volume

k8s通过数据卷来提供pod数据的持久化,k8s的数据卷是对docker数据卷的扩展,k8s的数据卷是pod级别的,用来实现pod中容器的文件共享

volume是pod中能被多个容器访问的共享目录,k8s中的volume与pod生命周期相同,当容器终止或重启时,volume中的数据不会丢失。

示例

apiVersion: extensions/v1beta1
kind: Deployment
metadata:
  name: frontend
spec:
  replicas: 1
  selector:
    matchLabels:
       tier: frontend
    matchExpressions:
       - {key: tier,operator: In,values: [frontend]}
  template:
    metadata:
      labels:
          app: app-demo
          tier: frontend
    spec:
      volumes:
        - name: datavo1
          emptyDir: {}
      containers:
      - name: tomcat-demo
        image: consol/tomcat-7.0
        imagePullPolicy: IfNotPresent
        volumeMounts:
          - mountPath: /mydata-data     #将emptydir挂在到/mydata-data目录
            name: datavo1
        ports:
        - containerPort: 8080
  • 本地数据卷

emptyDir:

      empytDir volume是在pod分配到node的时创建的,初始内容为空,并且无需指定主机上对应的目录文件(k8s自动分配),只要pod存在,emptydir数据卷都会存在(容器删除不会导致emptydir数据卷丢失),当pod从node上移除时,emptyDir中的数据也会被永久删除

hostPath:

      hostPath为在pod上挂载容器宿主机上的文件或目录,如果pod需要使用宿主机的某些文件,可以使用HostPath

创建一个pod需要使用宿主机的ssl证书,将宿主机的/etc/ssl/certs目录挂载到容器,示例如下

apiVersion: v1
kind: Pod
metadata:
     name: nginx
spec:
     containers:
     - name: nginx
       image: nginx
       ports:
       - containerPort:
          protocol: TCP
       volumeMounts:
          - name: ssl-certs
            mountPath: /etc/ssl/certs
            readOnly: true
      volumes:
         - name: ssl-certs
            hostPath:
                path: /etc/ssl/certs
  • 网络数据卷

NFS:

     使用nfs网路文件系统存储数据(通过tcp/ip访问资源),需要部署一个nfs server,如下:

示例

apiVersion: v1
kind: Pod
metadata:
   name: nfs-web
spec:
   containers:
      - name: web
        image: nginx
        ports:
        - name: web
           containerPort:
        volumeMounts:
         - name: nfs
            mountPath: "/usr/share/nginx/html"
    volumes:
       - name: nfs
         nfs:
            server: nfs.server.default.kube.local    #nfs的server地址
            path: "/"                        #nfs的共享目录

ISCSI

apiVersion: v1
kind: Pod
metadata:
   name: iscsipd
spec:
   containers:
      - name: iscsipd-ro
        image: kubernetes/pause
        volumeMounts:
         - name: iscsi-ro
            mountPath: "/mnt/iscsipd"
      - name: iscsipd-rw
        image: kubernetes/pause
        volumeMounts:
         - name: iscsi-rw
            mountPath: "/mnt/iscsipd"
    volumes:
        - iscsi:
            fsType: ext4                             #文件系统类型
            iqn: iqn.2001-04/com.example:storage.kube.sys1.xyz      #iscis的iqn号
            lun: 0                                #iscis的逻辑单元号
            readOnly: true
            targetPortal: 10.10.10.10:3260        #iscsiTarget服务地址
          name: iscsipd-ro

        - iscsi:
            fsType: ext4
            iqn: iqn.2001-04/com.example:storage.kube.sys1.xyz
            lun: 1
            readOnly: true
            targetPortal: 10.10.10.10:3260
          name: iscsipd-rw

PV(Persistent Volume) 网络存储:

信息数据卷 secret

Git Repo

  kubernetes支持将git Repo下载到pod中,目前通过Git Repo数据卷实现,即当配置Git Repo数据卷时,就下载配置的Git仓库到Pod的数据卷中,然后挂载到容器

[root@k8s_master ~]# cat gitrepo.yaml
apiVersion: v1
kind: Pod
metadata:
  name: busybox
  namespace: default
  labels:
    app: busybox
spec:
  containers:
  - name: busybox
    image: busybox
    command:
    - "sleep"    - "3600"
    volumeMounts:
    - mountPath: /data
      name: busybox-config
  volumes:
    - name: busybox-config
      gitRepo:
        repository: http://username:password@10.10.10.217/root/flagship.git
        revision: master

Namespace命名空间

  Namespce在很多情况下实现了多租户的资源隔离,通过将集群内部的资源对象分配到不同的namespace中,形成逻辑上分组的不同项目、小组或用户组,便于区分管理

k8s启动后,默认创建一个名为“default”的namespace,通过kubectl命令可查看,用户创建的资源对象,默认放到default命名空间中

kubectl get namespaces        #获取命名空间

kubectl get pods(service、rc ) --namespace=<namespace名称>  #获取指定命名空间的资源

Annotation

Annotation与label类似,也是用key=value键值对的形式进行定义,不同的是,lable有严格的命名规则,定义的对象为元数据(metadata)并且用于label selector,而Annotation 是用户定义的任意附加信息

  • build信息、release信息、docker镜像信息。如时间戳、release id号,docker registry地址
  • 日志库、监控库、分析库等资源库地址
  • 程序调试工具信息
  • 团队联系信息

准入控制器(Admission Controller)

  准入控制器(Admission Controller)位于 API Server 中,在对象被持久化之前,准入控制器拦截对 API Server 的请求,一般用来做身份验证和授权。其中包含两个特殊的控制器:MutatingAdmissionWebhook 和 ValidatingAdmissionWebhook。分别作为配置的变异和验证准入控制 webhook

  • 变更(Mutating)准入控制:修改请求的对象
  • 验证(Validating)准入控制:验证请求的对象

准入控制器是在 API Server 的启动参数重配置的。一个准入控制器可能属于以上两者中的一种,也可能两者都属于。当请求到达 API Server 的时候首先执行变更准入控制,然后再执行验证准入控制。

在部署 Kubernetes 集群的时候都会默认开启一系列准入控制器,如果没有设置这些准入控制器的话可以说你的 Kubernetes 集群就是在裸奔,应该只有集群管理员可以修改集群的准入控制器。

默认开启如下的准入控制器。

--admission-control=ServiceAccount,NamespaceLifecycle,NamespaceExists,LimitRanger,ResourceQuota,MutatingAdmissionWebhook,ValidatingAdmissionWebhook

准入控制器列表

Kubernetes 目前支持的准入控制器有:

AlwaysPullImages:此准入控制器修改每个 Pod 的时候都强制重新拉取镜像。
DefaultStorageClass:此准入控制器观察创建PersistentVolumeClaim时不请求任何特定存储类的对象,并自动向其添加默认存储类。这样,用户就不需要关注特殊存储类而获得默认存储类。
DefaultTolerationSeconds:此准入控制器将Pod的容忍时间notready:NoExecute和unreachable:NoExecute 默认设置为5分钟。
DenyEscalatingExec:此准入控制器将拒绝exec 和附加命令到以允许访问宿主机的升级了权限运行的pod。
EventRateLimit (alpha):此准入控制器缓解了 API Server 被事件请求淹没的问题,限制时间速率。
ExtendedResourceToleration:此插件有助于创建具有扩展资源的专用节点。
ImagePolicyWebhook:此准入控制器允许后端判断镜像拉取策略,例如配置镜像仓库的密钥。
Initializers (alpha):Pod初始化的准入控制器,详情请参考动态准入控制。
LimitPodHardAntiAffinityTopology:此准入控制器拒绝任何在 requiredDuringSchedulingRequiredDuringExecution 的 AntiAffinity 字段中定义除了kubernetes.io/hostname 之外的拓扑关键字的 pod 。
LimitRanger:此准入控制器将确保所有资源请求不会超过 namespace 的 LimitRange。
MutatingAdmissionWebhook (1.9版本中为beta):该准入控制器调用与请求匹配的任何变更 webhook。匹配的 webhook是串行调用的;如果需要,每个人都可以修改对象。
NamespaceAutoProvision:此准入控制器检查命名空间资源上的所有传入请求,并检查引用的命名空间是否存在。如果不存在就创建一个命名空间。
NamespaceExists:此许可控制器检查除 Namespace 其自身之外的命名空间资源上的所有请求。如果请求引用的命名空间不存在,则拒绝该请求。
NamespaceLifecycle:此准入控制器强制执行正在终止的命令空间中不能创建新对象,并确保Namespace拒绝不存在的请求。此准入控制器还防止缺失三个系统保留的命名空间default、kube-system、kube-public。
NodeRestriction:该准入控制器限制了 kubelet 可以修改的Node和Pod对象。
OwnerReferencesPermissionEnforcement:此准入控制器保护对metadata.ownerReferences对象的访问,以便只有对该对象具有“删除”权限的用户才能对其进行更改。
PodNodeSelector:此准入控制器通过读取命名空间注释和全局配置来限制可在命名空间内使用的节点选择器。
PodPreset:此准入控制器注入一个pod,其中包含匹配的PodPreset中指定的字段,详细信息见Pod Preset。
PodSecurityPolicy:此准入控制器用于创建和修改pod,并根据请求的安全上下文和可用的Pod安全策略确定是否应该允许它。
PodTolerationRestriction:此准入控制器首先验证容器的容忍度与其命名空间的容忍度之间是否存在冲突,并在存在冲突时拒绝该容器请求。
Priority:此控制器使用priorityClassName字段并填充优先级的整数值。如果未找到优先级,则拒绝Pod。
ResourceQuota:此准入控制器将观察传入请求并确保它不违反命名空间的ResourceQuota对象中列举的任何约束。
SecurityContextDeny:此准入控制器将拒绝任何试图设置某些升级的SecurityContext字段的pod 。
ServiceAccount:此准入控制器实现serviceAccounts的自动化。
用中的存储对象保护:该StorageObjectInUseProtection插件将kubernetes.io/pvc-protection或kubernetes.io/pv-protection终结器添加到新创建的持久卷声明(PVC)或持久卷(PV)。在用户删除PVC或PV的情况下,PVC或PV不会被移除,直到PVC或PV保护控制器从PVC或PV中移除终结器。有关更多详细信息,请参阅使用中的存储对象保护。
ValidatingAdmissionWebhook(1.8版本中为alpha;1.9版本中为beta):该准入控制器调用与请求匹配的任何验证webhook。匹配的webhooks是并行调用的;如果其中任何一个拒绝请求,则请求失败。

对于Kubernetes 1.10及更高版本,建议使用--enable-admission-plugins标志运行以下一组准入控制器(顺序无关紧要)。

注意: --admission-control在1.10中已弃用并替换为--enable-admission-plugins

--enable-admission-plugins=NamespaceLifecycle,LimitRanger,ServiceAccount,DefaultStorageClass,DefaultTolerationSeconds,MutatingAdmissionWebhook,ValidatingAdmissionWebhook,ResourceQuota

对于Kubernetes 1.9及更早版本,建议使用--admission-control标志(顺序有关)运行以下一组许可控制器。

kubernetes 核心技术概念(二)之 volume namespace annoation的更多相关文章

  1. Kubernetes基本概念之Name和NameSpace

    在Kubernetes中,所有对象都会被指定一个唯一的Name和UID. 用户还可以指定一些不要求唯一性的数据附加到对象上,例如Label和Annotation. 1. Name Name是创建一个K ...

  2. Kubernetes的核心技术概念和API对象

    Kubernetes的核心技术概念和API对象 API对象是K8s集群中的管理操作单元.K8s集群系统每支持一项新功能,引入一项新技术,一定会新引入对应的API对象,支持对该功能的管理操作.例如副本集 ...

  3. K8s - Kubernetes重要概念介绍(Cluster、Master、Node、Pod、Controller、Service、Namespace)

    K8s - Kubernetes重要概念介绍(Cluster.Master.Node.Pod.Controller.Service.Namespace)       Kubernetes 是目前发展最 ...

  4. Kubernetes笔记(二):了解k8s的基本组件与概念

    前文 Kubernetes笔记(一):十分钟部署一套K8s环境 介绍了如何快速搭建一个k8s系统.为了继续使用k8s来部署我们的应用,需要先对k8s中的一些基本组件与概念有个了解. Kubernete ...

  5. 01 . 容器编排简介及Kubernetes核心概念

    Kubernetes简介 Kubernetes是谷歌严格保密十几年的秘密武器-Borg的一个开源版本,是Docker分布式系统解决方案.2014年由Google公司启动. Kubernetes提供了面 ...

  6. 第3 章 : Kubernetes 核心概念

    Kubernetes 核心概念 本文整理自 CNCF 和阿里巴巴联合举办的云原生技术公开课的课时 3:Kubernetes 核心概念.本次课程中,阿里巴巴资深技术专家.CNCF 9个 TCO 之一 李 ...

  7. kubernetes核心概念

    摘抄自:  https://www.cnblogs.com/zhenyuyaodidiao/p/6500720.html 1.基础架构 1.1 Master Master节点上面主要由四个模块组成:A ...

  8. Kubernetes核心概念总结

    目录贴:Kubernetes学习系列 1.基础架构 1.1 Master Master节点上面主要由四个模块组成:APIServer.scheduler.controller manager.etcd ...

  9. kubernetes基本概念和术语

    一. kubernetes是什么 kubernetes是一个全新得基于容器技术得分布式架构领先方案.是google Borg得一个开源版本.Borg是google得一个久负盛名得内部使用得大规模集群管 ...

随机推荐

  1. 如何将Eclipse的javaWeb项目改为IDEA的maven项目

    1.首先去IDEA开发工具创建一个maven项目,把该项目改为Web项目, a.在pom.xml中,添加packaging标签,值为war b.右键File,选中project structure, ...

  2. 好代码是管出来的——.Net Core中的单元测试与代码覆盖率

    测试对于软件来说,是保证其质量的一个重要过程,而测试又分为很多种,单元测试.集成测试.系统测试.压力测试等等,不同的测试的测试粒度和测试目标也不同,如单元测试关注每一行代码,集成测试关注的是多个模块是 ...

  3. 轻松学习UML之类图,状态图

    本文主要讲解UML图中的类图与状态图相关内容,如有不足之处,还请指正. 概述 统一建模语言(UML,UnifiedModelingLanguage)是面向对象软件的标准化建模语言,UML因其简单.统一 ...

  4. 数据库原理 - 序列4 - 事务是如何实现的? - Redo Log解析(续)

    > 本文节选自<软件架构设计:大型网站技术架构与业务架构融合之道>第6.4章节. 作者微信公众号:> 架构之道与术.进入后,可以加入书友群,与作者和其他读者进行深入讨论.也可以 ...

  5. EF 底层封装方法(供参考)

    闲暇之余,整理了一下EF底层的一些基础方法,供查看,只有接口,具体实现需要你们自己写了. 建议:接口的实现定义为虚方法,当父类的方法不满住子类需求时,可以重写此方法 此接口都为公用方法,基本上满足小系 ...

  6. Swift中 删除Array的元素对象

    Swift中Array的删除对象 在Swift中数组Array没有removeObject的方法 1.找到下标 let model_index = selectedArray.index(where: ...

  7. Windows系统在本地配置一个apache域名的方法

    我使用的xampp 1.修改C:\Windows\System32\drivers\etc中的hosts文件,添加127.0.0.1 www.feiquan.com 2.修改D:\xampp\apac ...

  8. css之overflow应用

    overflow应用的两个小例子: 1.单行文本出现省略号的情况 <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional// ...

  9. Django 数据库读写分离 分库分表

    多个数据库 配置: DATABASES = { 'default': { 'ENGINE': 'django.db.backends.sqlite3', 'NAME': os.path.join(BA ...

  10. Angular CLI 升级 6.0 之后遇到的问题

    Angular CLI 1.7.4 在使用 ng build --prod 会构建失败,而 ng build 是正常的.比较好的解决办法是使用 ng build --prod --extract-li ...