Kubernetes项目中的Projected Volumes详解

于 2025-06-09 09:01:16 发布
阅读量231 收藏 9
点赞数 4
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gitblog_00045/article/details/148523507

Kubernetes项目中的Projected Volumes详解

website Kubernetes website and documentation repo: website 项目地址: https://gitcode.com/gh_mirrors/webs/website

概述

在Kubernetes中,Projected Volumes(投射卷)是一种特殊的卷类型,它允许将多个不同类型的卷源映射到同一个目录中。这种设计为容器提供了统一访问多种配置和敏感数据的方式,同时保持了Kubernetes资源管理的灵活性。

核心概念

Projected Volume本质上是一个虚拟目录,它将以下类型的卷源合并到同一个挂载点:

  1. Secret:用于存储敏感信息,如密码、OAuth令牌等
  2. DownwardAPI:用于将Pod和容器元数据暴露给容器
  3. ConfigMap:用于存储非敏感的配置数据
  4. ServiceAccountToken:用于注入服务账户令牌
  5. ClusterTrustBundle:用于注入集群信任包(需要特定功能门控)

所有源必须与Pod位于同一命名空间中,这是Kubernetes安全模型的基本要求。

配置示例

基础配置示例

下面是一个典型的Projected Volume配置示例,它同时包含了Secret、DownwardAPI和ConfigMap:

apiVersion: v1
kind: Pod
metadata:
  name: volume-test
spec:
  containers:
  - name: container-test
    image: busybox:1.28
    volumeMounts:
    - name: all-in-one
      mountPath: "/projected-volume"
      readOnly: true
  volumes:
  - name: all-in-one
    projected:
      sources:
      - secret:
          name: mysecret
          items:
            - key: username
              path: my-group/my-username
      - downwardAPI:
          items:
            - path: "labels"
              fieldRef:
                fieldPath: metadata.labels
      - configMap:
          name: myconfigmap
          items:
            - key: config
              path: my-group/my-config

权限模式设置

Projected Volume支持设置文件权限模式:

apiVersion: v1
kind: Pod
metadata:
  name: volume-test
spec:
  containers:
  - name: container-test
    image: busybox:1.28
    volumeMounts:
    - name: all-in-one
      mountPath: "/projected-volume"
  volumes:
  - name: all-in-one
    projected:
      sources:
      - secret:
          name: mysecret
          items:
            - key: username
              path: my-group/my-username
              mode: 511
      - configMap:
          name: myconfigmap
          items:
            - key: config
              path: my-group/my-config
              mode: 511
      defaultMode: 0755

注意:

  • defaultMode设置整个投射卷的默认权限
  • 每个源可以单独设置mode覆盖默认值
  • 权限值使用八进制表示(如511对应八进制0777)

ServiceAccountToken投射卷

ServiceAccountToken是一种特殊类型的投射卷,用于将服务账户令牌注入Pod:

apiVersion: v1
kind: Pod
metadata:
  name: sa-token-test
spec:
  containers:
  - name: container-test
    image: busybox:1.28
    volumeMounts:
    - name: token-vol
      mountPath: "/service-account"
      readOnly: true
  serviceAccountName: default
  volumes:
  - name: token-vol
    projected:
      sources:
      - serviceAccountToken:
          audience: api
          expirationSeconds: 3600
          path: token

关键参数说明:

  • audience:令牌的目标受众,默认为API服务器
  • expirationSeconds:令牌有效期(默认1小时,最小10分钟)
  • path:令牌文件在卷中的相对路径

ClusterTrustBundle投射卷

ClusterTrustBundle是Kubernetes中用于管理集群信任证书的高级功能:

apiVersion: v1
kind: Pod
metadata:
  name: pod-with-cluster-trust-bundle
spec:
  containers:
  - name: test-container
    image: registry.k8s.io/busybox
    volumeMounts:
    - name: cluster-trust-bundle
      mountPath: "/etc/cluster-trust-bundle"
      readOnly: true
  volumes:
  - name: cluster-trust-bundle
    projected:
      sources:
      - clusterTrustBundle:
          name: example.com:mysigner:foo
          signerName: "example.com/mysigner"
          labelSelector:
            matchLabels:
              environment: production
          path: "foo.pem"
          optional: false

特点:

  • 支持按名称或签名者名称选择证书包
  • 自动合并和更新证书文件
  • 可设置optional控制启动行为

安全上下文交互

Linux系统

在Linux Pod中,当设置了RunAsUser时:

  • 投射文件将具有正确的所有权设置
  • 服务账户令牌文件权限默认为0600
  • 临时容器必须使用相同的runAsUser才能访问令牌

Windows系统

Windows系统有所不同:

  • 由于SAM数据库隔离,所有权设置不被强制执行
  • 默认情况下,管理员用户具有完全控制权,普通用户具有读取和执行权限
  • 不建议在Windows Pod中使用RunAsUser

最佳实践

  1. 合理设置文件权限,遵循最小权限原则
  2. 敏感数据应使用Secret而非ConfigMap
  3. 服务账户令牌应设置适当的有效期
  4. 避免在Windows Pod中使用Linux特有的安全设置
  5. 使用optional字段处理可能缺失的资源

通过合理使用Projected Volumes,可以简化容器配置管理,提高安全性,同时保持配置的灵活性和可维护性。

website Kubernetes website and documentation repo: website 项目地址: https://gitcode.com/gh_mirrors/webs/website

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

Kubernetes安全专家(CKS)实践指南:6个关键案例详解
TechEnthusiast的博客
09-22 300
本文将通过6个详细的案例,帮助您掌握CKS考试的核心内容,提高Kubernetes安全实践能力。定期审查和更新您的安全策略,跟踪新的安全最佳实践,并保持警惕,这些都是维护健康、安全的Kubernetes环境的关键。同时,熟悉使用各种安全工具,如kube-bench、Falco等,也将有助于全面提高您的Kubernetes安全管理能力。最小化GUI的使用和严格控制其访问权限是一个好的安全实践。这个策略允许标记为"frontend"的Pod访问标记为"backend"的Pod的8080端口。
kubernetes(k8s) 知识总结(第1期)
yspg_217的博客
06-10 982
容器必知必会
KubernetesProjected Volume
DwanCloud
03-31 1096
Kubernetes 中,有几类特殊的 Volume,它们存在的意义不是为了存放容器里的数据,也不是用来进行容器和宿主机之间的数据交换。这些特殊 Volume 的作用是为容器提供预先定义好的数据。从容器的角度来看,这些 Volume 里的信息就好像是被 Kubernetes "投射"(Project)进入容器当中的,这就是 Projected Volume 的含义。
KubernetesProjected Volume
雪辉博客
07-13 401
Kubernetes 支持的 Projected Volume
KubernetesVolumes
山不转的博客
09-14 4395
概述 Volume是对各种存储资源的抽象、虚拟化。为管理、控制、使用存储资源提供统一接口。Openstack中的volume为虚拟机提供存储,Docker中的volume为容器提供存储。因为在kubernetes中可部署运行最小单位是pod ,所以kubernetes的volume为pod提供存储。当然在部署pod时可以不为其提供volume,pod中的容器使用所在节点的硬盘,能同时读写数据的地...
K8S---Projected Volume
liao__ran的博客
05-25 732
Projected Volume 将一个或多个上述资源对象(ConfigMap、Secret、Downward API)一次性挂载到容器内的同一个目录下 Projected Volume的一些常见应用场景 通过Pod的标签生成不同的配置文件,需要使用配置文件,以及用户名和密码,这时需要使用3种资源:ConfigMap、Secrets、Downward API。 在自动化运维应用中使用配置文件和账号信息时,需要使用ConfigMap、Secrets。 在配置文件内使用Pod名称(metadata.nam
Kubernetes(五)Kubernetes Volume详解
liu_weiliang10405的博客
04-01 2319
Volume的作用 一切container和它之中的数据都是临时的。如果container重启,这些数据会丢失。Volume用于container保存需要持久化的数据。这些数据也可以用于container共享。 Volume的概念 Docker中有volume的概念。在Docker中,volume是container中的一个目录。Volume没有生命周期的概念,volume中的数据只有储存在本地磁盘这一种形式。 Kubernetes的volume具有明确的生命空间。Volume生命周期比pod中运行
[Kubernetes]2. k8s集群中部署基于nodejs golang的项目以及Pod、Deployment详解
zhoupenghui168的博客
12-14 2141
k8s集群中部署基于nodejs golang的项目以及Pod、Deployment详解
Kubernetes K8S之存储Volume详解
踏歌行的专栏
10-19 2728
K8S之存储Volume概述与说明,并详解常用Volume示例
Kubernetes中的Pod安全策略(Security Policy)详解
随着Kubernetes在生产环境中的广泛应用,对Kubernetes集群的安全性要求也逐渐增加。本章将介绍Kubernetes安全性的重要性、攻击面分析和安全策略的作用。 ## 1.1 Kubernetes安全性的重要性 Kubernetes作为一个容器...
Kubernetes(七) - Volume
文振熙 -- 云计算技术博客站
05-19 2135
Kubernetes(七) - Volume Docker是无状态的不管被销毁多少次都会恢复到最初的状态,但是这就意味着在程序过程中产生的配置也好文件也好会丢失,对于Docker我们经常会使用磁盘挂载的方式来保存一些重要的内容,比如运行在Docker下的数据库的源数据,比如程序的日志文件等,在K8S中也提供同样的配置方式 PS: 磁盘使用中1.8 和 1.9存在差异,1.8需要创建P...
kubernetes1.6新特性:支持新的卷插件
热门推荐
容器技术爱好者
04-01 1万+
背景介绍 在Kubernetes中卷的作用在于提供给POD持久化存储,这些持久化存储可以挂载到POD中的容器上,进而给容器提供持久化存储。 从图中可以看到结构体PodSpec有个属性是Volumes,通过这个Volumes属性可以关联到结构体Volume和结构体VolumeSource,而且这个Volumes属性是一个数组类型,就是说POD可以关联到多个不同类型的卷上面。 结构体
kubernetes中的Volumes
阿仆的专栏
05-25 5732
kubernetes storage
Kubernetes对象之Volume
探索世界,改变世界
11-22 1275
Kubernetes对象之Volume Kubernetes的Volume
本科毕业设计论文--操作系统课程设计报告进程调度算法模拟(1).doc
06-22
本科毕业设计论文--操作系统课程设计报告进程调度算法模拟(1).doc
基于非标自动化机械设计管控的策略探究(1).docx
最新发布
06-22
基于非标自动化机械设计管控的策略探究(1).docx
可测性设计及DFT软件的使用(1).pptx
06-22
可测性设计及DFT软件的使用(1).pptx
第5章-FX系列基本指令及编程讲课教案(1).ppt
06-22
第5章-FX系列基本指令及编程讲课教案(1).ppt
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

仰北帅Bobbie

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值