Heaven.Blog

对于K8S这样一个云上服务管理集群来说

将文件等持久化数据放在本地存储是不可靠的,所以需要将数据放在远端持久化存储中

基本架构如下图

容器通过挂载点和远端的存储进行沟通

而在Kubernetes中,支持的挂载存储多达28种数据卷类型

非持久化村存储,也就是服务器本地存储

emptyDir

HostPath

网络存储

SAN:iSCSI,ScaleIO Volumes FC

NFS: nfs,cfs

分布式存储

Glusterfs

RBD

CephFS

Portworx Volumes

Quobyte Volumes

云端存储

GCEPersistentDisk

AWSElasticBlockStore

AzureFile

AzureDisk

Cinder (OpenStack block storage)

VsphereVolume

StorageOS

以及配置相关的

Configmap

Secret

然后在其中,Secret和Configmap使我们需要说的

Secret用于保存敏感信息,比如密码,OAuth令牌,SSH秘钥等

将这些放在K8S中保存比明文更加灵活,类型主要包含下面

关于如何创建和Secret和Pod如何使用Secret,是我们接下来要讲解的对象

1.      创建Secret

首先可以使用基本字符串

Kubectl create secret generic dev-db-secret \

–from-literal=username=devuser

–from-liternal=password=’S!B\*d$zDsb=’

这样我们创建的Secret中存储的数据,是被Base64加密过得

或者我们使用文件来创建Secret

echo -n ‘admin’ > ./username.txt

echo -n ‘1f2d1e2e67df’ > ./password.txt

kubectl create secret generic db-user-pass \

–from-file=./username.txt \

–from-file=./password.txt

这样创建出来的Secret 中数据也是被Base64加密过的

最后是使用yaml文件创造出来的

apiVersion: v1

kind: Secret

metadata:

name: dev-db-secret

data:

password: UyFCXCpkJHpEc2I9  ## base64编码了一下

username: ZGV2dXNlcg==

这样创建出来的Secret中存储的数据就是我们声明的数据

其次是关于Secret的挂载使用

我们之前说过了使用Secret来挂载访问Docekr私仓

即配置

Spec:

Containers:

–       Name: nginx

Image: xxxx

ImagePullSecrets:

–       Name :secretname

其次我们可以使用环境变量引用的方式来使用Secret

在对应的env中声明valueFrom,表明为secretKeyRef,从而使用secret的属性

# secret保存在集群的etcd里面 apiVersion: v1 kind: Pod metadata: name: “pod-secret” namespace: default labels: app: “pod-secret” spec: containers: – name: pod-secret image: “busybox” command: [“/bin/sh”,”-c”,”sleep 3600″]  ## echo $My_USR resources: limits: cpu: 10m ###  1核代表1000m requests: cpu: 5m env: – name: MY_USR  ### 容器里的环境变量名字 valueFrom: secretKeyRef: ## secret的内容 name:  dev-db-secret #指定secret名字 key: username  ### 自动base64解码 – name: POD_NAME valueFrom: fieldRef: ## 属性引用 fieldPath: metadata.name  ## 取出资源对象信息 – name: POD_LIMIT_MEM valueFrom: resourceFieldRef: containerName: pod-secret  ## 取出指定容器的相关资源值 resource: limits.cpu

除此之外,还可以使用

ResourceFieldReg,来取出容器相关的资源之

比如limits.cpu

以及fieldRef,取出资源对象相关的信息

比如metadata.namespaces

但是有着对应的缺点,就是在Secret文件更新的时候,不会自动刷新环境变量

还有一种办法就是以文件的方式挂载到Pod的指定目录中

首先在pod的containers中同级的volumes

声明一个secret

Secret中可以配置项并不少

包含defaultmode,items这些

然后在containers中声明使用volumeMounts 使用

然后是configmap

其实使用方式和Secret类似,由于是不加密的,所以适合存储环境变量等信息

创建方式也是可以直接书写

kubectl create configmap my-config –from-literal=key1=config1 –from-literal=key2=config2或者通过指定key和文件

kubectl create configmap my-config –from-literal=key1=config1 –from-literal=key2=config2

以及通过yaml文件声明

apiVersion: v1

kind: ConfigMap

metadata:

name: game-demo

data:

# 类属性键；每一个键都映射到一个简单的值

player_initial_lives: “3”

ui_properties_file_name: “user-interface.properties”

# 类文件键

game.properties: |

enemy.types=aliens,monsters

player.maximum-lives=5

user-interface.properties: |

color.good=purple

color.bad=yellow

allow.textmode=true

上面我们使用:冒号后面跟着一个 |来表示

这个key后面跟着多个value,这种方式方便我们未来进行挂载

对于使用来说

也是可以进行设置为环境变量

也和上面的使用方式一样

在pod.spec.containers.port中,有可填项 configMapKeyRef

– name: PLAYER_INITIAL_LIVES # 请注意这里和 ConfigMap 中的键名是不一样的

valueFrom:

configMapKeyRef:

name: game-demo           # 这个值来自 ConfigMap

key: player_initial_lives # 需要取值的键

name仍然为ConfigMap

key为要取值的键

同样,缺点在于如果环境变量,是没有办法进行热更新的

其次是通过volume方式进行挂载

仍然是在containers同级中volumes中声明一个volume

volumes: # 你可以在 Pod 级别设置卷，然后将其挂载到 Pod 内的容器中 – name: config configMap: # 提供你想要挂载的 ConfigMap 的名字 name: game-demo # 来自 ConfigMap 的一组键，将被创建为文件 items: – key: “game.properties” path: “game.properties” – key: “user-interface.properties” path: “user-interface.properties”

其中我们制定了

挂载的configmap的name

然后是可选项的item

其中有key和path是必填的

Key指定了configMap中的key,path指定了具体挂载的路径

这一点可以触发自动更新

之后是关于Kuberentes中的临时存储

分为了emptyDir 和 hostPath

首先是emptyDir

EmptyDir是K8S随机生成的宿主机上的目录,供不同的容器进行读写

在Pod被删除的时候,其中的数据也会被永久删除

但是当容器被删除的时候,数据不会发生改变

一个典型的声明了挂载emptyDir的yaml文件如下

apiVersion: v1

kind: Pod

metadata:

name: “multi-container-pod”

namespace: default

labels:

app: “multi-container-pod”

spec:

volumes:    ### 以后见到的所有名字 都应该是一个合法的域名方式

– name: nginx-vol

emptyDir: {}  ### docker匿名挂载，外部创建一个位置  /abc

containers:  ## kubectl exec -it podName  -c nginx-container（容器名）– /bin/sh

– name: nginx-container

image: “nginx”

volumeMounts:  #声明卷挂载  -v

– name: nginx-vol

mountPath: /usr/share/nginx/html

– name: content-container

image: “alpine”

command: [“/bin/sh”,”-c”,”while true;do sleep 1; date > /app/index.html;done;”]

volumeMounts:

– name: nginx-vol

mountPath: /app

无论是hostPath还是emptyDir

都是可以在volumeMount中配置subPath

但是需要注意,如果configMap或者Secret配置了subPath,那么当上述两者发生变化的时候,不会自动更新

而在emptyDir中,还有些可选配置项

其中medium选项可以配置””空字符串或者memory

如果配置为空字符串,那么就生成一个临时文件夹,设置为memory,就是将文件放在内存中

SizeLimit 配合上面的memory 使用的,设置内存大小

其次是hostPath

就是讲容器内部和宿主机做一个映射

基本的yaml如下

apiVersion: v1

kind: Pod

metadata:

name: test-pd

spec:

containers:

– image: k8s.gcr.io/test-webserver

name: test-container

volumeMounts:

– mountPath: /test-pd

name: test-volume

volumes:

– name: test-volume

hostPath:

# 宿主上目录位置

path: /data

# 此字段为可选

type: Directory

就是在hostPath上声明一个宿主机路径,将其挂载到容器内部的目录中

下面的type为Directory,表示是一个目录,除了这个type还有一些如下

在hostPath的最后,来看一个典型案例

apiVersion: v1

kind: Pod

metadata:

name: busy-box-test

namespace: default

spec:

restartPolicy: OnFailure

containers:

– name: busy-box-test

image: busybox

imagePullPolicy: IfNotPresent

volumeMounts:

– name: date-config

mountPath: /etc/localtime

command: [“sleep”, “60000”]

volumes:

– name: date-config

hostPath:

path: /etc/localtime

将宿主机的时间分享给容器内部,保证时间一致,类似的还有,将宿主机上的docker socket分享给容器内部,让容器可以调用宿主机的docker 接口