Kubernetes 存储 Downward API

最新推荐文章于 2025-10-11 16:18:40 发布
原创 最新推荐文章于 2025-10-11 16:18:40 发布 · 778 阅读 · 21 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #容器 #云原生

1.介绍

1.提供容器元数据

比如我们 golang语言 我们说他会根据当前CPU的数量 以此去确认我们的进程 线程 和协程之间的关系 以此去释放我们当前CPU的更大的  这么一个并行任务的能力 但是这里会出现一个问题 容器它是把当前的应用 封装在我们固定的名称空间了 而且给它以特定的资源 当然它的背后是基于我们的 cgroup  我们叫控制组 换句话的意思 它看起来 这里有4个CPU 那我就通过我们的四个线程 的方式去创建更多协程 以此去占用更多的CPU资源 但其次呢 其实我只给它限制允许使用两个CPU 那这里是不是就不搭了 可能会出现一些我们的运行的缓慢啊 还不如不优化的结果 那再包括我们类似nginx的服务 它的工作进程数量 叫 worker processes 它需要根据当前的CPU数量 去进行绑定的 那如果我们看起来现在有4个CPU 实际上只有两个在用 那我们worker processes是不是设定也会有问题 那我们怎么把当前的真实的CPU数量 内存数量 传递给容器内部的进程 或应用呢 ,就可以通过Downward API 来使用

2.动态配置 

我们有时候会根据当前的pod名称 或 pod标签去修改我们的配置参数 难在需要你给我提供准确的数那这个数据怎么提供  就由 downwardAPI 

3.与 kubernetes 环境集成

我们可以调取当前kubernetes内部的一些需要的数据  以此去修改 让我得到一个最稳妥的恰当的运行方式 这都是我们的 downward API 可以去实现可以去用到的的一种情况 比如我们的CPU实际的真实数量的传入

2.案例1 env案例

创建 12.pod.yaml

apiVersion: v1
kind: Pod
metadata:
 name: downward-api-env-example
spec:
 containers:
   - name: my-container
     image: wangyanglinux/myapp:v1.0
     env:
      - name: POD_NAME
        valueFrom:
          fieldRef:
            fieldPath: metadata.name
      - name: POD_NAMESPACE
        valueFrom:
          fieldRef:
             fieldPath: metadata.namespace
      - name: POD_IP
最低0.47元/天 解锁文章
Downward API,它的作用是:让 Pod 里的容器能够直接获取到这个 Pod API 对象本身的信息。
zhaoyangjian724的专栏
01-24 276
接下来是 Downward API,它的作用是:让 Pod 里的容器能够直接获取到这个 Pod API 对象本身的信息。 apiVersion: v1 kind: Pod metadata: name: test-downwardapi-volume labels: zone: us-est-coast cluster: test-cluster1 rack: rack-22 spec: containers: - name: client-container ...
kubernetes入门之Downward API
蛐蛐的博客
07-30 714
在不与Kubernetes过度耦合的情况下,容器拥有自身的信息是很有用的。DownwardAPI允许容器在不使用客户端或API服务器情况下获得自己或集群信息。作为环境变量作为downwardAPI卷中的文件这两种暴露Pod和容器字段的方式统称为DownwardAPI。......
Downward API
ens160的博客
04-28 1634
前面我们从pod的原理到生命周期介绍了pod的一些使用,作为kubernetes中最核心的对象,最基本的调度单元,我们可以发现pod中的属性还是非常繁多的,前面我们使用过一个volumes的属性,表示声明一个数据卷,我们可以通过命令kubectl explain pod.sec.volumes去查看该对象下面的属性非常多,前面我们只是简单的使用了hostpath和empryDir{}这两种模式,其中还有一种叫做downwardAPI这个模式和其他模式不一样的地方在于它不是为了存放容器的数据也不是用来进行容器
Kubernetes资源对象之Downward API
passerbyji的博客
12-23 880
Kubernetes资源对象Downward API的详解
十一、kubernetes 1.29 之 存储 Secret 和 DownwardAPI
最新发布
2303_80246058的博客
10-11 657
Kubernetes中的Secret和Downward API是两种重要的资源管理机制。Secret用于安全存储敏感信息(如密码、令牌等),支持多种类型(Opaque、TLS等),可通过环境变量或卷挂载供Pod使用,具有内存存储、加密等安全特性。Downward API允许容器获取自身Pod的元数据(如名称、命名空间、资源限制等),可通过环境变量或文件方式注入,实现应用与环境的动态集成。两者均支持热更新(除子路径挂载外),且Secret可设为不可变以增强安全性。此外,通过RBAC授权和Swagger工具可进
k8s—Downward API
qinxue722的博客
07-26 1011
downward api
K8S---Downward API
liao__ran的博客
05-25 890
Downward API 容器内部获取pod级别的信息,包括Pod级别的Pod名称、Pod IP、Node IP、Label、Annotation、容器级别的资源限制等 Downward API容器内获取Pod信息 Downward API将Pod和容器的元数据信息注入容器内部的两种方式 环境变量:将Pod或Container信息设置为容器内的环境变量 Volume挂载:将Pod或Container信息以文件的形式挂载到容器内部 环境变量方式 将Pod信息设置为容器内的环境变量 通过Down
第七章 Kubernetes 存储-Downward API
02-08 1151
Downward APIkubernetes中的一个功能,它允许容器在运行时从kubernetes API Server获取有关它们自身的信息。这些信息可以作为容器内部的环境变量或文件注入到容器中,以便容器可以获取有关其运行环境的各种信息,比如pod名称、命名空间、标签等。
kubernetes Downward API
qq_37377136的博客
10-26 1654
kubernetes 官方Downward API 有两种方式可以将Pod信息呈现: 环境变量 卷文件 一、可提供的信息 下面这些信息可以通过环境变量和 downwardAPI 卷提供给容器: fieldRef 环境变量 名称 metadata.name Pod 名称 metadata.namespace Pod 名称空间 metadata.uid Pod的UID resourceFieldRef 容器的 CPU 约束值 容器的 CPU 请求值 容器的内存约束值 容器的内存
kubernetes in action读书笔记之ConfigMap、Secret、滚动升级、downwardAPI、Deployment、Statefulset
weixin_42305433的博客
05-02 650
kubernetes in action读书笔记(四)ConfigMap、Secret、滚动升级、downwardAPI、Deployment、StatefulsetConfigMapSecret如何访问pod的元数据由滚动升级引出Deployment原始的RC人工滚动升级缺陷DeploymentStatefulset ConfigMap 没有太多好说的,一个用来解决服务配置的资源,可以避免硬编码...
带你玩转kubernetes-k8s(第14篇:k8s-深入掌握Pod-在容器内获取Pod信息)
坚持的道路注定孤独
07-13 6022
哈喽~大家好!昨天我们讲解了ConfigMap的使用,今天我来继续深入的讨论Pod的概念及其用法。 现在我们进入正题。 Downward API 我们知道,每个Pod在被成功创建出来之后,都会被系统分配唯一的名字、IP地址,并且处于某个Namespace中,那么我们如何在Pod的容器内获取Pod的这些重要信息呢?答案就是使用Downward API。 Down...
k8s之Dowanward API详细理解及使用
skh2015java的博客
10-22 3076
Downward API介绍 作用:让Pod里的容器能够直接获取到这个Pod API对象本身的信息 Downward API可以通过以下两种方式将Pod信息注入容器内部 1.环境变量:用于单个变量,可以将Pod信息和Container信息注入到容器内部 2. Volume挂载:通过文件挂载到容器内部 Downward API支持的常用字段 1. 使用fieldRef可以声明使用: spec.nodeName - 宿主机名字 status.hostIP - 宿主机IP met...
k8s-Downward API
惰立的博客
05-05 183
将pod和容器的元数据注入容器内部。
Kubernetes(七)Pod进阶之Downward API和PodPreset
wzj_110的博客
11-10 491
关于静态pod可以参考我这篇博客 一 Downward API (1)基本概念和用途 目的: '不是'为了存放容器的数据'也不是'用来进行'容器和宿主机的数据交换的',而是让 'Pod 里的容器'能够'直接获取到'这个 Pod 对象本身的一些信息 (2)环境变量 1)静态数据'pod创建之前已经确定的' --> metadat.* 2)状态数据'pod创建之后才知道' -->status.podIP、spec.* 3)容器的资源数据'cpu、memory' ...
Kubernetes Downward API的介绍及使用
tom的博客
02-19 876
我们都知道,Pod的逻辑概念在容器之上,K8s 在成功创建Pod之后,会为Pod和容器设置一些额外的信息,例如Pod级别的Pod 名称,Pod IP ,Label,Annotation,容器级别的资源限制等。 在很多应用场景中,这些信息对容器内的应用来说都很有用,例如使用Pod名称作为日志记录的一个字段用于标识日志来源,为了在容器内获取Pod级别的这些信息,k8s 提供了Downward API 机制来将Pod 和容器的某些元数据信息注入容器环境内,供容器应用方便地使用。 Downward API 可以通过
K8S 的Downward API能力
baxia2020的博客
04-07 190
K8S 的Downward API能力
3.6在容器内获取pod信息(Downward API)
ace2020的博客
01-04 1263
kubernetes提供了Downward API机制来将pod和容器的某些元数据信息注入容器环境内,供容器应用方便的使用。Downward API可以通过以下2种方式将pod和容器的元数据信息注入容器内部。
K8s DownwardAPI容器如何获取自身元数据
2301_81841155的博客
07-13 844
Kubernetes DownwardAPI摘要 DownwardAPIKubernetes提供的一种轻量级机制,允许容器获取自身Pod的元数据(如名称、命名空间、标签、资源限制等),而无需直接调用Kubernetes API。它主要通过两种方式暴露数据:环境变量和Volume挂载。 核心作用: 提供Pod基础信息(名称、IP等)用于日志标记 获取资源配置(CPU/内存限制)以优化应用行为 读取标签/注解实现动态配置 避免直接调用API带来的复杂性和开销 优势: 解耦应用与平台 轻量级数据获取 支持动态感
读取节点标签才能通过 Downward API 注入到 Pod
09-11
<think> 我们无法直接通过Downward API获取节点标签,因为Downward API仅暴露Pod自身信息而不包括节点信息[^3]。但是可以通过组合使用Downward API获取节点名称,再通过kubectl命令查询节点标签,最后注入到容器中。以下是两种实现方式: --- ### 方法1:通过Init容器获取节点标签并写入共享卷 ```yaml apiVersion: v1 kind: Pod metadata: name: node-label-reader spec: serviceAccountName: label-reader-sa # 需要预先创建RBAC initContainers: - name: fetch-labels image: bitnami/kubectl:latest command: ['sh', '-c'] args: - > kubectl get node $(NODE_NAME) -o jsonpath='{.metadata.labels}' > /shared/node-labels.json; echo "Region: $(kubectl get node $(NODE_NAME) -o jsonpath='{.metadata.labels.region}')" > /shared/labels.txt env: - name: NODE_NAME valueFrom: fieldRef: fieldPath: spec.nodeName # 通过Downward API获取节点名称[^2][^3] volumeMounts: - name: shared-vol mountPath: /shared containers: - name: main-app image: nginx volumeMounts: - name: shared-vol mountPath: /etc/node-labels volumes: - name: shared-vol emptyDir: {} ``` **步骤说明:** 1. **获取节点名称**:通过Downward API的`fieldRef`获取`spec.nodeName`并存入环境变量`NODE_NAME`[^2][^3] 2. **查询节点标签**:Init容器使用`kubectl get node`命令查询节点标签 - 将完整标签以JSON格式写入`/shared/node-labels.json` - 提取特定标签(如region)写入文本文件`/shared/labels.txt` 3. **共享存储**:通过`emptyDir`卷在Init容器和主容器之间共享数据 4. **主容器读取**:主容器从`/etc/node-labels`目录读取标签文件 --- ### 方法2:通过主容器启动脚本动态获取(需安装kubectl) ```yaml apiVersion: v1 kind: Pod metadata: name: dynamic-label-pod spec: serviceAccountName: label-reader-sa containers: - name: main-app image: nginx env: - name: NODE_NAME valueFrom: fieldRef: fieldPath: spec.nodeName # Downward API注入节点名[^2][^3] command: ['sh', '-c'] args: - | # 安装kubectl (Alpine镜像示例) apk add --no-cache curl >/dev/null && curl -LO https://storage.googleapis.com/kubernetes-release/release/$(curl -s https://storage.googleapis.com/kubernetes-release/release/stable.txt)/bin/linux/amd64/kubectl && chmod +x kubectl && mv kubectl /usr/bin/ # 获取节点标签并导出为环境变量 export REGION=$(kubectl get node $NODE_NAME -o jsonpath='{.metadata.labels.region}') echo "Current region: $REGION" exec nginx -g "daemon off;" # 保持原进程 ``` --- ### 必需RBAC配置 ```yaml # node-label-reader-rbac.yaml apiVersion: v1 kind: ServiceAccount metadata: name: label-reader-sa --- apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: node-label-reader rules: - apiGroups: [""] resources: ["nodes"] verbs: ["get", "list"] # 最小权限原则[^4] --- apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: read-node-labels subjects: - kind: ServiceAccount name: label-reader-sa namespace: default roleRef: kind: ClusterRole name: node-label-reader apiGroup: rbac.authorization.k8s.io ``` --- ### 关键注意事项 1. **安全风险** 节点标签可能包含敏感信息(如拓扑位置),需严格控制Pod对节点的访问权限[^4] 2. **工具依赖** 方法2需在容器内安装`kubectl`,增加镜像体积和启动时间,建议优先采用Init容器方案 3. **标签更新** Pod运行期间节点标签更新不会自动同步,需重建Pod才能获取新标签 4. **替代方案** 考虑使用[node-feature-discovery](https://github.com/kubernetes-sigs/node-feature-discovery)项目自动化节点标签同步 > 💡 **最佳实践**:通过DaemonSet在节点启动时同步标签到本地文件,再通过HostPath卷挂载给Pod[^1] §§相关问题§§ 1. 如何在不安装kubectl的情况下获取Kubernetes节点信息? 2. 节点标签变化时如何自动更新Pod环境变量? 3. 如何安全地传递节点标签信息给容器内的应用? </think> ### 通过 Downward API 将节点标签注入到 Pod 的方法示例 虽然 Downward API 本身**不能直接读取节点标签**(它只暴露 Pod 自身信息)[^3],但可以通过组合 Downward API + initContainer 实现节点标签注入。以下是完整方案: #### 方法:使用 Downward API 获取节点名 + initContainer 查询标签 ```yaml apiVersion: v1 kind: Pod metadata: name: node-label-injection spec: serviceAccountName: node-label-reader # 需要RBAC授权 initContainers: - name: label-fetcher image: bitnami/kubectl:latest # 包含kubectl的工具镜像 command: ['sh', '-c'] args: - > # 通过Downward API获取节点名[^2][^3] NODE=$(cat /etc/podinfo/node_name); # 查询节点标签并写入文件 kubectl get node $NODE -o jsonpath='{.metadata.labels}' > /shared/labels.json; # 提取特定标签(示例: zone) kubectl get node $NODE -o jsonpath='{.metadata.labels.zone}' > /shared/zone.txt volumeMounts: - name: podinfo mountPath: /etc/podinfo - name: shared-vol mountPath: /shared containers: - name: main-app image: nginx volumeMounts: - name: shared-vol mountPath: /etc/node-labels env: - name: NODE_ZONE # 可选:将标签转为环境变量 valueFrom: configMapKeyRef: name: node-labels-cm key: zone volumes: - name: podinfo # Downward APIdownwardAPI: items: - path: "node_name" fieldRef: fieldPath: spec.nodeName # 注入节点名称[^3] - name: shared-vol emptyDir: {} ``` #### 必需 RBAC 配置 (node-label-reader.yaml) ```yaml apiVersion: v1 kind: ServiceAccount metadata: name: node-label-reader --- apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: node-label-reader rules: - apiGroups: [""] resources: ["nodes"] verbs: ["get", "list"] # 最小权限原则[^4] --- apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: read-node-labels subjects: - kind: ServiceAccount name: node-label-reader namespace: default roleRef: kind: ClusterRole name: node-label-reader apiGroup: rbac.authorization.k8s.io ``` #### 工作原理 1. **获取节点名称** 通过 Downward API 卷注入 `spec.nodeName` 到 `/etc/podinfo/node_name`[^3] 2. **查询节点标签** initContainer 使用 `kubectl`: - 获取完整标签集:`kubectl get node $NODE -o jsonpath='{.metadata.labels}'` - 提取特定标签:`kubectl get node $NODE -o jsonpath='{.metadata.labels.zone}'` 3. **存储标签数据** 写入共享卷 `/shared`,主容器通过 `/etc/node-labels` 访问: ```bash # 主容器查看标签 cat /etc/node-labels/labels.json cat /etc/node-labels/zone.txt ``` 4. **可选环境变量转换** 通过 initContainer 创建 ConfigMap,再注入到环境变量 #### 验证步骤 ```bash # 部署RBAC和Pod kubectl apply -f node-label-reader.yaml kubectl apply -f node-label-pod.yaml # 检查initContainer日志 kubectl logs node-label-injection -c label-fetcher # 进入主容器查看标签文件 kubectl exec -it node-label-injection -- cat /etc/node-labels/zone.txt ``` #### 关键注意事项 1. **安全限制** - Pod 需要 `get nodes` RBAC 权限[^4] - 节点标签可能含敏感信息,需审计标签内容 2. **工具依赖** initContainer 需要包含 `kubectl` 的镜像(如 `bitnami/kubectl`) 3. **动态更新** 节点标签变更**不会自动同步**,需重建 Pod 获取新标签 4. **替代方案** 对于高频需求,建议使用 [node-feature-discovery](https://github.com/kubernetes-sigs/node-feature-discovery) 项目自动同步节点标签 > 💡 **最佳实践**:通过 DaemonSet 在节点启动时同步标签到本地文件,再通过 HostPath 卷挂载给 Pod[^1]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值