【 云原生 | kubernetes 】资源对象 - 投射卷案例详解(secret,configmap)

已于 2022-10-05 00:09:30 修改
阅读量294 收藏 2
点赞数 3
分类专栏: 云原生 文章标签: kubernetes 云原生 docker
于 2022-10-01 15:03:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45133467/article/details/127134376
版权

在这里插入图片描述

什么是volume?

volume是pod中容器访问的数据目录。

如果我们仅在运行的Pod中修改数据内容,当Pod发生意外Down掉,控制器会重新启动一个新的Pod,那么文件将会被重载。如果是多副本Pod需要修改文件,我们也不可能花费大量时间一个一个去修改,这时衍生出Volume的概念

我们今天就先从一种特殊的Volume开始,这种特殊的 Volume,叫作 Projected Volume(投射数据卷),在阅读本篇之前建议先学习一下【 云原生 | kubernetes 】资源对象 - Pod的深度解析

Projected Volume

为什么是特殊的Volume呢,它们和普通的存储卷不一样,它们不是用来存储容器的数据,也不是用来进行容器和宿主机之间的数据交换(Docker Volume的作用)。这些特殊的Volume是为容器提供预先定义好的数据。

Projected Volume 是 Kubernetes v1.11 之后的新特性

目前,有以下四种类型的Projected Volume:

  • secret
  • configMap
  • downwardAPI
  • serviceAccountToken

secret

这种Volume主要是用来给Pod传递一些敏感信息,比如密码。把想要的数据加密存放,需要使用时挂在到Pod的容器下,来访问到Secret保存的数据

示例

例子中定义了一个很简单的Pod,它挂在了一个特殊的Volume,这个Volume的数据来源是名为mysecret的secret对象。

1.创建Volume-test.yaml
apiVersion: v1
kind: Pod
metadata:
  name: volume-test
spec:
  containers:
  - name: container-test
    image: nginx
    volumeMounts:
    - name: all-in-one
      mountPath: "/projected-volume"
      readOnly: true
  volumes:
  - name: all-in-one
    projected:
      sources:
      - secret:
          name: mysecret
2.创建Secret对象

1>通过kubectl create

[root@ycloud ~]# echo "ycloud"  >> mysecret.txt 
[root@ycloud ~]# kubectl create secret generic mysecret --from-file=./mysecret.txt
secret/mysecret created

2>yaml清单

---
apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  username: eWNsb3VkCg==

可以看到,yaml清单中Secret对象只有一个,但data字段可以以Key-Value的格式白村对各数据。需要注意的是,Secret对象要求这些数据必须经过Base64转码,以免发生安全隐患。

[root@ycloud ~]# kubectl get secrets
NAME                            TYPE                                  DATA   AGE
mysecret                        Opaque                                2      5m21s
[root@ycloud ~]# echo eWNsb3VkCg== | base64 -d  ## -d base64解码
ycloud

转码不是被加密,如果要对数据进行加密操作,可以了解下secret的加密插件。

3.验证

现在我们创建刚才的Pod yaml文件

[root@ycloud ~]# kubectl apply -f Volume-test.yaml 
pod/volume-test created

当Pod运行成功之后,我们验证下创建的Secret对象在不在容器里

[root@sztcyl-177-9-244 script]# kubectl get po 
NAME                                       READY   STATUS    RESTARTS   AGE
volume-test                                1/1     Running   0          5m21s
[root@sztcyl-177-9-244 script]# kubectl exec -it volume-test -- /bin/bash
root@volume-test:/# ls  projected-volume/
username
root@volume-test:/# cat projected-volume/username 
ycloud

configMap

这个Volume的作用和Secret类似,只不过Config不用对数据进行加密,一般用来存储一些配置文件。 引用 configMap 对象时,你可以在卷中通过它的名称来引用。可以自定义 ConfigMap 要使用的路径。

这里展示一个简单的案例,nginx通过配置test.conf文件,代理访问百度网址。

apiVersion: v1
kind: Pod
metadata:
  name: configmap-test
spec:
  containers:
  - name: container-test
    image: nginx
    volumeMounts:
    - name: all-in-one
      mountPath: "/etc/nginx/conf.d"
      readOnly: true
  volumes:
  - name: all-in-one
    projected:
      sources:
      - configMap:
          name: myconfigmap
---
apiVersion: v1 
kind: Config
metedata:
  name: myconfigmap
data: 
  test.conf |
    server {
        listen 8080;
        server_name ycloud;
    
        location / { 
            proxy_pass http://112.80.248.76; ##baidu 地址
        }
    }

直接验证结果

[root@ycloud ~]# kubectl apply -f configmap-test.yaml 
pod/configmap-test created
configmap/myconfigmap created
[root@ycloud ~]# kubectl get po  -owide
NAME                              READY   STATUS             RESTARTS         AGE     IP               NODE     NOMINATED NODE   READINESS GATES
configmap-test                    1/1     Running            0                2m14s   100.111.212.1    ycloud   <none>           <none>
[root@ycloud ~]# curl 100.111.212.1:8080   ##配置转发的8080端口
<!DOCTYPE html>
·······
<title>百度一下,你就知道</title>
·······

注意:

  • 在使用 ConfigMap 之前你首先要创建它。
  • 容器以 subPath卷挂载方式使用 ConfigMap 时,将无法接收 ConfigMap 的更新。
  • 文本数据挂载成文件时采用 UTF-8 字符编码。如果使用其他字符编码形式,可使用 binaryData 字段。
  • 修改好ConfigMap数据之后,Pod里的数据会热加载,无需重新启动,这点secret类似

kubelet有一个启动参数–sync-frequency,控制同步配置的时间间隔,默认值是1min,所以当更新configmap的内容后,真正容器中的挂载内容变化可能在0~1min之后。如果这个值修改的过少,可能会导致kubelet的资源消耗会上升。

downwardAPI

它的作用能直接获取Pod和容器的字段信息

简答案例

apiVersion: v1
kind: Pod
metadata:
  name: downwardapi-test
spec:
  containers:
  - name: container-test
    image: nginx
    volumeMounts:
    - name: all-in-one
      mountPath: "/usr/share/nginx/html/"
      readOnly: true
  volumes:
  - name: all-in-one
    projected:
      sources:
      - downwardAPI:
          items:
            - path: "aa.html"
              fieldRef:
                fieldPath: metadata.name
            - path: "bb.html"
              resourceFieldRef:
                containerName: container-test
                resource: limits.cpu

通过downwardapi对象获取Pod的.metadata.name.limits.cpu信息

[root@ycloud ~]# kubectl apply  -f bb.yaml 
pod/downwardapi-test created
[root@ycloud ~]# kubectl get po -owide
NAME                              READY   STATUS             RESTARTS        AGE    IP               NODE     NOMINATED NODE   READINESS GATES
downwardapi-test                  1/1     Running            0               2m7s   100.111.212.28   ycloud   <none>           <none>
[root@ycloud ~]# curl 100.111.212.28/aa.html
downwardapi-test
[root@ycloud ~]# curl 100.111.212.28/bb.html
4

验证查看返回的信息。

目前支持的字段

可通过 fieldRef 获得的信息

  • spec.nodeName - 宿主机名字
  • status.hostIP - 宿主机IP
  • IPmetadata.name - Pod的名字
  • metadata.namespace - Pod的
  • Namespacestatus.podIP - Pod的IP
  • spec.serviceAccountName - Pod的Service Account的名字
  • metadata.uid - Pod的UIDmetadata.labels[‘’] - 指定的Label值
  • metadata.annotations[‘’] - 指定的Annotation值
  • metadata.labels - Pod的所有Label
  • metadata.annotations - Pod的所有Annotation

可通过 resourceFieldRef 获得的信息

  • resource: limits.cpu - 容器的 CPU 限制值

  • resource: requests.cpu - 容器的 CPU 请求值

  • resource: limits.memory - 容器的内存限制值

  • resource: requests.memory - 容器的内存请求值

  • resource: limits.hugepages-* - 容器的巨页限制值

  • resource: requests.hugepages-* - 容器的巨页请求值

  • resource: limits.ephemeral-storage - 容器的临时存储的限制值

  • resource: requests.ephemeral-storage - 容器的临时存储的请求值

serviceAccountToken

我们后面讲解基于角色的权限控制RBAC时在详细讲解

参考文献

https://kubernetes.io/zh-cn/docs/concepts/storage/projected-volumes/

https://kubernetes.io/zh-cn/docs/concepts/storage/volumes/#secret

努力做一名技术
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
k8s投射数据
Neko的博客
03-20 558
文章目录投射数据一、Secret详解1、secret介绍2、secret类型3、创建secret3.1、命令方式创建secret3.2、Yaml方式创建Secret4、使用Secret4.1、在Pod中以文件的形式使用secret4.2、映射secret key到指定的路径4.3、Secret文件权限4.4、secret扩展内容4.5、secret练习实验二、ConfigMap详解1、与 Secret 的区别2、创建ConfigMap2.1 通过命令行参数--from-literal创建2.2 通过指定文件
KubernetesProjected Volume
雪辉博客
07-13 331
Kubernetes 支持的 Projected Volume
kubernetes 通过环境变量暴露POD的信息给容器
纵横四海的博客
05-07 5064
有时候,容器需要获取pod的信息时,就可以通过设置环境保护来实现 例子 1.使用POD 的字段的值作为环境变量的值 apiVersion: v1 kind: Pod metadata: name: dapi-envars-fieldref spec: containers: - name: test-container image: k8s.gcr.i...
Kubernetes容器上下文环境
weixin_33840661的博客
03-16 311
  下面我们将主要介绍运行在Kubernetes集群中的容器所能够感知到的上下文环境,以及容器是如何获知这些信息的。   首先,Kubernetes提供了一个能够让容器感知到集群中正在发生的事情的方法:环境变量。作为容器环境组成的一部分,这些集群信息对于容器构建“集群环境感知”起着非常重要的作用。其次,Kubernetes容器环境还包括一系列与容器生命周期相关的容器钩子,其对应的回调函数hook ...
kubernetes中通过文件将定义pod时的字段信息暴露给容器
山不转的博客
07-16 1945
参考:https://kubernetes.io/docs/tasks/inject-data-application/downward-api-volume-expose-pod-information/本文描述如何将定义pod时的字段如标签、注释等某些字段以文件的形式暴露给容器,使容器在运行时能读到这些字段,注意这里是以文件的形式不是以环境变量的形式。这个特性的主要目的是将定义pod、容器时的...
(k8s)探针、投射数据Secret+ConfigMap
weixin_50382197的博客
06-12 1006
kubectl get configmaps test-config4 -o yaml > hello.yml 去得到一份·yaml文件,然后可以修改。可以写到镜像,但是比较死,一旦容器down掉了就直接没了,因为容器是无状态的,不好管理,写到集群方便管理,先创建后使用。如果起不来,docker可以起来,k8s不行,可能是探针时间问题,还有可能是电脑配置。port可以写协议,但是要在前面定义端口和协议之间的关系,后面就直接能用。如果已经创建好了,但是还需要给这个文件做备份,我们可以使用命令。
Kubernetes Configmap + Secret
lpfstudy的博客
09-13 153
secret。
K8s存储详解(二)
抽象空间的博客
07-25 1304
因此PVC是用户对存储的请求,期望。PV访问模式(accessModes)每个 PV 的访问模式都会设置为对应所支持的模式值。
K8s存储详解(一)
抽象空间的博客
07-25 1359
Pod是由容器构成的,我也知道,容器(如Docker)有个特点就是,容器删除后,在容器中产生的数据也会随之销毁。K8s会监控容器的运行状态,当有容器崩溃或停止时,K8s的Controller会删除这些容器,并重新创建新的容器。EmptyDir是在当 Pod 分派到某个Node节点上时创建的,它的初始内容为空,k8s自动分配一个目录,而无需指定宿主机上对应的目录文件。临时的生命周期与 Pod 的生命周期相同,与 Pod 一起创建和删除,当 Pod 不再存在时,Kubernetes 也会销毁临时
PyPI 官网下载 | kubernetes-9.0.0-py2.py3-none-any.whl
02-09
总的来说,`kubernetes-9.0.0-py2.py3-none-any.whl`是一个方便开发者与Kubernetes集群进行交互的Python库,它简化了对Kubernetes API的操作,使得Python开发者能够更高效地利用云原生的灵活性和强大功能。
Python库 | kubernetes_job-0.3.3-py3-none-any.whl
03-21
**Kubernetes Job** 是Kubernetes中的一个资源对象,设计用来执行一次性任务,或者定期执行的任务。它会确保至少有一个Pod成功完成,即使在Pod失败或被删除的情况下,Job也会根据配置策略重新启动Pod,直到达到预期...
PyPI 官网下载 | kubernetes_wsgi-1-py3-none-any.whl
02-04
Kubernetes云原生计算基金会(CNCF)维护的一个开源容器编排系统,旨在自动化容器化应用的部署、扩展以及管理。Kubernetes通过提供高可用性、可伸缩性和自我修复能力,使得开发者可以更专注于编写应用程序,而无需...
Python库 | kubernetes-7.0.1-py2.py3-none-any.whl
04-23
资源分类:Python库 所属语言:Python 使用前提:需要解压 资源全名:kubernetes-7.0.1-py2.py3-none-any.whl 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
Kubernetes全名及其缩写K8S的正确读音
最新发布
Moehoo猛虎
08-23 266
这个视频给出了Kubernetes全名及其缩写K8S的正确读音。
K8S 版本发版
王小工小工历程
08-21 1059
K8S(Kubernetes)版本发版是一个涉及多个步骤的过程,旨在确保应用程序的顺利升级和部署。
2024-07-12 - 基于 sealos 部署高可用 K8S 管理系统
weixin_36532747的博客
08-20 530
Sealos 是一款以 Kubernetes 为内核的云操作系统发行版。它以云原生的方式,抛弃了传统的云计算架构,转向以 Kubernetes 为云内核的新架构,使企业能够像使用个人电脑一样简单地使用云。selaos 可以快速的完成 K8s 集群的搭建和部署用于产品的快速交付,但是需要具备一定的代码研发能力可以足够掌握软件运行的细节并且结合实际的业务需求进行开发。
基于calico部署k8s集群k8s-1.23.6
shyboyandgirl的博客
08-23 731
swap分区指的是虚拟内存分区,它的作用是物理内存使用完,之后将磁盘空间虚拟成内存来使用,启用swap设备会对系统的性能产生非常负面的影响,因此kubernetes要求每个节点都要禁用swap设备,但是如果因为某些原因确实不能关闭swap分区,就需要在集群安装过程中通过明确的参数进行配置说明。在Kubernetes中Service有两种带来模型,一种是基于iptables的,一种是基于ipvs的两者比较的话,ipvs的性能明显要高一些,但是如果要使用它,需要手动载入ipvs模块。6、禁用swap分区。
k8s篇之kubectl安装命令自动补全插件
小橙子的笔记屋
08-20 313
kubectl安装kubectl命令自动补全插件
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

努力做一名技术

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值