【K8S in Action】第八章 从应用访问pod元数据

已于 2024-01-19 21:20:47 修改
阅读量1.1k 收藏 27
点赞数 22
分类专栏: 部署与运维篇 文章标签: kubernetes java 容器
于 2024-01-19 21:18:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_21438267/article/details/135329967
版权

通过环境变量或者configMap和secret卷向应用传递配置数据。这对于pod调度、 运行前预设的数据是可行的。
对于那些不能预先知道的数据, 比如pod的IP、 主机名或者是pod自身的名称。经在别处定义的数据, 比如pod的标签和注解。不想在多个地方重
复保留同样的数据。

通过Downward API传递元数据

1 了解可用的元数据

Downward API 允许我们通过环境变量或者文件(在downwardA釭卷中)的传递pod的元数据。这种方式主要是将在pod的定义和状态中取得的数据作为环境变量和文件的值, 如图所示
在这里插入图片描述
• pod的名称
• pod的IP
• pod所在的命名空间
• pod运行节点的名称
• pod运行所归属的服务账户的名称
• 每个容器请求的CPU和内存的使用量
• 每个容器可以使用的CPU和内存的限制
• pod的标签
• pod的注解

2 通过环境变量暴露元数据

通过环境变量的方式将pod和容器的元数据传递到容器中。

pod的名称 、IP和命名空间可以通过POD_NAME、 POD_IP和POD_NAMESPACE 这几个环境变量分别暴露。

apiVersion: vl 
kind: Pod 
metadata: 
	name: downward 
spec: 
	containers: 
	- name: main 
	image: busybox 
	command: ["sleep", "9999999") 
	resources:
		requests: 
			cpu: 15m 
			memory: lOOKi 
		limitS:
			cpu: 100m 
			memory: 4Mi 
	env: 
	- name: POD_NAME
		valueFrom:
			fieldRef: 
				fieldPath: metadata.name     引用pod manifest中的元数据名称字段 
	- name: POD_NAMESPACE
		valueFrom: 
			fieldRef: 
				fieldPath: metadata.namespace
	- name: POD IP 
		valueFrom:
			fieldRef: 
				fieldPath: status.podIP 
	- name: NODE NAME
		valueFrom:
			fieldRef: 
				fieldPath: spec.nodeName 
	- name: SERVICE ACCOUNT
		valueFrom: 
			fieldRef: 
				fieldPath: spec.serviceAccountName
	- name: CONTAINER CPU REQUEST MILLICORES
		valueFrom:
			resourceFieldRef:            容器请求的内存和CPU 是 resourceFieldRef 字段
				resource: requests.cpu 
				divisor: lm               资源相关的字段,基数单位
	- name: CONTAINER MEMORY LIMIT KIBIBYTES
		valueFrom:
			resourceFieldRef: 
				resource: limits.memory
				di visor: lKi

看看容器中出环境变量
kubect1 exec downward env

3 通过downwardAPI卷来传递元数据

如果更倾向于使用文件的方式而不是环境变量的方式暴露元数据,可以定义一个downwardAPI卷并挂载到容器中。必须使用downwardAPI卷来暴露pod标签或注解。

apiVersion: vl 
kind: Pod 
metadata:
	name: downward 
	labels: 
		foo: bar 
	annotations:
		keyl: valuel 
		key2: |      通过downwardAPI卷来暴露这些标签和注解
			multi
			line 
			value 
spec: 
	containers: 
	- name: main
		image: busybox
		command: ["sleep", "9999999"]
		resources:
			requests: 
				cpu: 15m 
				memory: lOOKi 
			limitS:
				cpu: 100m 
				memory: 4Mi 
		volumeMountS:                     在/etc/downward 目录下挂载这个dowanward卷
		- name: downward
		  mountPath: /etc/downward
	volumes: 
		- name: downward          通过将卷的名字设定为downward来定义—个dowanwardAPI卷
		downwardAPI:
			items: 
			- path: "podName"       pod的名称(来自manifest文件中 的metadate.name字段)将被写入
			  fieldRef:
				fieldPath: metadata.name 
			- path: "podNamespace"
			  fieldRef:
				fieldPath: metadata.namespace
				
			- path: "labels"                  pod的标签将被保存到/etc/dowanward/labels文件中 
			  fieldRef:
				fieldPath: metadata.labels
				
			- path:"annotations"            pod的注解将被保存到/etc/dowanward/annotations 文件中
				fieldRef:
					fieldPath: metadata.annotations 
			- path: "containerCpuRequestMilliCores"
				resourceFieldRef:
					containerName: main 
					resource: requests.cpu 
					divisor: lm 
			- path: "containerMemoryLimitBytes"
				resourceFieldRef: 
					containerName: main 
					resource: limits.memory
					divisor: 1	


$ kubectl exec downward cat /etc/downward/labels 
foo="bar"
  • 可以在pod运行时修改标签和注解。如我们所愿,当标签和注解被修改后,Kubemetes会更新存有相关信息的文件,从而使pod可以获取最新的数据。
  • 在环境变量方式下,一旦标签和注解被修改,新的值将无法暴露。

当暴露容器级的元数据时,如容器可使用的资源限制或者资源请求(使用字段 resourceFieldRef), 必须指定引用资源字段对应的容器名称。因为我们对千卷的定义是基于 pod级的,而不是容器级的。

spec: 
	volumes: 
	- name: downward
		downwardAPI:
			items: 
			- path: "containCpuRequestMilliCores"
			  resourceFieldRef: 
				containerName: main          必须指定容器名称
				resource: requests.cpu 
				divisor: lm

二、 与Kubernetes API服务器交互

通过服务相关的环境变量或者 DNS 来获取服务和 pod的信息, 但如果应用需要获取其他资源的信息或者获取最新的信息, 就需要直接与API 服务器进行交互。

2.1 Kubernetes REST API

可以通过运行kubectl cluster-info 命令来得到服务器的 URL。kubectl proxy命令启动了一个代理服务来接收来自你本机的 HTTP 连接并转发至 API 服务器, 同时处理身份认证。

$ kubect1 cluster-info
Kubernetes master is running at https://192.168.99.100:8443

$ kubect1 proxy 
Starting to serve on 127.0.0.1:8001

curl http://localhost:8001/apis/batch

curl http://localhost:8001/apis/batch/vl


通过名称恢复一个指定命名空间下的资源 (name:my-job;namespace:dfault)
curl http://localhost:8001/apis/batch/vl/namespaces/default/jobs/my-job 
与这个Job资源的完整的 JSON 定义信息一致
kubetcl get job my-job -o json

通过在 /apis/batch/vl/jobs路径运行一个GET请求,列举集群中所有的Job实例。

2.2 从pod内部与API服务器进行交互

apiVersion: vl 
kind: Pod 
metadata:
	name: curl 
spec: 
	containers: 
	- name: main 
		image: tutum/curl
		command: ["sleep", "9999999"]

在完成pod的创建后,在容器中运行kubectl exec来启动一个bashshell
kubectl exec -it curl bash
  • 确定API 服务器的位置
  • 确保是与 API 服务器进行交互,而不是一个冒名者
  • 通过服务器的认证,否则将不能查看任何内容以及进行任何操作
确定API 服务器的位置

Kubemetes API服务器的 IP 地址和端口:名为kubernetes的服务在默认的命名空间被自动暴露。每个服务都被配置了对应的环境变量, 在容器内通过查询KUBERNETES_SERVICE_HOST 和 KUBERNETES_SERVICE_PORT 这两个环境变量就可以获取 API 服务器的 IP 地址和端口。

同样, 每个服务都可以获得一个 DNS 入口,curl 指向 https://kubemetes

kubectl get SVC 
NAME      CLUSTER-IP EXTERNAL-IP  PORT(S)   AGE 
kubernetes 10.0.0.1   <none>    443/TCP     46d

curl https://kubernetes
验证服务器身份

在讨论 Secret 时, 我们看到一个名为 defalut-token-xyz的 Secret 被自动创建,并挂载到每个容器的 /var/run/secrets/kubemetes.io/serviceaccount
目录下。curl允许使用-cacert选项来指定CA 证书。

在容器内执行
curl --cacert /var/run/secrets/kubernetes.io/serviceaccountca.ert https://kubernetes
Unauthorized 

设置CURL_CA_BUNDLE环境变量来简化操作,不用每次指定 cacert 
 export CURL_CA_BUNDLE=/var/run/secrets/kubernetes.io/serviceaccount/ca.crt
获得API服务器授权

凭证可以使用之前提到的default-token Secret来产生, 同时凭证可以被存放在secret卷的token文件中。

TOKEN=$(cat /var/run/secrets/kubernetes.io/serviceaccount/token)
Authorization字段向 API 服务器传递了凭证
curl -H "Authorization: Bearer $TOKEN"  https://kubernetes

secret卷中命名空间的文件,可以读取这个文件来获得命名空间信息
NS=$(cat /var/run/secrets/kubernetes.io/serviceaccount/namespace) 
curl -H "Authorization: Bearer $TOKEN"  https://kubernetes/api/vl/namespaces/$NS/pods

三、通过 ambassador 容器简化与 API 服务器的交互

可以在主容器运行的同时, 启动一个ambassador容器,并在其中运行kubecctl proxy命令, 通过它来实现与API服务器的交互。保证安全性的前提下有办法简化通信的方式。

apiVersion: vl 
kind: Pod 
metadata:
	name: curl 
spec: 
	containers: 
	- name: main 
		image: tutum/curl
		command: ["sleep", "9999999"]
	- name: ambassador 
		image: luksa/kubectl-proxy:l.6.2

pod包含两个容器,使用-c main选项指定
 kubectl exec -it curl-with-ambassador -c main bash
 curl localhost:8001
 成功了

curl向在ambassador容器内运行的代理发送普通的 HTTP 请求(不包含任何授权相关的标头), 然后代理向 API 服务器发送 HTTPS 请求, 通过发送凭证来对客户端授权, 同时通过验证证书来识别服务器的身份。

四 使用客户端库与API服务器交互

可以使用一个标准的客户端库来执行简单的 HTTP 请求。

偶入编程深似海
关注
  • 22
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
K8S新版学习教程(k8s in action) 英文原版
12-20
K8S新版学习教程(k8s in action) 英文原版
k8s开发基础-pod元数据
longway111的博客
03-10 342
{'api_version': 'v1', 'kind': 'Pod', 'metadata': {'annotations': None, 'cluster_name': None, 'creation_timestamp': None, 'deletion_grace_period_seconds': None, 'deletion_timestamp': None, ...
第5章 K8s基础篇-基本概念
dluhehe的博客
11-25 2321
k8s基本概念
k8s in action
menjiyufei的博客
08-10 349
容器与虚拟机的区别?P8 虚拟机将宿主机的资源硬隔离,每个虚拟机都有一个独立的操作系统,这些操作系统的生成需要消耗宿主机额外的资源,一个服务一个虚拟机的方式浪费太多资源,所以只能多个服务公用一个虚拟机,就行权益平台1.0一样,当一个服务重启就会影响其他服务 多个容器可以共享宿主机的操作系统,容器消耗的资源只是容器内程序运行依赖的资源,没有操作系统资源的浪费,可以一个服务一个容器 使用K8...
k8s学习 — (实践)第三章 深入Pod
Mr_XiMu的博客
12-25 939
k8s学习 — (实践)第三章 深入Pod
k8s系列(四)——资源对象
罗伯特是疯子丶
05-17 930
k8s资源对象
K8s资源第一篇(Pod
weixin_43803147的博客
12-12 1184
资源配置格式: apiVersion:用来定义api群组的版本。 Kind:用来定义资源类型。 metadata:用来定义元数据元数据中包含,资源的名字,标签,隶属的名称空间等。 sepc: 用来定义资源的期望状态。 status:资源的实际状态,用户不能够定义,由k8s自行维护。 获取集群所支持的所有资源类型: [root@k8smaster data]# kubectl api-reso...
《云原生之K8s实战》K8s Pod从入门到精通
君逍遥o
03-10 180
Podk8s中的最小调度单元,k8s首先会通过定义一个Pod的资源,然后在 Pod里面运行容器容器的运行需要指定一个镜像,这样就可以用来运行具体的应用服务。
k8s集群部署——Pod管理和资源清单
m0_49265034的博客
10-29 909
文章目录一、Pod管理二、资源清单三、Pod生命周期四、今日报错 一、Pod管理 Pod是可以创建和管理Kubernetes计算的最小可部署单元,一个Pod代表着集群中运行的一个进程,每个pod都有一个唯一的ip。 一个pod类似一个豌豆荚,包含一个或多个容器(通常是docker),多个容器间共享IPC、Network和UTC namespace。 kubectl命令 kubectl run '镜像' --image=‘image name’ kubectl get pod #查看POD内容 kubec
k8s pod 详解
tankpanv的博客
03-20 6085
https://www.cnblogs.com/kevingrace/p/11309409.html 一、什么是Pod kubernetes中的一切都可以理解为是一种资源对象,pod,rc,service,都可以理解是 一种资源对象。pod的组成示意图如下,由一个叫”pause“的根容器,加上一个或多个用户自定义的容器构造。pause的状态带便了这一组容器的状态,pod里多个业务容器共享pod的...
K8S in action 英文版
02-26
K8S in ACTION英文版,非中文版,请注意!适合入门初学者
k8spod监控看板
12-15
k8spod监控看板
k8s从部署到核心应用视频.zip
02-18
第8章深入kubernete-几个重要的资源ra 第9章深入&ubernete-服务调度与编排。ran 第10章深入kubernete--落地实践深入rar 第11章深入kubernete.-日志和监控rar 第l2章ServiceMesh代表作istio【适用于升职加薪】ar 第13...
第二章 K8S集群环境搭建
01-10
第二章 K8S集群环境搭建
飞天使-k8s知识点31-rancher的正确打开方式
最新发布
飞天使的博客
05-09 394
参考资料:https://stackoverflow.com/questions/66375380/kubectl-proxy-behind-nginx-invalid-upgrade-response。
Sealos急速部署生产用k8s集群
云胜的笔记
05-08 1069
sed -i 's/^SELINUX=enforcing$/SELINUX=permissive/' /etc/selinux/config # 永久关闭,reboot生效。这来我装的是不使用docker的版本。最大的好处是提供 99 年证书,用到我跑路是足够了。使用 Sealos,可以安装一个不包含任何组件的裸 Kubernetes 集群。因为我们在oom时应该干脆的杀死应用,而不是用swap续命,引发级联故障。# 查看,我的服务器交付时就已经关了,现在有了阿里云的镜像源,速度嗖嗖快。
K8S RBAC 鉴权
小五
05-07 1012
pods: PodKubernetes 中最小的可部署对象,代表集群中的一个运行中的应用程序实例。services: Service 定义了一组Pod的逻辑集合以及访问这些Pod的策略,通常用于创建应用程序的网络端点。nodes: Node 是 Kubernetes 集群中的一个工作节点,可以是虚拟机或物理机器。namespaces: Namespace 是 Kubernetes 中用于多租户的虚拟集群的一种方式。
[Kubernetes] sealos部署 K8s 集群
959
05-09 587
sealos部署 K8s 集群
k8s minio pod nodeport 访问页面
05-21
要让 Kubernetes 中运行的 Minio 实例可以通过 NodePort 访问页面,可以按照以下步骤操作: 1. 创建 Minio 的 Kubernetes 部署文件,可以参考官方文档(https://docs.minio.io/docs/deploy-minio-on-kubernetes.html)中的示例。 2. 在部署文件中,将 Minio 的服务类型(Service Type)设置为 NodePort。例如: ``` apiVersion: v1 kind: Service metadata: name: minio-service namespace: default spec: type: NodePort selector: app: minio ports: - name: http port: 9000 targetPort: 9000 ``` 3. 应用部署文件,创建 Minio Pod 和 Service: ``` kubectl apply -f minio-deployment.yaml ``` 4. 查看 Minio Service 的 NodePort 端口号: ``` kubectl get svc minio-service ``` 5. 访问 Minio 页面。在浏览器中输入:`http://<Node-IP>:<NodePort>`,其中 `<Node-IP>` 是节点 IP,`<NodePort>` 是第 4 步中查看到的 Minio Service 的 NodePort 端口号。 例如,如果 NodePort 端口号为 30000,节点 IP 为 192.168.1.100,则在浏览器中输入:`http://192.168.1.100:30000` 即可访问 Minio 页面。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值