k8s - Volume 简介和HostPath的使用

最新推荐文章于 2025-04-14 15:00:20 发布
最新推荐文章于 2025-04-14 15:00:20 发布
阅读量1.6k 收藏 19
点赞数 19
CC 4.0 BY-SA版权
分类专栏: K8S 文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/nvd11/article/details/141790953

在这里插入图片描述

K8S 的持久化

K8S 实现持久化存储的方法有很多种
例如 卷 (Volume), 持久卷(PV), 临时卷(EV) 等, 还有很多不常用的选项上图没有列出来

其中Volume 本身也分很多种
包括

Secret, configMap(之前的文章covered了), hostPath, emptyDir等
本文主要focus on hostPath



HostPath 的简介

官方定义:
hostPath 卷能将主机节点文件系统上的文件或目录挂载到你的 Pod 中。 虽然这不是大多数 Pod 需要的,但是它为一些应用提供了强大的逃生舱。

简单来讲就是让k8s node 的目录or 文件map在你的POD 容器里
至于为什么上面提到的逃生舱, 是因为假如你的POD 崩溃了or 被shutdown, 我们仍然可以在node对应的path上找到我们想要的数据(前提是把相应的数据output 到hostpath)

但是 官方并不推荐使用hostpath 把数据输出到node上
建议用local PersisentVolume代替, 主要是安全风险的原因

原因:
如果你通过准入时的验证来限制对节点上特定目录的访问,这种限制只有在你额外要求所有 hostPath 卷的挂载都是只读的情况下才有效。如果你允许不受信任的 Pod 以读写方式挂载任意主机路径, 则该 Pod 中的容器可能会破坏可读写主机挂载卷的安全性。

无论 hostPath 卷是以只读还是读写方式挂载,使用时都需要小心,这是因为:

  1. 访问主机文件系统可能会暴露特权系统凭证(例如 kubelet 的凭证)或特权 API(例如容器运行时套接字), 这些可以被用于容器逃逸或攻击集群的其他部分。
  2. 具有相同配置的 Pod(例如基于 PodTemplate 创建的 Pod)可能会由于节点上的文件不同而在不同节点上表现出不同的行为。
  3. hostPath 卷的用量不会被视为临时存储用量。 你需要自己监控磁盘使用情况,因为过多的 hostPath 磁盘使用量会导致节点上的磁盘压力。



HostPath 的类型

除了必需的 path 属性外,你还可以选择为 hostPath 卷指定 type。

value desc
“” 空字符串(默认)用于向后兼容,这意味着在安装 hostPath 卷之前不会执行任何检查。
DirectoryOrCreate 如果在给定路径上什么都不存在,那么将根据需要创建空目录,权限设置为 0755,具有与 kubelet 相同的组和属主信息。
Directory 在给定路径上必须存在的目录。
FileOrCreate 如果在给定路径上什么都不存在,那么将在那里根据需要创建空文件,权限设置为 0644,具有与 kubelet 相同的组和所有权。
File 在给定路径上必须存在的文件。
Socket 在给定路径上必须存在的 UNIX 套接字。
CharDevice (仅 Linux Node) 在给定路径上必须存在的字符设备。
BlockDevice (仅 Linux Node) 在给定路径上必须存在的块设备。



例子

这个例子是测试多个pod同时往1个hostpath 写日志


添加filter 让其可以输出api 调用日志

我们先为springboot cloud-order service 增加1个filter

@Component
@WebFilter
@Order(1)
@Slf4j
public class InfoFilter implements Filter {
   
   
    @Autowired
    private String hostname;

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
   
   
        // Initialization code
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
   
   
        HttpServletRequest httpRequest = (HttpServletRequest) request;

        // Log the request information
        log.info("API of hostname: {} has been called, Request Method: {}, Request URI: {}, Requested from : {}",  hostname, httpRequest.getMethod(), httpRequest.getR
最低0.47元/天 解锁文章

200万优质内容无限畅学
七、Kubernetes持久化存储-Volume-emptyDir-HostPath-NFS
Cyan_Jiang的博客
11-25 1004
使用卷 Pod需要通过.spec.volumes 字段指定为 Pod 提供的卷,以及使用.spec.containers.volumeMounts 字段指定卷挂载的目录。从容器中的进程可以看到由 Docker 镜像卷组成的文件系统视图,卷无法挂载其他卷或具有到其他卷的硬链接,Pod 中的每个 Container 必须独立指定每个卷的挂载位置。​ Container(容器)中的磁盘文件是短暂的,当容器崩溃时,kubelet 会重新启动容器,但最初的文件将丢失,Container 会以最干净的状态启动。
k8s学习-持久化存储(Volumes、hostPath、emptyDir、PV、PVC)详解与实战_volumes hostpath
2401_86716230的博客
09-07 836
【代码】k8s学习-持久化存储(Volumes、hostPath、emptyDir、PV、PVC)详解与实战_volumes hostpath
K8S学习笔记之Pod的Volume emptyDirhostPath
dengxiangbao3167的博客
05-22 1156
0x00 Volume的类型 VolumeKubernetes Pod中多个容器访问的共享目录。 Volume被定义在Pod上,被这个Pod里的多个容器挂在到相同或不同的路径下。 Volume的生命周期与Pod的生命周期相同,Pod内的容器停止重启时不会影响Volume中的数据。 Kubernetes提供了许多Volume类型: emptyDir hostPath ...
K8s-----Volumes(一)配置管理(emptyDir、hostPath、nfs)
qq_41582883的博客
03-30 1738
容器中的文件在磁盘上是临时存放的,这给容器中运行的特殊应用程序带来一些问题。首先,当容器崩溃时,kubelet 将重新启动容器容器中的文件将会丢失,因为容器会以干净的状态重建。其次,当在一个 Pod 中同时运行多个容器时,常常需要在这些容器之间共享文件。 Kubernetes 抽象出 Volume 对象来解决这两个问题。 Kubernetes 卷具有明确的生命周期,与包裹它的 Pod 相同。 因此,卷比 Pod 中运行的任何容器的存活期都长,在容器重新启动时数据也会得到保留。 当然,当一个 Pod 不再存
k8shostPath详解
最新发布
woshihlf的博客
04-14 910
hostPathKubernetes中一个强大但需要谨慎使用的功能。它提供了直接访问宿主机文件系统的能力,适用于特定场景如日志收集、节点监控等。然而,由于其潜在的安全风险可移植性限制,在生产环境中应谨慎评估是否真的需要hostPath,并始终遵循最小权限原则安全最佳实践。
k8s学习-持久化存储(Volumes、hostPath、emptyDir、PV、PVC
2401_84411018的博客
04-17 1232
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~(img-UIPfcWxq-1713361790127)]因篇幅有限,仅展示部分资料。还有大家最喜欢的黑客技术。
[K8S] K8S-Volume存储(6)
程序员进阶之路
07-22 1061
当我们创建 PVC 时指定对应的 StorageClass 就能 PV的StorageClass 关联,StorageClass 会 交由与他关联 Provisioner 存储插件来创建与管理存储,它能帮你创建对应的 PV 在远程存储上创建 对应的文件夹,并且还能根据设定的参数,删除与保留数据。(持久化卷声明): PersistentVolumeClaim 简称 PVC,是用户存储的一种声明,类似于对存储资源的申请,它属于一个 Namespace 中的资源,可用于向 PV 申请 存储资源。
k8s配置与存储--持久化存储(HostPath、EmptyDir、NFS)】
嘻哈记的运维学习之路
02-27 2286
使用hostPath、emptyDir、nfs三种方式进行数据共享持久化,emptydir这种方式可以使pod中容器之间的数据共享,但是在删除pod的时候数据也会删除。
K8S - Volume - NFS 卷的简介使用
nvd11的专栏
09-14 1582
在之前的文章里已经介绍了 K8S 中两个简单卷类型 hostpath emptydir但是这两种卷都有同1个限制, 就是依赖于 k8s nodes的空间如果某个service pod中需要的volumn 空间很大, 这时我们就需要考虑网络磁盘方案, 其中NAS 类型的Volume 是常用且简单的选择之一。
持续集成部署-k8s-配置与存储-配置管理:HostPath使用
种一棵树最好的时间是十年前,其次是现在。
11-25 2730
Kubernetes 中,`HostPath` 是一种用于挂载宿主机上文件或目录到容器中的卷类型。使用 `HostPath` 卷类型,可以让你在容器内部访问宿主机上的文件或目录。
k8s-hostpath-provisioner:Kubernetes的网络存储佣金
05-05
Kubernetes主机路径预配器 这是Kubernetes的持久性数量声明(PVC)设置者。 它动态地配置hostPath卷以为PVC提供存储。 它基于 。 与演示配置器不同,此版本旨在适合生产使用。 其目的是在主机上安装的网络文件系统上配置存储,而不是使用Kubernetes的内置网络卷支持。 与特定于存储的供应商相比,这具有一些优势: 无需向用户公开PV凭据(例如,cephfs-provisioner要求这样做)。 可以在Kubernetes本身不支持的网络存储上配置PV,例如ceph ceph-fuse 。 网络存储配置集中在节点上(例如,在/etc/fstab ); 这意味着您可以更改存储配置,甚至完全更改存储类型(例如,从NFS到CephFS),而无需手动更新每个PV。 还有一些缺点: 每个节点都需要对包含所有PV的存储的完全访问权限。 这可能会挫败限制Kubern
k8s 目录文件挂载到宿主机
weixin_46627652的博客
11-07 1万+
k8s hostPath、pv,pvc、nfs挂载
kubernetes Volume hostPath
drifter
08-05 1831
Volume(存储卷)是Pod中能够被多个容器访问的共享目录。KubernetesVolume概 念、用途目的与Docker的Volume比较类似,但两者不能等价。首先,Kubernetes中的Vo lume被定义在Pod上,然后被一个Pod里的多个容器挂载到具体的文件目录下;其次,Kube rnetes中的Volume与Pod的生命周期相同,但与容器的生命周期不相关,当容器终止或者 重启时,Volume中的数据也不会丢失。最后,Kubernetes支持多种类型的Volume,例如Gl usterFS、
2024年网络安全最新k8s学习-持久化存储(Volumes、hostPath、emptyDir、PV、PVC(1),网络安全数据结构算法面试题
2401_84296945的博客
05-07 751
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
k8s学习-持久化存储(Volumes、hostPath、emptyDir、PV、PVC)详解与实战
关注网络安全、云原生安全
09-18 2682
集群会检视 PVC 申领,找到所绑定的卷, 并为 Pod 挂载该卷。PV就是持久卷(Persistent Volume),是集群中的一块存储,可以由管理员事先制备, 或者使用存储类(Storage Class)来动态制备。与Volume不同的是,它们有独立的生命周期,是一种k8s资源,在kubectl中可以缩写为pv。尽管 Pod 中的容器挂载 emptyDir 卷的路径可能相同也可能不同,这些容器都可以读写 emptyDir 卷中相同的文件。容器中的磁盘文件是短暂的,容器崩溃后,再次重启,数据就丢失了。
Kubernetes(k8s)的Volume数据存储介绍各种基本储存类型(EmptyDir、HostPath、NFS)的使用
Bulut0907
09-13 2163
目录1. 概述2. EmptyDir2.1 概述2.2 EmptyDir使用实战2.2.1 创建pod2.2.2 查看pod2.2.3 访问Pod中的Nginx:2.3.4 查看busybox容器的标准输出3. HostPath3.1 概述3.2 HostPath使用实战3.2.1 创建pod3.2.2 查看pod3.2.3 访问Pod中的Nginx:3.3.4 查看Pod所在node节点的日志4. NFS4.1 概述4.2 搭建NFS服务器4.3 NFS使用实战4.3.1 创建pod4.3.2 查看pod
k8s mysql volume_k8s的存储Volume
weixin_35724999的博客
02-17 182
1.Volume简介我们经常会说:容器 Pod 是短暂的。其含义是它们的生命周期可能很短,会被频繁地销毁创建。容器销毁时,保存在容器内部文件系统中的数据都会被清除。为了持久化保存容器的数据,可以使用 Kubernetes VolumeVolume 的生命周期独立于容器,Pod 中的容器可能被销毁重建,但 Volume 会被保留。本质上,Kubernetes Volume 是一个目录,这一点...
云原生kubernetesk8s数据存储之Volume使用详解【转】
热门推荐
m0_58523831的博客
03-15 2万+
通过之前学习了解到,k8s中Pod是最小的运行单元,Pod中运行的是一个个容器,但是容器的生命周期可能很短,被频繁地创建销毁。当容器崩溃时文件丢失,kubelet 会重新启动容器,但容器会以干净的状态重启,之前保存在容器中的数据也会被清除;当在一个 Pod 中同时运行多个容器时,常常需要在这些容器之间共享文件;基于这些问题,k8s中就出现了“卷”这个组件来解决Kubernetes 卷(Volume) 这一抽象概念能够解决这两个问题,卷的核心是包含一些数据的目录,Pod 中的容器可以访问该目录。
14-k8s-基本存储之EmptyDir、HostPath、NFS
weixin_40496191的博客
10-16 2202
Volume的生命周期不Pod中的单个容器的生命周期有关。EmptyDir在Pod被分配到Node时创建的,它的初始内容为空,并且无须指定宿主机上对应的目录文件,因为kubernetes会自动分配一个目录,当Pod销毁时,EmptyDir中的数据也会被永久删除,所以也被称为临时存储。​ 7)如果其他台也装nfs,可以将dnf服务器的存储路径挂载出去,共享挂载路径(可忽略):mount -t nfs 192.168.248.11:/root/data/nfs /root/data/nfs。
k8s-gitlab部署
03-17
### Kubernetes 上部署 GitLab 的最佳实践 在 Kubernetes (K8s) 平台上部署 GitLab 是一种常见的需求,尤其是在微服务架构 CI/CD 流程中。以下是关于如何实现这一目标的最佳实践。 #### 1. 使用 Helm Chart 部署 GitLab Helm 是 K8s 生态中最流行的包管理工具之一,它提供了官方支持的 GitLab Helm Charts[^5]。通过这些 Charts 可以快速完成 GitLab 的安装与配置。 ```bash helm repo add gitlab https://charts.gitlab.io/ helm install my-gitlab gitlab/gitlab \ --set global.hosts.domain=mydomain.com \ --set certmanager-issuer.email=admin@example.com ``` 上述命令会自动创建所需的资源并初始化 GitLab 实例。需要注意的是,在实际操作前应调整 `values.yaml` 文件中的参数来适配环境需求[^5]。 #### 2. RBAC 权限分配 为了使 GitLab Runner 能够访问特定命名空间下的 Pod 或其他资源,需定义 RoleBinding ServiceAccount 。例如: ```yaml apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: name: gitlab-runner-binding subjects: - kind: ServiceAccount name: gitlab-runner namespace: default roleRef: kind: ClusterRole name: edit apiGroup: rbac.authorization.k8s.io ``` 此片段展示了如何绑定角色到指定的服务账户上[^1]。 #### 3. 数据持久化存储 对于生产级别的 GitLab 安装来说,数据持久化的处理至关重要。可以利用 PersistentVolume(PV)以及PersistentVolumeClaim(PVC),确保数据库、日志文件等重要资料不会因Pod重启而丢失[^6]。 ```yaml --- apiVersion: v1 kind: PersistentVolume metadata: name: pv-volume-for-gitlab spec: capacity: storage: 5Gi accessModes: - ReadWriteOnce persistentVolumeReclaimPolicy: Retain hostPath: path: "/mnt/data" --- apiVersion: v1 kind: PersistentVolumeClaim metadata: name: pvc-claim-for-gitlab spec: accessModes: - ReadWriteOnce resources: requests: storage: 3Gi ``` #### 4. 自动扩展能力 借助 Horizontal Pod Autoscaler(HPA),可以根据 CPU 利用率或者自定义指标动态调节工作负载副本数量,从而提高系统的弹性响应速度[^7]。 #### 5. 监控与告警机制建立 Prometheus Operator 结合 Grafana 提供了一套完整的监控解决方案,能够实时跟踪 GitLab 各组件的状态变化趋势,并及时发出异常通知[^8]。 --- ### 示例代码:GitLab Runner ConfigMap 设置样例 如果计划让多个项目共享同一个 runner,则可以通过 configmap 方式统一维护其配置项。 ```yaml apiVersion: v1 data: config.toml: | [[runners]] url = "https://gitlab.example.com/" token = "<your_token>" executor = "kubernetes" [runners.kubernetes] image = "alpine:latest" privileged = true kind: ConfigMap metadata: name: gitlab-runner-config namespace: gitlab ``` ---
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

nvd11

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值