Kubernetes专题-09、配置

已于 2023-10-23 13:23:36 修改
阅读量30 收藏
点赞数
分类专栏: Kubernetes专题 文章标签: kubernetes 容器 云原生
于 2023-10-23 13:16:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pizicaiman/article/details/133987816
版权

Kubernetes专题-09、配置

配置

配置最佳实践

Configmap

ConfigMap 是一种 API 对象,用来将非机密性的数据保存到键值对中。使用时, Pod 可以将其用作环境变量、命令行参数或者存储卷中的配置文件。

注意:
ConfigMap 并不提供保密或者加密功能。 如果你想存储的数据是机密的,请使用 Secret, 或者使用其他第三方工具来保证你的数据的私密性,而不是用 ConfigMap。

使用 ConfigMap 来将你的配置数据和应用程序代码分开。
在 ConfigMap 中保存的数据不可超过 1 MiB。

ConfigMap 对象

ConfigMap 是一个 API 对象, 让你可以存储其他对象所需要使用的配置。
和其他 Kubernetes 对象都有一个 spec 不同的是,ConfigMap 使用 data 和 binaryData 字段。
这些字段能够接收键-值对作为其取值。
data 和 binaryData 字段都是可选的。data 字段设计用来保存 UTF-8 字符串,而 binaryData 则被设计用来保存二进制数据作为 base64 编码的字串。

说明: 静态 Pod 中的 spec 字段不能引用 ConfigMap 或任何其他 API 对象。

apiVersion: v1
kind: ConfigMap
metadata:
  name: game-demo
data:
  # 类属性键;每一个键都映射到一个简单的值
  player_initial_lives: "3"
  ui_properties_file_name: "user-interface.properties"

  # 类文件键
  game.properties: |
    enemy.types=aliens,monsters
    player.maximum-lives=5    
  user-interface.properties: |
    color.good=purple
    color.bad=yellow
    allow.textmode=true

apiVersion: v1
kind: Pod
metadata:
  name: configmap-demo-pod
spec:
  containers:
    - name: demo
      image: alpine
      command: ["sleep", "3600"]
      env:
        # 定义环境变量
        - name: PLAYER_INITIAL_LIVES # 请注意这里和 ConfigMap 中的键名是不一样的
          valueFrom:
            configMapKeyRef:
              name: game-demo           # 这个值来自 ConfigMap
              key: player_initial_lives # 需要取值的键
        - name: UI_PROPERTIES_FILE_NAME
          valueFrom:
            configMapKeyRef:
              name: game-demo
              key: ui_properties_file_name
      volumeMounts:
      - name: config
        mountPath: "/config"
        readOnly: true
  volumes:
  # 你可以在 Pod 级别设置卷,然后将其挂载到 Pod 内的容器中
  - name: config
    configMap:
      # 提供你想要挂载的 ConfigMap 的名字
      name: game-demo
      # 来自 ConfigMap 的一组键,将被创建为文件
      items:
      - key: "game.properties"
        path: "game.properties"
      - key: "user-interface.properties"
        path: "user-interface.properties"

ConfigMaps 和 Pods

不可变更的 ConfigMap

通过将 immutable 字段设置为 true 创建不可变更的 ConfigMap。 例如:

apiVersion: v1
kind: ConfigMap
metadata:
  ...
data:
  ...
immutable: true

Secret

Secret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 这样的信息可能会被放在 Pod 规约中或者镜像中。 使用 Secret 意味着你不需要在应用程序代码中包含机密数据。

由于创建 Secret 可以独立于使用它们的 Pod, 因此在创建、查看和编辑 Pod 的工作流程中暴露 Secret(及其数据)的风险较小。 Kubernetes 和在集群中运行的应用程序也可以对 Secret 采取额外的预防措施, 例如避免将机密数据写入非易失性存储。

Secret 类似于 ConfigMap 但专门用于保存机密数据。

Secret 的使用

Pod 可以用三种方式之一来使用 Secret:

作为挂载到一个或多个容器上的卷 中的文件。
作为容器的环境变量。
由 kubelet 在为 Pod 拉取镜像时使用。

Secret 的类型

内置类型 用法
Opaque 用户定义的任意数据
kubernetes.io/service-account-token 服务账号令牌
kubernetes.io/dockercfg ~/.dockercfg 文件的序列化形式
kubernetes.io/dockerconfigjson ~/.docker/config.json 文件的序列化形式
kubernetes.io/basic-auth 用于基本身份认证的凭据
kubernetes.io/ssh-auth 用于 SSH 身份认证的凭据
kubernetes.io/tls 用于 TLS 客户端或者服务器端的数据
bootstrap.kubernetes.io/token 启动引导令牌数据

不可更改的 Secret

apiVersion: v1
kind: Secret
metadata:
  ...
data:
  ...
immutable: true

为 Pod 和容器管理资源

可设定资源是 CPU 和内存(RAM)大小

请求和限制

资源类型

CPU 和内存统称为 计算资源,或简称为 资源。 计算资源的数量是可测量的,可以被请求、被分配、被消耗。

Pod 和 容器的资源请求和限制

spec.containers[].resources.limits.cpu
spec.containers[].resources.limits.memory
spec.containers[].resources.limits.hugepages-
spec.containers[].resources.requests.cpu
spec.containers[].resources.requests.memory
spec.containers[].resources.requests.hugepages-

Kubernetes 中的资源单位

CPU 资源单位
内存资源单位
容器资源示例
---
apiVersion: v1
kind: Pod
metadata:
  name: frontend
spec:
  containers:
  - name: app
    image: images.my-company.example/app:v4
    resources:
      requests:
        memory: "64Mi"
        cpu: "250m"
      limits:
        memory: "128Mi"
        cpu: "500m"
  - name: log-aggregator
    image: images.my-company.example/log-aggregator:v6
    resources:
      requests:
        memory: "64Mi"
        cpu: "250m"
      limits:
        memory: "128Mi"
        cpu: "500m"
带资源请求的 Pod 如何调度
Kubernetes 应用资源请求与限制的方式

在 Linux 系统上,容器运行时通常会配置内核 CGroups,负责应用并实施所定义的请求。

  • CPU 限制定义的是容器可使用的 CPU 时间的硬性上限。 在每个调度周期(时间片)期间,Linux 内核检查是否已经超出该限制; 内核会在允许该 cgroup 恢复执行之前会等待。

  • CPU 请求值定义的是一个权重值。如果若干不同的容器(CGroups)需要在一个共享的系统上竞争运行, CPU 请求值大的负载会获得比请求值小的负载更多的 CPU 时间。

  • 内存请求值主要用于(Kubernetes)Pod 调度期间。在一个启用了 CGroup v2 的节点上, 容器运行时可能会使用内存请求值作为设置 memory.min 和 memory.low 的提示值。

  • 内存限制定义的是 cgroup 的内存限制。如果容器尝试分配的内存量超出限制, 则 Linux 内核的内存不足处理子系统会被激活,并停止尝试分配内存的容器中的某个进程。 如果该进程在容器中 PID 为 1,而容器被标记为可重新启动,则 Kubernetes 会重新启动该容器。

  • Pod 或容器的内存限制也适用于通过内存供应的卷,例如 emptyDir 卷。 kubelet 会跟踪 tmpfs 形式的 emptyDir 卷用量,将其作为容器的内存用量, 而不是临时存储用量。

如果某容器内存用量超过其内存请求值并且所在节点内存不足时,容器所处的 Pod 可能被逐出。

监控计算和内存资源用量

本地临时存储

本地临时性存储的配置
为本地临时性存储设置请求和限制
apiVersion: v1
kind: Pod
metadata:
  name: frontend
spec:
  containers:
  - name: app
    image: images.my-company.example/app:v4
    resources:
      requests:
        ephemeral-storage: "2Gi"
      limits:
        ephemeral-storage: "4Gi"
    volumeMounts:
    - name: ephemeral
      mountPath: "/tmp"
  - name: log-aggregator
    image: images.my-company.example/log-aggregator:v6
    resources:
      requests:
        ephemeral-storage: "2Gi"
      limits:
        ephemeral-storage: "4Gi"
    volumeMounts:
    - name: ephemeral
      mountPath: "/tmp"
  volumes:
    - name: ephemeral
      emptyDir:
        sizeLimit: 500Mi
带临时性存储的 Pods 的调度行为
临时性存储消耗的管理

扩展资源(Extended Resources)

节点级扩展资源
集群层面的扩展资源
使用扩展资源

仅当所有资源请求(包括 CPU、内存和任何扩展资源)都被满足时,Pod 才能被调度。 在资源请求无法满足时,Pod 会保持在 PENDING 状态。

PID 限制

进程 ID(PID)限制允许对 kubelet 进行配置,以限制给定 Pod 可以消耗的 PID 数量。

如果 Pod 处于悬决状态且有这种类型的消息时,你可以尝试如下几件事情:

  • 向集群添加更多节点。
  • 终止不需要的 Pod,为悬决的 Pod 腾出空间。
  • 检查 Pod 所需的资源是否超出所有节点的资源容量。例如,如果所有节点的容量都是cpu:1, 那么一个请求为 cpu: 1.1 的 Pod 永远不会被调度。
  • 检查节点上的污点设置。如果集群中节点上存在污点,而新的 Pod 不能容忍污点, 调度器只会考虑将 Pod 调度到不带有该污点的节点上。

使用 kubeconfig 文件组织集群访问

Windows 节点的资源管理

Pozicaiman
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
stateful-kubernetes-slides
05-07
标题中的"stateful-kubernetes-slides"表明这是一个关于在Kubernetes集群中管理有状态应用的专题,通常在Kubernetes中,无状态应用较易管理和扩展,而有状态应用则需要更复杂的生命周期管理。这个主题主要关注如何在...
best-practise-kubernetes:阿姆斯特丹DevOpsDays研讨会2018
05-10
这个标题揭示了这是一个关于Kubernetes最佳实践的专题研讨会,它发生在2018年的荷兰阿姆斯特丹DevOpsDays活动中。DevOpsDays是全球范围内的技术会议,专注于DevOps文化和实践,旨在促进开发人员和运维人员之间的协作...
Kubernetes专题-12、ETCD
pizicaiman的专栏
10-23 56
ETCD是用于共享配置和服务发现的分布式,一致性的KV存储系统。它是一个优秀的高可用分布式键值对存储数据库。etcd内部采用了Raft协议作为一致性算法,且使用Go实现。特别是基于虚拟化底层构建的k8s集群,在资源隔离的方面,不能很好保障单台计算虚拟机的突发性能干扰影响。场景一:服务发现(Service Discovery)场景六:集群监控与Leader竞选。场景五:分布式锁、分布式队列。场景四:分布式通知与协调。场景二:消息发布与订阅。
Kubernetes专题-11、证书
pizicaiman的专栏
10-23 50
【代码】Kubernetes专题-11、证书。
Kubernetes专题-07、存储CSI
pizicaiman的专栏
10-23 63
集群管理员可以根据需要定义多个 StorageClass 对象,每个对象指定一个卷插件(又名 provisioner), 卷插件向卷制备商提供在创建卷时需要的数据卷信息及相关参数。在从存储系统的相同卷上获取的快照之间, 这些属性可能有所不同,因此不能通过使用与 PersistentVolumeClaim 相同的 StorageClass 来表示。存储容量是有限的,并且会因为运行 Pod 的节点不同而变化: 网络存储可能并非所有节点都能够访问,或者对于某个节点存储是本地的。这个策略字段必须指定。
Kubernetes专题-10、安全
pizicaiman的专栏
10-23 20
ConfigMap 是一种 API 对象,用来将非机密性的数据保存到键值对中。
Kubernetes专题-13、K8S高级应用
pizicaiman的专栏
10-23 64
Kubernetes专题-13、K8S高级应用K8S高级应用专题第一节 更新策略最小就绪时间处理超时时间处历史版本数量更新策略最大超出副本数最大不可用副本数第二节 节点调度策略第三节 容忍容器组亲和性DNS配置主机别名服务账号主机相关设置容器组安全上下文 K8S高级应用专题 第一节 更新策略 最小就绪时间 处理超时时间 处历史版本数量 更新策略 最大超出副本数 最大不可用副本数 第二节 节点调度策略 第三节 容忍 容器组亲和性 DNS配置 主机别名 服务账号 主机相关设置 容器组安全上下文
Kubernetes专题-03、K8S资源类型
pizicaiman的专栏
02-16 95
Kubernetes的资源类型和底层接口调用变动详解
Kubernetes专题-01 集群部署篇
蛮荒仙侠
03-10 1118
nerdctl 精简版无法直接通过 containerd 构建镜像,需要与buildkit组全使用以实现镜像构建,完整版 nerdctl 是可以的buildkit项目是 Docker 公司开源出来的一个构建工具包,支持 OCI 标准的镜像构建buildkit 包含服务端和客户端,作用分别如下说明服务端buildkitd:当前支持 runc 和 containerd 作为 worker,默认是 runc客户端buildctl。
Kubernetes专题-01、K8S集群部署管理最新版本v1.26.x
pizicaiman的专栏
02-04 410
kubernetes集群部署和管理
Kubernetes专题-06、ETCD备份与恢复
pizicaiman的专栏
10-23 61
1、通过将deployment service等配置文件组合或者放置在同一个文件夹目录,命令为项目服务名称,备份至磁盘存储或者gitlab。2、通过Helm包管理器,将每次更新迭代的项目服务按照版本管理,Helm仓库可自建或者上传第三方私有仓库平台。1、配置文件导出备份。
Java面试专题-面试人员必看-微服务架构面试专题系列:BAT面试常问80题.rar
08-11
- **Docker与Kubernetes**:掌握容器化技术,了解如何使用Docker打包应用,以及Kubernetes进行服务编排和管理。 - **API Gateway**:理解API网关的角色,如统一入口、权限控制、流量控制。 3. **BAT大厂关注的...
腾讯-张志欢-微服务专题1
08-04
例如,使用服务网关如Envoy来处理服务间的通信,利用Docker和Kubernetes进行容器编排,以及借助Consul作为配置中心,确保服务的注册和服务契约的管理。 【腾讯游戏数据应用DataMore】 腾讯游戏数据应用DataMore提供...
Linux运维-03-监控专题配套资料.zip
06-01
"Linux运维-03-监控专题配套资料.zip"这个压缩包文件很可能包含了关于Linux系统监控的详细文档和资料,旨在帮助运维人员掌握如何有效地监控Linux服务器。以下是根据这些信息可能包含的一些核心知识点: 1. **系统...
K3s部署及研究
Januea的博客
07-22 967
K3s部署及研究
K8S 上部署 Prometheus + Grafana
小强签名设计 的博客
07-22 474
【代码】K8S 上部署 Prometheus + Grafana。
[k8s源码]8.deltaFIFO
最新发布
weixin_45396500的博客
07-24 367
DeltaFIFO: 这是一个特殊类型的队列,它结合了FIFO(先进先出)队列的特性和增量(Delta)处理的能力。这种设计提供了处理的灵活性和优化的机会,允许控制器根据实际需求选择最有效的处理策略。Resync机制会将Indexer本地存储中的资源对象同步到DeltaFIFO中,并将这些资源对象设置为Sync的操作类型。Resync函数在Reflector中定时执行,它的执行周期由NewReflector函数传入的resyncPeriod参数设定。获取资源对象(如 Pod)的变化。
k8s+containerd(kvm版)
weixin_62799021的博客
07-22 758
k8s(Kubernetes)是由Gogle开源的容器编排引擎,可以用来管理容器化的应用程序和服务,kk8s提供了自动重启、自动重建、自动修复提高集群的可用性,以下概念稍微了解即可,看一看直接实操,
kubernetes-----YAML文件编写详情
08-18
Kubernetes中,可以使用YAML格式来编写资源对象的配置文件。YAML是一种简洁的非标记性语言,以数据为中心,使用空白、缩进和换行来组织数据。以下是一些关于YAML文件编写的详细信息: 1. 大小写敏感:YAML是大小写敏感的,因此在编写YAML文件时需要注意大小写的正确使用。 2. 使用缩进表示层级关系:YAML使用缩进来表示数据的层级关系,一般使用空格键进行缩进。Tab键是不被允许的。 3. 缩进的空格数目不重要:相同层级的元素只需要左侧对齐即可,一般情况下使用两个空格进行缩进。 4. 使用#表示注释:在YAML文件中,可以使用#符号来添加注释,注释内容从#字符开始一直到行尾都会被解析器忽略。 5. 特殊字符的使用:在YAML中,一些特殊字符如冒号、逗号、短横杠等需要进行特殊处理,通常在这些字符后面会缩进一个空格。 6. 对象的表示:对象使用键值对的方式表示,使用冒号结构进行分隔,例如`animal: pets`。 7. 另一种对象的写法:YAML还支持将所有键值对写在一行内的行内对象表示法,例如`hash: {name: Steve, foo: bar}`。 8. 数组的表示:数组使用连词线开头的行来表示,每个元素占据一行,例如: ``` - Cat - Dog - Goldfish ``` 9. 子成员是数组:如果数据结构的子成员是一个数组,可以在该项下面缩进一个空格,例如: ``` - - Cat - Dog - Goldfish ``` 10. 文件示例:下面是一个Kubernetes的YAML文件的示例,用于创建一个名为"kubernetes-dashboard"的命名空间: ``` apiVersion: v1 kind: Namespace metadata: name: kubernetes-dashboard ``` 以上是关于Kubernetes中YAML文件编写的一些详细信息。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [kubernetes-----YAML文件编写详解](https://blog.csdn.net/qq_42761527/article/details/105897465)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [k8s集成kubernetes-dashboard可视化界面](https://blog.csdn.net/crazy1013/article/details/126575777)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值