k8s中特殊的Vloume:project Volume
他们存在的意义不是为了存放容器的数据,也不是用来容器与宿主机的数据交互。是为容器提供预先定义好的数据。
以下四种project Volume:
1.Secret:把pod访问的加密数据存放到Etcd中。后通过挂载方式访问到Secret里保存的信息。
2.ConfigMap:
3.Downward API:
4.ServiceAccountRoken:
image.png
在上诉pod中,定义的容器挂载了projected,这个volume的数据来源(sources)对应-user -pass的对象。这里用到的数据,正是以Secret对象的方式交给k8s保存。
如下:创建Secret对象
image.png
如下通过YML文件创建Secret对象:
image.png
由上可得:Secret对象只有一个。但是他的data字段却key-value的方式保留两份数据。
需要注意的是:Secret对象要求数据是必须Base64转码的。
image.png
以上只是转码并没有加密,生产环境中需要开启Secret的加密插件,增强数据的安全性。
创建pod:
image.png
当pod变成running之后,secret对象是不是已经在容器中了:
image.png
从返回的结果我们可以看出已经指向data字段的key了。数据来源于Etcd。
与Secret类似的Configmap:它保存的是不需要加密的,应该需要的配置信息。
如何把文件保存到ConfigMap中:
image.png
kubectl get -o yaml 这样的参数。会将指定的Pod API 对象以YAML的方式展现出来。
而Downward API,让pod的里面的容器能够直接获取到这个Pod API对象的信息。
例子:
image.png
由上面的pod的YML文件中可得,一个容器声明了project类型的Volume,只不过来源变成了Downward API。,需要声明了要暴露Pod的metadata.labels给容器。
通过这样的声明方式: 当前Pod的labels字段的值,就会呗Kubernetes自动挂载成为 /etc/podinfo/labels
这个容器启动之后就是不断的打印容器的Labels的字段。
image.png
image.png
Service Account
1.可否再pod中安装一个k8s的client,这样就可以从容器里直接访问并且操作k8s的API。 可。需要解决API server 授权问题。
1.1Service Account的授权信息实际上它保存再一个特殊的Secret对象中。即;ServiceAccountToken.任何k8s集群上的应用都必须使用这个的授权信息。,也就是token,才可以合法访问APIserver。
为了方便使用k8s已经提供了默认的服务账户,运行再pod之中,无需声明挂载。
如何做到的呢?
主要靠的是 projected Volume机制。
image.png
pod的健康检测与恢复机制。
在k8s中,你可以为pod里面的容器定义一个健康检查”探针“:Probe。kubelet就会根据这个Probe的放回值决定容器的状态。pod恢复机制,在任何时候容器发生了异常,都会被重建。
image.png
网友评论