volume

k8s通过数据卷来提供pod数据的持久化,k8s的数据卷是对docker数据卷的扩展,k8s的数据卷是pod级别的,用来实现pod中容器的文件共享

volume是pod中能被多个容器访问的共享目录,k8s中的volume与pod生命周期相同,当容器终止或重启时,volume中的数据不会丢失。

示例

apiVersion: extensions/v1beta1
kind: Deployment
metadata:
  name: frontend
spec:
  replicas: 1
  selector:
    matchLabels:
       tier: frontend
    matchExpressions:
       - {key: tier,operator: In,values: [frontend]}
  template:
    metadata:
      labels:
          app: app-demo
          tier: frontend
    spec:
      volumes:
        - name: datavo1
          emptyDir: {}
      containers:
      - name: tomcat-demo
        image: consol/tomcat-7.0
        imagePullPolicy: IfNotPresent
        volumeMounts:
          - mountPath: /mydata-data     #将emptydir挂在到/mydata-data目录
            name: datavo1
        ports:
        - containerPort: 8080
  • 本地数据卷

emptyDir:

      empytDir volume是在pod分配到node的时创建的,初始内容为空,并且无需指定主机上对应的目录文件(k8s自动分配),只要pod存在,emptydir数据卷都会存在(容器删除不会导致emptydir数据卷丢失),当pod从node上移除时,emptyDir中的数据也会被永久删除

hostPath:

      hostPath为在pod上挂载容器宿主机上的文件或目录,如果pod需要使用宿主机的某些文件,可以使用HostPath

创建一个pod需要使用宿主机的ssl证书,将宿主机的/etc/ssl/certs目录挂载到容器,示例如下

apiVersion: v1
kind: Pod
metadata:
     name: nginx
spec:
     containers:
     - name: nginx
       image: nginx
       ports:
       - containerPort:
          protocol: TCP
       volumeMounts:
          - name: ssl-certs
            mountPath: /etc/ssl/certs
            readOnly: true
      volumes:
         - name: ssl-certs
            hostPath:
                path: /etc/ssl/certs
  • 网络数据卷

NFS:

     使用nfs网路文件系统存储数据(通过tcp/ip访问资源),需要部署一个nfs server,如下:

示例

apiVersion: v1
kind: Pod
metadata:
   name: nfs-web
spec:
   containers:
      - name: web
        image: nginx
        ports:
        - name: web
           containerPort:
        volumeMounts:
         - name: nfs
            mountPath: "/usr/share/nginx/html"
    volumes:
       - name: nfs
         nfs:
            server: nfs.server.default.kube.local    #nfs的server地址
            path: "/"                        #nfs的共享目录

ISCSI

apiVersion: v1
kind: Pod
metadata:
   name: iscsipd
spec:
   containers:
      - name: iscsipd-ro
        image: kubernetes/pause
        volumeMounts:
         - name: iscsi-ro
            mountPath: "/mnt/iscsipd"
      - name: iscsipd-rw
        image: kubernetes/pause
        volumeMounts:
         - name: iscsi-rw
            mountPath: "/mnt/iscsipd"
    volumes:
        - iscsi:
            fsType: ext4                             #文件系统类型
            iqn: iqn.2001-04/com.example:storage.kube.sys1.xyz      #iscis的iqn号
            lun: 0                                #iscis的逻辑单元号
            readOnly: true
            targetPortal: 10.10.10.10:3260        #iscsiTarget服务地址
          name: iscsipd-ro

        - iscsi:
            fsType: ext4
            iqn: iqn.2001-04/com.example:storage.kube.sys1.xyz
            lun: 1
            readOnly: true
            targetPortal: 10.10.10.10:3260
          name: iscsipd-rw

PV(Persistent Volume) 网络存储:

信息数据卷 secret

Git Repo

  kubernetes支持将git Repo下载到pod中,目前通过Git Repo数据卷实现,即当配置Git Repo数据卷时,就下载配置的Git仓库到Pod的数据卷中,然后挂载到容器

[root@k8s_master ~]# cat gitrepo.yaml
apiVersion: v1
kind: Pod
metadata:
  name: busybox
  namespace: default
  labels:
    app: busybox
spec:
  containers:
  - name: busybox
    image: busybox
    command:
    - "sleep"    - "3600"
    volumeMounts:
    - mountPath: /data
      name: busybox-config
  volumes:
    - name: busybox-config
      gitRepo:
        repository: http://username:password@10.10.10.217/root/flagship.git
        revision: master

Namespace命名空间

  Namespce在很多情况下实现了多租户的资源隔离,通过将集群内部的资源对象分配到不同的namespace中,形成逻辑上分组的不同项目、小组或用户组,便于区分管理

k8s启动后,默认创建一个名为“default”的namespace,通过kubectl命令可查看,用户创建的资源对象,默认放到default命名空间中

kubectl get namespaces        #获取命名空间

kubectl get pods(service、rc ) --namespace=<namespace名称>  #获取指定命名空间的资源

Annotation

Annotation与label类似,也是用key=value键值对的形式进行定义,不同的是,lable有严格的命名规则,定义的对象为元数据(metadata)并且用于label selector,而Annotation 是用户定义的任意附加信息

  • build信息、release信息、docker镜像信息。如时间戳、release id号,docker registry地址
  • 日志库、监控库、分析库等资源库地址
  • 程序调试工具信息
  • 团队联系信息

准入控制器(Admission Controller)

  准入控制器(Admission Controller)位于 API Server 中,在对象被持久化之前,准入控制器拦截对 API Server 的请求,一般用来做身份验证和授权。其中包含两个特殊的控制器:MutatingAdmissionWebhook 和 ValidatingAdmissionWebhook。分别作为配置的变异和验证准入控制 webhook

  • 变更(Mutating)准入控制:修改请求的对象
  • 验证(Validating)准入控制:验证请求的对象

准入控制器是在 API Server 的启动参数重配置的。一个准入控制器可能属于以上两者中的一种,也可能两者都属于。当请求到达 API Server 的时候首先执行变更准入控制,然后再执行验证准入控制。

在部署 Kubernetes 集群的时候都会默认开启一系列准入控制器,如果没有设置这些准入控制器的话可以说你的 Kubernetes 集群就是在裸奔,应该只有集群管理员可以修改集群的准入控制器。

默认开启如下的准入控制器。

--admission-control=ServiceAccount,NamespaceLifecycle,NamespaceExists,LimitRanger,ResourceQuota,MutatingAdmissionWebhook,ValidatingAdmissionWebhook

准入控制器列表

Kubernetes 目前支持的准入控制器有:

AlwaysPullImages:此准入控制器修改每个 Pod 的时候都强制重新拉取镜像。
DefaultStorageClass:此准入控制器观察创建PersistentVolumeClaim时不请求任何特定存储类的对象,并自动向其添加默认存储类。这样,用户就不需要关注特殊存储类而获得默认存储类。
DefaultTolerationSeconds:此准入控制器将Pod的容忍时间notready:NoExecute和unreachable:NoExecute 默认设置为5分钟。
DenyEscalatingExec:此准入控制器将拒绝exec 和附加命令到以允许访问宿主机的升级了权限运行的pod。
EventRateLimit (alpha):此准入控制器缓解了 API Server 被事件请求淹没的问题,限制时间速率。
ExtendedResourceToleration:此插件有助于创建具有扩展资源的专用节点。
ImagePolicyWebhook:此准入控制器允许后端判断镜像拉取策略,例如配置镜像仓库的密钥。
Initializers (alpha):Pod初始化的准入控制器,详情请参考动态准入控制。
LimitPodHardAntiAffinityTopology:此准入控制器拒绝任何在 requiredDuringSchedulingRequiredDuringExecution 的 AntiAffinity 字段中定义除了kubernetes.io/hostname 之外的拓扑关键字的 pod 。
LimitRanger:此准入控制器将确保所有资源请求不会超过 namespace 的 LimitRange。
MutatingAdmissionWebhook (1.9版本中为beta):该准入控制器调用与请求匹配的任何变更 webhook。匹配的 webhook是串行调用的;如果需要,每个人都可以修改对象。
NamespaceAutoProvision:此准入控制器检查命名空间资源上的所有传入请求,并检查引用的命名空间是否存在。如果不存在就创建一个命名空间。
NamespaceExists:此许可控制器检查除 Namespace 其自身之外的命名空间资源上的所有请求。如果请求引用的命名空间不存在,则拒绝该请求。
NamespaceLifecycle:此准入控制器强制执行正在终止的命令空间中不能创建新对象,并确保Namespace拒绝不存在的请求。此准入控制器还防止缺失三个系统保留的命名空间default、kube-system、kube-public。
NodeRestriction:该准入控制器限制了 kubelet 可以修改的Node和Pod对象。
OwnerReferencesPermissionEnforcement:此准入控制器保护对metadata.ownerReferences对象的访问,以便只有对该对象具有“删除”权限的用户才能对其进行更改。
PodNodeSelector:此准入控制器通过读取命名空间注释和全局配置来限制可在命名空间内使用的节点选择器。
PodPreset:此准入控制器注入一个pod,其中包含匹配的PodPreset中指定的字段,详细信息见Pod Preset。
PodSecurityPolicy:此准入控制器用于创建和修改pod,并根据请求的安全上下文和可用的Pod安全策略确定是否应该允许它。
PodTolerationRestriction:此准入控制器首先验证容器的容忍度与其命名空间的容忍度之间是否存在冲突,并在存在冲突时拒绝该容器请求。
Priority:此控制器使用priorityClassName字段并填充优先级的整数值。如果未找到优先级,则拒绝Pod。
ResourceQuota:此准入控制器将观察传入请求并确保它不违反命名空间的ResourceQuota对象中列举的任何约束。
SecurityContextDeny:此准入控制器将拒绝任何试图设置某些升级的SecurityContext字段的pod 。
ServiceAccount:此准入控制器实现serviceAccounts的自动化。
用中的存储对象保护:该StorageObjectInUseProtection插件将kubernetes.io/pvc-protection或kubernetes.io/pv-protection终结器添加到新创建的持久卷声明(PVC)或持久卷(PV)。在用户删除PVC或PV的情况下,PVC或PV不会被移除,直到PVC或PV保护控制器从PVC或PV中移除终结器。有关更多详细信息,请参阅使用中的存储对象保护。
ValidatingAdmissionWebhook(1.8版本中为alpha;1.9版本中为beta):该准入控制器调用与请求匹配的任何验证webhook。匹配的webhooks是并行调用的;如果其中任何一个拒绝请求,则请求失败。

对于Kubernetes 1.10及更高版本,建议使用--enable-admission-plugins标志运行以下一组准入控制器(顺序无关紧要)。

注意: --admission-control在1.10中已弃用并替换为--enable-admission-plugins

--enable-admission-plugins=NamespaceLifecycle,LimitRanger,ServiceAccount,DefaultStorageClass,DefaultTolerationSeconds,MutatingAdmissionWebhook,ValidatingAdmissionWebhook,ResourceQuota

对于Kubernetes 1.9及更早版本,建议使用--admission-control标志(顺序有关)运行以下一组许可控制器。

kubernetes 核心技术概念(二)之 volume namespace annoation的更多相关文章

  1. Kubernetes基本概念之Name和NameSpace

    在Kubernetes中,所有对象都会被指定一个唯一的Name和UID. 用户还可以指定一些不要求唯一性的数据附加到对象上,例如Label和Annotation. 1. Name Name是创建一个K ...

  2. Kubernetes的核心技术概念和API对象

    Kubernetes的核心技术概念和API对象 API对象是K8s集群中的管理操作单元.K8s集群系统每支持一项新功能,引入一项新技术,一定会新引入对应的API对象,支持对该功能的管理操作.例如副本集 ...

  3. K8s - Kubernetes重要概念介绍(Cluster、Master、Node、Pod、Controller、Service、Namespace)

    K8s - Kubernetes重要概念介绍(Cluster.Master.Node.Pod.Controller.Service.Namespace)       Kubernetes 是目前发展最 ...

  4. Kubernetes笔记(二):了解k8s的基本组件与概念

    前文 Kubernetes笔记(一):十分钟部署一套K8s环境 介绍了如何快速搭建一个k8s系统.为了继续使用k8s来部署我们的应用,需要先对k8s中的一些基本组件与概念有个了解. Kubernete ...

  5. 01 . 容器编排简介及Kubernetes核心概念

    Kubernetes简介 Kubernetes是谷歌严格保密十几年的秘密武器-Borg的一个开源版本,是Docker分布式系统解决方案.2014年由Google公司启动. Kubernetes提供了面 ...

  6. 第3 章 : Kubernetes 核心概念

    Kubernetes 核心概念 本文整理自 CNCF 和阿里巴巴联合举办的云原生技术公开课的课时 3:Kubernetes 核心概念.本次课程中,阿里巴巴资深技术专家.CNCF 9个 TCO 之一 李 ...

  7. kubernetes核心概念

    摘抄自:  https://www.cnblogs.com/zhenyuyaodidiao/p/6500720.html 1.基础架构 1.1 Master Master节点上面主要由四个模块组成:A ...

  8. Kubernetes核心概念总结

    目录贴:Kubernetes学习系列 1.基础架构 1.1 Master Master节点上面主要由四个模块组成:APIServer.scheduler.controller manager.etcd ...

  9. kubernetes基本概念和术语

    一. kubernetes是什么 kubernetes是一个全新得基于容器技术得分布式架构领先方案.是google Borg得一个开源版本.Borg是google得一个久负盛名得内部使用得大规模集群管 ...

随机推荐

  1. Debain/Ubuntu/Deepin 下使用 ss

    如果你有一台 ss 的服务器,在 Debian Like 的环境下要如何***呢? 安装 ss 客户端 如果还没安装 pip 就得先安装 sudo apt-get install python-pip ...

  2. Storm入门-Storm与Spark对比

    作为一名程序员通病就是不安分,对业界的技术总要折腾一番,哪怕在最终实际工作中应用到的就那么一点.最近自己准备入门Storm学习,关于流式大数据框架目前比较流行的有Spark和Storm等,在入门之前, ...

  3. ubuntu如何安装chromium浏览器并设置成中文版

    在Ubuntu上使用APT安装Chromium有3种方法: 1.在Ubuntu软件中心输入chromium,然后在结果中选择安装即可. 2.在新立得软件包管理器中输入chromium,然后标记安装即可 ...

  4. 如莲开发平台(MIS基础框架、Java技术、B/S结构)

    关于     「如莲」是一套MIS类系统基础框架,主要用于各类“管理信息系统”的开发,也适合做网站后台开发.可省去开发时的框架搭建.规范约定.权限管理等基础工作,直接专注于业务功能实现.     「如 ...

  5. 解决consul覆盖注册

    默认注册consul的服务id为服务名-端口号,相同的服务名和端口号注册会覆盖 解决方式: 1.自定义Consul注册Id import com.ecwid.consul.v1.ConsulClien ...

  6. JavaScript判断对象是否是NULL

    这个方法是我踩了很多坑之后找到的,对数组等类型的对象都很好使,果断收藏! function isEmpty(obj) { // 检验 undefined 和 null if (!obj &&a ...

  7. codeblocks-17.12mingw-nosetup(mingw编译,绿色免安装版)的下载、安装及设置一

    一.先进入网址:http://www.codeblocks.org/downloads/,选择Download the binary release. 二.转换网页后,选择codeblocks-17. ...

  8. MacOS10.14下Eclipse安装lombok

    按照网上的教程来做,会导致eclipse启动不了,这里记录一下解决方案: 一.复制lombok.jar到../Eclipse/下 二.修改eclipse.ini,在末尾追加: -Xbootclassp ...

  9. 菜鸟学IT之python词云初体验

    作业来源:https://edu.cnblogs.com/campus/gzcc/GZCC-16SE1/homework/2822 1. 下载一长篇中文小说. 2. 从文件读取待分析文本. txt = ...

  10. 虚拟机网络连接方式导致的p地址为10.0.2.*的问题

    全世界都知道通过 ifconfig 命令查看本机ip地址,我当然希望安装的虚拟机和当前局域网的其他机器一样内网ip为192.168.1.*,如下图所示: 而当我执行该命令时,实际情况却是这样的: 解决 ...