(十五)Kubernetes系列之存储(配置存储-Downward API)

原创 已于 2024-01-14 16:28:44 修改 · 398 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #容器 #云原生

于 2024-01-14 12:30:02 首次发布
本文详细介绍了如何在Kubernetes中使用DownwardAPI将Pod或容器的元数据通过环境变量或存储卷方式挂载到Nginx容器,包括创建模板、应用模板以及验证操作的步骤。

使用Downward API可以把pod或者容器的某些元数据挂载到容器内,供容器内应用使用。

1.环境变量的方式

1.1创建模板

vi nginxdeploymentdownwardapi.yml

内容如下:

图片

1.2.根据模板创建deployment

kubectl apply -f  nginxdeploymentdownwardapi.yml

图片

1.3查看

1.3.1查看pod

kubectl get pods

图片

1.3.2查看容器输出

kubectl logs nginxdeploymentdownwardapi

图片

2.存储卷的方式

2.1创建模板

vi nginxdeploymentdownwardapi1.yml

内容如下

图片

2.2根据模板创建deployment

kubectl apply -f nginxdeploymentdownwardapi1.yml

图片

2.3查看

2.3.1查看deployment创建的pod

kubectl get pods

图片

2.3.2进入容器

kubectl exec -ti inginxdeploymentdownwardapi1-6b59b6d6d9-bmgkq -- /bin/sh

图片

执行命令

cat /config/'"metadataName"'/metadataName

图片

kubernetes入门之Downward API
蛐蛐的博客
07-30 686
在不与Kubernetes过度耦合的情况下,容器拥有自身的信息是很有用的。DownwardAPI允许容器在不使用客户端或API服务器情况下获得自己或集群信息。作为环境变量作为downwardAPI卷中的文件这两种暴露Pod和容器字段的方式统称为DownwardAPI。......
Kubernetes资源对象之Downward API
passerbyji的博客
12-23 860
Kubernetes资源对象Downward API的详解
Kubernetes 存储 Downward API
qq_53374893的博客
04-05 754
我们可以调取当前kubernetes内部的一些需要的数据 以此去修改 让我得到一个最稳妥的恰当的运行方式 这都是我们的 downward API 可以去实现可以去用到的的一种情况 比如我们的CPU实际的真实数量的传入。相当于把我们apiserver 服务器做了 类似于nginx 在外面桥接一次 把https 转化为 http 你就不需要提供证书了 而且基于这样的端口访问的时候 是不需要做授权的判断的 更简单。这是另一种获取pod相关属性的方式。创建 12.pod.yaml。这样就获取到官方的接口文档了。
Kubernetes Downward API的介绍及使用
tom的博客
02-19 859
我们都知道,Pod的逻辑概念在容器之上,K8s 在成功创建Pod之后,会为Pod和容器设置一些额外的信息,例如Pod级别的Pod 名称,Pod IP ,Label,Annotation,容器级别的资源限制等。 在很多应用场景中,这些信息对容器内的应用来说都很有用,例如使用Pod名称作为日志记录的一个字段用于标识日志来源,为了在容器内获取Pod级别的这些信息,k8s 提供了Downward API 机制来将Pod 和容器的某些元数据信息注入容器环境内,供容器应用方便地使用。 Downward API 可以通过
Kubernetes Downward API
weixin_33924312的博客
04-12 604
目录 说明 环境变量方式 将pod信息注入为环境变量 将容器资源信息注入为环境变量 volume挂载方式 作用 说明 我们知道,每个Pod在成功创建出来之后,都会被系统分配唯一的名字、IP地址,并且处于某一个names...
第七章 Kubernetes 存储-Downward API
02-08 1134
Downward APIkubernetes中的一个功能,它允许容器在运行时从kubernetes API Server获取有关它们自身的信息。这些信息可以作为容器内部的环境变量或文件注入到容器中,以便容器可以获取有关其运行环境的各种信息,比如pod名称、命名空间、标签等。
十一、kubernetes 1.29 之 存储 Secret 和 DownwardAPI
2303_80246058的博客
10-11 647
Kubernetes中的Secret和Downward API是两种重要的资源管理机制。Secret用于安全存储敏感信息(如密码、令牌等),支持多种类型(Opaque、TLS等),可通过环境变量或卷挂载供Pod使用,具有内存存储、加密等安全特性。Downward API允许容器获取自身Pod的元数据(如名称、命名空间、资源限制等),可通过环境变量或文件方式注入,实现应用与环境的动态集成。两者均支持热更新(除子路径挂载外),且Secret可设为不可变以增强安全性。此外,通过RBAC授权和Swagger工具可进
七、Kubernetes持久化存储-Volume-emptyDir-HostPath-NFS
Cyan_Jiang的博客
11-25 1113
要使用卷 Pod需要通过.spec.volumes 字段指定为 Pod 提供的卷,以及使用.spec.containers.volumeMounts 字段指定卷挂载的目录。从容器中的进程可以看到由 Docker 镜像和卷组成的文件系统视图,卷无法挂载其他卷或具有到其他卷的硬链接,Pod 中的每个 Container 必须独立指定每个卷的挂载位置。​ Container(容器)中的磁盘文件是短暂的,当容器崩溃时,kubelet 会重新启动容器,但最初的文件将丢失,Container 会以最干净的状态启动。
kubernetes Downward API
qq_37377136的博客
10-26 1627
kubernetes 官方Downward API 有两种方式可以将Pod信息呈现: 环境变量 卷文件 一、可提供的信息 下面这些信息可以通过环境变量和 downwardAPI 卷提供给容器: fieldRef 环境变量 名称 metadata.name Pod 名称 metadata.namespace Pod 名称空间 metadata.uid Pod的UID resourceFieldRef 容器的 CPU 约束值 容器的 CPU 请求值 容器的内存约束值 容器的内存
Ubuntu24.04基于Docker部署K8s(使用私服部署)
会飞的小蛮猪博客
11-24 200
最近开始正在学习和使用k8s,对几种安装方式都进行了测试,这次主要使用了离线镜像和软件源的方式来进行了安装。需要自己先对软件源和镜像源提前部署!
K8S 日志收集方案
叱咤少帅的博客
11-24 34
Fluent Bit DaemonSet → Loki → Grafana
从问题驱动技术的角度对k8s技术的思维层面理解
wenru150222的博客
11-22 756
Kubernetes架构演进可分为八个阶段:1)基础抽象层解决核心编排问题,通过Pod、Service等抽象实现逻辑主机和稳定端点;2)工作负载管理层通过Deployment、StatefulSet等模式管理应用生命周期;3)资源调度层实现智能资源分配和多租户隔离;4)网络与存储层提供基础设施抽象;5)扩展与自动化层通过控制器和Operator模式实现平台能力扩展;6)应用定义与交付层解决软件包管理和持续交付问题;7)可观测性与运维层建立监控体系和安全机制;8)特殊场景适配层支持AI/ML、边缘计算等特定需
K8s 集群部署微服务 - yaml 版本(三)
weixin_45278293的博客
11-20 719
首先 volumeClaimTemplates 是 StatefulSet(有状态服务) 的专属字段。为 StatefulSet 管理每一个 pod 都会单独创建一个独立的、与 pod 生命周期绑定的 pvc 以及对应的 pv。每个 Pod 挂载自己的专属存储,数据互不干扰,且 Pod 重建(即使调度到其他节点)仍能绑定到原来的 PVC。日志可通过 NFS 共享存储挂载(所有副本写日志到同一个 NFS 目录,或按 Pod 名分目录),无需每个副本专属 PVC。
K8S节点GPU插件plugin检测GPU排查问题办法
victory0431的博客
11-21 1208
本文介绍了Kubernetes集群中GPU资源的检测与配置方法。首先通过containerd命令验证GPU插件是否正常工作,然后创建测试Pod运行nvidia-smi检测GPU可用性。详细说明了Pod配置、应用步骤及状态检查流程,包括节点污点管理、nvidia-device-plugin状态检查等关键配置。最后总结了GPU资源识别流程、常见问题排查方法和最佳实践,帮助用户确保GPU在K8S集群中被正确识别和使用。
Kubernetes 容器集群资源调度与弹性扩容高可用架构在互联网业务实战经验总结
最新发布
2501_94188140的博客
11-24 379
合理 Pod 资源请求与限制,保证调度效率联动实现业务弹性PriorityClass + 抢占策略保障核心业务优先执行节点亲和性与污点容忍避免热点聚集与资源冲突滚动升级 + 多副本 + 多可用区确保高可用监控告警 + 自动化运维形成闭环通过以上策略,K8s 集群能够支撑:数千到数万微服务实例弹性应对流量高峰系统节点故障自动恢复高可用、高可靠、成本可控适用于大型互联网企业微服务平台、实时计算服务、在线交易系统、长连接服务和多业务场景下的生产环境。
【云运维】k8s管理(一)
weixin_74491577的博客
11-23 837
本文基于Kubernetes v1.28.0版本,系统整理了kubectl核心命令的使用方法。主要内容包括: kubectl命令帮助获取方式(全局帮助、具体命令帮助和全局选项) 详细分类命令解析: 基础命令:create、expose、run、set等 部署命令:rollout、scale、autoscale等 集群管理命令:certificate、cluster-info、top等 文章特别标注了explain命令作为文档参考资料的重要性,并指出top命令需要heapster运行支持。适合Kubernet
k8s设计理念-k8s中哪些服务要部署成StatefulSet哪些部署成Deployment
crazy22222的博客
11-24 199
有状态服务:数据库、注册中心、缓存 → 用 StatefulSet + PVC。无状态服务:业务逻辑、网关、前端 → 用 Deployment,轻松扩缩容。
K8S containerd 打包镜像和部署流程和注意事项
victory0431的博客
11-21 802
本文摘要总结了containerd镜像存储Kubernetes集成的关键信息:1) containerd镜像存储在/var/lib/kubernetes-storage/containerd目录下,包含内容存储、CRI配置等子目录;2) 通过crictl工具可执行镜像管理操作,包括查看(sudo crictl images)、拉取、删除和检查镜像;3) Kubernetes通过完整镜像引用(docker.io/library/progen2:cuda12.1-a800)识别containerd中的镜像,并
用架构图理解k8s系列
qq_33525062的博客
11-23 193
用架构图理解k8s系列,通俗易懂,清晰明了
volumes: - name: kube-api-access-959z4 projected: defaultMode: 420 sources: - serviceAccountToken: expirationSeconds: 3607 path: token - configMap: items: - key: ca.crt path: ca.crt name: kube-root-ca.crt - downwardAPI: items: - fieldRef: apiVersion: v1 fieldPath: metadata.namespace path: namespace 这是apiserver 加到pod里的 解释一下这个serviceAccountToken 以及他是哪里来的
04-02
<think>好的,我现在需要解释用户提供的这个Pod中的`volumes`配置,特别是`serviceAccountToken`部分以及它的来源。用户之前已经问过关于`kube-root-ca.crt` ConfigMap的问题,现在他们希望了解这个projected volume里的serviceAccountToken和相关配置。 首先,我需要理解这个YAML片段的结构。这个volumes部分定义了一个名为`kube-api-access-959z4`的projected volume,里面有三个来源:serviceAccountToken、configMap和downwardAPI。用户特别关注serviceAccountToken以及它的来源。 接下来,我需要回忆Kubernetes中Service Account的相关知识。每个Pod都会关联一个Service Account,默认是default。当创建Service Account时,Kubernetes会自动生成一个对应的Secret,里面包含token、ca.crt和namespace等信息。但在较新的版本中,Kubernetes使用TokenRequest API动态生成token,而不是依赖于Secret,这样更安全,因为token是临时的并且可以自动轮换。 然后,这个projected volume的作用是将这些信息(token、ca.crt、namespace)自动挂载到Pod中,以便Pod内的应用可以与kube-apiserver安全通信。serviceAccountToken部分指定了token的路径和有效期,这里expirationSeconds是3607秒,大约1小时,path是token。这个token是由kube-apiserver生成的,当Pod创建时,控制平面会处理这个请求,生成一个临时的、有时间限制的token,并将其挂载到Pod的指定路径。 接下来,我需要确认这个token的来源。用户问“他是哪里来的”,也就是这个serviceAccountToken是如何生成的。根据Kubernetes的机制,当Pod使用某个Service Account时,kube-apiserver会使用TokenRequest API为这个Pod生成一个专有的token。这个token与传统的基于Secret的token不同,它更安全,具有明确的过期时间,并且与Pod的生命周期绑定。当Pod被删除时,这个token也会失效。 然后,我需要解释为什么使用projected volume。Projected volume允许将多个来源的数据合并挂载到同一个目录下。在这里,token来自Service Account,ca.crt来自之前提到的kube-root-ca.crt ConfigMap,namespace则是通过downwardAPI从Pod的metadata中获取的。这些信息组合在一起,使得Pod内的应用可以方便地获取访问kube-apiserver所需的所有凭证和配置。 此外,需要注意默认的挂载路径。通常这个projected volume会被挂载到`/var/run/secrets/kubernetes.io/serviceaccount`,里面包含token、ca.crt和namespace文件。应用可以使用这些文件来构造kubeconfig,或者直接使用它们进行TLS认证。 最后,我需要总结这个机制的优势,比如自动管理、动态更新、安全性高等,并提醒用户不要手动修改这些自动生成的token,因为它们由Kubernetes控制平面管理,手动修改可能导致不可预知的问题。</think>以下是对该 `volumes` 配置中 `serviceAccountToken` 的详细解析: --- ### 一、**Projected Volume 结构总览** ```yaml volumes: - name: kube-api-access-959z4 projected: sources: - serviceAccountToken: ... # 身份凭证 - configMap: ... # CA 证书(kube-root-ca.crt) - downwardAPI: ... # 命名空间信息 ``` - **核心作用**:将多个来源的数据合并挂载到 Pod 的同一目录,为容器提供访问 Kubernetes API 所需的**三要素**: 1. **身份凭证**(ServiceAccount Token) 2. **CA 证书**(用于验证 API Server 的 TLS 证书) 3. **命名空间信息**(当前 Pod 所在的 Namespace) --- ### 二、**ServiceAccountToken 深度解析** #### 1. **核心特性** ```yaml - serviceAccountToken: expirationSeconds: 3607 # 约 1 小时 path: token # 挂载路径下的文件名 ``` - **动态生成**:由 Kubernetes 控制平面(kube-apiserver)**自动创建**,**无需手动管理** - **临时性**:具有明确的过期时间(默认根据集群配置,通常 1 小时),到期后自动轮换 - **绑定关系**:此 Token **专属于当前 Pod**,与 Pod 生命周期绑定(删除 Pod 后 Token 失效) #### 2. **Token 来源** - **生成机制**: - 当 Pod 使用 ServiceAccount 时(默认为 `default`),kube-apiserver 通过 `TokenRequest` API 动态生成 - 与传统 ServiceAccount Secret(如 `default-token-xxxxx`)不同,**不依赖静态 Secret 存储** - **安全增强**: ```bash # 对比传统 Secret 型 Token(已废弃) kubectl get secret default-token-abcde -o jsonpath='{.data.token}' | base64 -d # 输出:永不过期的静态 Token(存在安全风险) # 当前动态 Token(更安全) kubectl exec <pod> -- cat /var/run/secrets/token # 输出:有过期时间的临时 Token ``` #### 3. **技术原理** - **签发流程**: 1. Pod 创建时,kubelet 向 kube-apiserver 发起 `TokenRequest` 2. kube-apiserver 校验 Pod 的 ServiceAccount 权限后签发 Token 3. Token 通过 Projected Volume 挂载到 Pod - **JWT 结构**: ```text Header: {"alg":"RS256","kid":"...") Payload: { "iss": "kubernetes/serviceaccount", "sub": "system:serviceaccount:default:my-sa", # 身份标识 "exp": 1735683067, # 过期时间 "pod": {"name": "my-pod", "uid": "..."} # 绑定到特定 Pod } ``` --- ### 三、**完整挂载示例** 假设 Pod 中配置了以下挂载: ```yaml volumeMounts: - name: kube-api-access-959z4 mountPath: /var/run/secrets/kubernetes.io/serviceaccount ``` 最终生成的文件结构为: ```text /var/run/secrets/kubernetes.io/serviceaccount/ ├── token # ServiceAccount Token(身份凭证) ├── ca.crt # 根证书(来自 kube-root-ca.crt) └── namespace # 当前命名空间(来自 downwardAPI) ``` --- ### 四、**关键安全设计** #### 1. **最小权限原则** - Token 的权限由关联的 ServiceAccount 的 RBAC 规则控制 - 可通过 `automountServiceAccountToken: false` 关闭自动挂载 #### 2. **防御措施** ```bash # 尝试在容器内修改 Token 文件(将被禁止) echo "hack" > /var/run/secrets/token # 错误:Read-only file system ``` #### 3. **审计追踪** - Token 中携带 Pod 的 UID 和名称,所有 API 请求均可追溯来源 ```bash kubectl get --raw /api/v1/namespaces/default/pods/my-pod | jq '.spec.volumes' ``` --- ### 五、**与旧版机制的对比** | **特性** | **传统 Secret Token** | **Projected ServiceAccountToken** | |--------------------|-------------------------------------|----------------------------------------| | 存储方式 | 静态 Secret | 动态生成,无持久化存储 | | 生命周期 | 永久有效(除非手动轮换) | 临时 Token(默认 1 小时) | | 安全风险 | 泄露后长期有效 | 过期自动失效 | | 绑定粒度 | 关联 ServiceAccount | 关联特定 Pod | | 更新机制 | 需手动删除 Secret | 自动轮换(由 kubelet 管理) | --- ### 六、**实践建议** 1. **避免硬编码**: ```go // 正确方式:使用自动挂载的 Token tokenPath := "/var/run/secrets/kubernetes.io/serviceaccount/token" token, _ := os.ReadFile(tokenPath) // 错误方式:硬编码 Token token := "eyJhbGciOiJSUzI1NiIsImtpZCI6IiJ9..." ``` 2. **监控 Token 过期**: ```bash # 检查 Token 过期时间 kubectl exec <pod> -- cat /var/run/secrets/token | jq -R 'split(".")[1] | @base64d | fromjson.exp' ``` 3. **自定义配置**: ```yaml # 调整 Token 过期时间(需集群开启 BoundServiceAccountTokenVolume 特性门控) - serviceAccountToken: expirationSeconds: 86400 # 24 小时 ``` --- ### 总结 该 `serviceAccountToken` 是 Kubernetes 安全模型的核心组件之一,通过动态签发、临时有效、绑定 Pod 等设计,显著提升了集群安全性。它与 `kube-root-ca.crt` 和 `downwardAPI` 共同构成了 Pod 与 kube-apiserver 安全通信的基础设施。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

调试大师

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值