必须都明确表示如何进行健康检测。
values.yaml文件必须包含以下探针属性:
livenessProbe: # 存活探针 enabled: true path: / # 心跳检测的接口,默认都是httpGet请求 initialDelaySeconds: 30 # 容器启动后第一次执行探测是需要等待多少秒。 periodSeconds: 60 # 执行探测的频率。默认是10秒,最小1秒。 timeoutSeconds: 5 # 探测超时时间。默认1秒,最小1秒。 successThreshold: 1 # 探测失败后,最少连续探测成功多少次才被认定为成功。默认是1 failureThreshold: 5 # 探测成功后,最少连续探测失败多少次才被认定为失败。默认是3 readinessProbe: # 就绪探针 enabled: true path: / # 心跳检测的接口,默认都是httpGet请求 initialDelaySeconds: 10 periodSeconds: 10 timeoutSeconds: 5 successThreshold: 1 failureThreshold: 5 |
deployment.yaml文件引用探针如下:
资源限制
每个应用都需要使用到CPU和内存资源,如果不加以明确说明,则会导致资源的无畏浪费,并且在资源不足时第一时间就被回收。
因此应用都应当明确申明自己所需的资源大小。
values.yaml文件包含以下属性:
resources: requests: # 声明最少使用的资源,不够的话则应用无法启动成功 memory: 256Mi cpu: 100m limits: # 声明最大使用的资源,超过即重启应用pod memory: 256Mi cpu: 100m |
持久化存储
应用如果不使用持久化存储,那么当应用重启的时候,之前保存的数据将会都清空。在web无状态应用中,这是保持环境干净很好的一种方式。
但是如果我们应用有数据需要持久保留的话,就需要使用到持久化存储了。以下是持久化存储规范:
values.yaml文件需包含以下属性:
persistence: enabled: true local: enabled: false # 是否启用本地存储 name: gitlab-pg # 对应本地存储名称 storageClass: "nfs-dynamic-class" # 集群共享存储 accessMode: ReadWriteOnce # 存储访问模式 size: 30Mi # 声明所需存储的大小 annotations: { } |
templates目录下新建auto-pvc.yaml文件,这里之所以要加一个auto前缀就是为了保证安装时首先执行安装pvc,默认helm是安装文件名顺序来执行安装的。
内容如下:
最后根据应用需要读写的路径,挂载到容器内,修改deployment.yaml文件,添加以下内容:
volumes: - name : data { { - if .Values.persistence.enabled } } persistentVolumeClaim: claimName: { { .Release.Name } } -pvc { { - else } } emptyDir: { } { { - end } } # containers子标签中添加 volumeMounts: - name : data mountPath: /mnt # 应用容器内需要读写的路径 |
本地存储
我们以后有很多应用都需要支持本地存储,本地存储修改内容如下:
values.yaml
persistence: enabled: true local: enabled: true # 启用本地存储 name: gitlab-pg # 对应本地存储名称 accessMode: ReadWriteOnce size: 20Gi storageClass: "-" # 取消共享存储 annotations: { } nodeSelector: kubernetes.io/hostname : 10.160.144.72 # 对应本地运行主机 |
安全
设置Pod运行的用户,一般情况为了安全起见,容器内不建议使用root用户进行运行。但是如果需要使用本地存储,那么就必须要使用root用户运行了。
另外在使用共享存储时,可以将usePodSecurityContext设置为false。
设置以root运行,在values.yaml文件添加:
security: usePodSecurityContext: true runAsUser: 0 fsGroup: 0 |
在deployment.yaml文件中添加:
注意securityContext配置需要与containers同级