K8S中的存储

最新推荐文章于 2025-04-27 23:43:04 发布
原创 最新推荐文章于 2025-04-27 23:43:04 发布 · 1k 阅读 · 21 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #容器 #云原生

文章目录

一、Volume

  • Kubernetes 支持很多类型的卷。Pod可以同时使用任意数目的卷类型。临时卷类型的生命周期与 Pod 相同, 但持久卷可以比 Pod 的存活期长。 当 Pod 不再存在时,Kubernetes 也会销毁临时卷;不过 Kubernetes 不会销毁持久卷。 对于给定 Pod 中任何类型的卷,在容器重启期间数据都不会丢失。
  • 我们上面讲的都是持久卷相关的。

emptyDir

  • 对于定义了emptyDir卷的 Pod,在 Pod 被指派到某节点时此卷会被创建。
  • 就像其名称所表示的那样,emptyDir卷最初是空的。
  • 当 Pod 因为某些原因被从节点上删除时,emptyDir卷中的数据也会被永久删除。
  • 容器崩溃并不会导致 Pod 被从节点上移除,因此容器崩溃期间emptyDir卷中的数据是安全的。

emptyDir的一些用途:

  • 缓存空间,例如基于磁盘的归并排序。
  • 为耗时较长的计算任务提供检查点,以便任务能方便地从崩溃前状态恢复执行。
  • 在 Web 服务器容器服务数据时,保存内容管理器容器获取的文件。
apiVersion: v1
kind: Pod
metadata:
  name: test-pd
spec:
  containers:
  - image: registry.k8s.io/test-webserver
    name: test-container
    volumeMounts:
    - mountPath: /cache
      name: cache-volume
  volumes:
  - name: cache-volume
    emptyDir:
      sizeLimit: 500Mi

hostpath

  • 其实不推荐使用,因为宿主机不安全。
  • hostPath宿主机路径,就是把pod所在的宿主机之上的脱离pod中的容器名称空间的之外的宿主机的文件系统的某一目录和pod建立关联关系,在pod删除时,存储数据不会丢失。
  • hostpath的type相当重要,常用的如下:

因为FileOrCreate模式不会创建文件的父目录。如果挂载文件的父目录不存在,Pod 将启动失败。所以可以分别创建父目录和文件。如下:

apiVersion: v1
kind: Pod
metadata:
  name: test-webserver
spec:
  os: { name: linux }
  nodeSelector:
    kubernetes.io/os: linux
  containers:
  - name: test-webserver
    image: registry.k8s.io/test-webserver:latest
    volumeMounts:
    - mountPath: /var/local/aaa
      name: mydir
    - mountPath: /var/local/aaa/1.txt
      name: myfile
  volumes:
  - name: mydir
    hostPath:
      path: /var/local/aaa
      type: DirectoryOrCreate
    hostPath:
      path: /var/local/aaa/1.txt
      type: FileOrCreate

NFS

  • nfs卷能将 NFS (网络文件系统) 挂载到你的 Pod 中。
  • 不像emptyDir那样会在删除 Pod 的同时也会被删除,nfs卷的内容在删除 Pod 时会被保存,卷只是被卸载。
  • 这意味着nfs卷可以被预先填充数据,并且这些数据可以在 Pod 之间共享。
  • 我们需要提前在节点上安装NFS,并配置NFS服务。
apiVersion: v1
kind: Pod
metadata:
  name: test-pd
spec:
  containers:
  - image: registry.k8s.io/test-webserver
    name: test-container
    volumeMounts:
    - mountPath: /my-nfs-data
      name: test-volume
  volumes:
  - name: test-volume
    nfs:
      server: my-nfs-server.example.com
      path: /my-nfs-volume
      readOnly: true

PV

非常重要,见下面。

CSI

也很重要,主要是看不懂。。。

https://jimmysong.io/kubernetes-handbook/concepts/cri.html

二、持久卷相关

PV、PVC和SC

  • PVC
    • PersistentVolumeClaim (持久卷创建申请),当我们创建一个pod时,需要申请一块空间,这个申请就是PVC。
  • PV
    • PersistentVolume(持久卷)是集群中的一块存储资源,由管理员预先配置或通过动态 provisioner 自动创建,是物理资源。
  • SC
    • StorageClass(存储类型)为不同的存储后端提供了不同的类别。SC定义了存储的类型、性能参数、provisioner等信息,用于动态创建PV。
    • 一般会定义PV的属性。比如,存储类型,Volume的大小等。
    • 一般会定义创建这种PV需要用到的存储插件,即存储制备器。

PV、PVC、SC的协作流程

在这里插入图片描述

  1. 用户提交 PVC:
    • 用户在 Kubernetes 集群中提交一个 PVC,声明所需的存储特性,如存储大小、访问模式等。
  2. 匹配 StorageClass:
    • Kubernetes 查找与 PVC 匹配的StorageClass。
    • 如果 PVC 指定了特定的StorageClass,则使用该StorageClass。
    • 如果 PVC 没有指定StorageClass而集群有默认的StorageClass,则使用默认的StorageClass。
  3. 动态创建 PV:
    • Kubernetes 调用StorageClass声明的存储插件(如nfs.csi.k8s.io)来动态创建一个新的 PV。
    • 存储插件就是一个一个的pod,每个node上都有,各种类型的,nfs,s3等等
    • 存储插件根据StorageClass的参数(如server和share)和挂载选项(如rw、hard)来配置存储资源。
  4. PV 和 PVC 绑定:
    • Kubernetes 将新创建的 PV 绑定到 PVC。
    • 绑定后,PV 将专门为该 PVC 服务,直到 PVC 被删除。
  5. Pod 使用存储:
    • 用户的 Pod 通过 PVC 访问到绑定的 PV,从而使用存储资源。
  6. 存储回收:
    • 当 PVC 被删除时,根据StorageClass的回收策略(如Retain),PV 可以被自动删除(数据丢失)或者保留(数据保留)。

当我创建数据源和代码源的时候,其实就是创建了sc。

当我创建任务的时候,就是创建了pvc,pvc找sc,sc找插件,插件创建pv,再绑定。

三、配置容器:CM和Secret

  • 在k8s中,用户通过configmap和secret从集群外部向Pod内部的容器应用注入配置信息。

Secret

  • Secret对象存储数据的方式是以键值方式存储数据。
  • Secret对象的数据存储和打印格式为Base64编码的字符串,因此用户在创建Secret对象时,也需要提供该类型的编码格式的数据。在容器中以环境变量或存储卷的方式访问时,会自动解码为明文格式。
  • 需要注意的是,如果是在Master节点上,Secret对象以非加密的格式存储在etcd中,所以需要对etcd的管理和权限进行严格控制。
  • 四种类型:
    • Service Account :用来访问Kubernetes API,由Kubernetes自动创建,并且会自动挂载到Pod的/run/secrets/kubernetes.io/serviceaccount目录中;
    • Opaque :base64编码格式的Secret,用来存储密码、密钥、信息、证书等,类型标识符为generic;
    • kubernetes.io/dockerconfigjson :用来存储私有docker registry的认证信息,类型标识为docker-registry。
    • kubernetes.io/tls:用于为SSL通信模式存储证书和私钥文件,命令式创建类型标识为tls。

创建Sercret

[root@k8s-master ~]# kubectl create secret generic mysecret --from-literal=username=admin --from-literal=password=123456
secret/mysecret created
[root@k8s-master ~]# kubectl get secret
NAME                    TYPE                                  DATA      AGE
mysecret                Opaque                                2         6s

[root@k8s-master ~]# echo -n admin > ./username
[root@k8s-master ~]# echo -n 123456 > ./password
[root@k8s-master ~]# kubectl create secret generic mysecret --from-file=./username --from-file=./password 
secret/mysecret created
[root@k8s-master ~]# kubectl get secret
NAME                    TYPE                                  DATA      AGE
mysecret                Opaque                                2         6s

#事先完成敏感数据的Base64编码
[root@k8s-master ~]# echo -n admin |base64
YWRtaW4=
[root@k8s-master ~]# echo -n 123456 |base64
MTIzNDU2

[root@k8s-master ~]# vim secret.yaml
apiVersion: v1
kind: Secret
metadata:
  name: mysecret
data:
  username: YWRtaW4=
  password: MTIzNDU2
[root@k8s-master ~]# kubectl apply -f secret.yaml 
secret/mysecret created
[root@k8s-master ~]# kubectl get secret  #查看存在的 secret,显示有2条数据
NAME                    TYPE                                  DATA      AGE
mysecret                Opaque                                2         8s
[root@k8s-master ~]# kubectl describe secret mysecret  #查看数据的 Key
Name:         mysecret
Namespace:    default
Labels:       <none>
Annotations:  
Type:         Opaque

Data
====
username:  5 bytes
password:  6 bytes
[root@k8s-master ~]# kubectl edit secret mysecret  #查看具体的value,可以使用该命令
apiVersion: v1
data:
  password: MTIzNDU2
  username: YWRtaW4=
kind: Secret
metadata:
......
[root@k8s-master ~]# echo -n MTIzNDU2 |base64 --decode  #通过 base64 将 Value 反编码:
123456
[root@k8s-master ~]# echo -n YWRtaW4= |base64 --decode
admin

使用Sercret

以 Volume 方式使用的 Secret 支持动态更新:Secret 更新后,容器中的数据也会更新。


[root@k8s-master volumes]# vim pod-secret-demo.yaml
apiVersion: v1
kind: Pod
metadata:
  name: pod-secret
spec:
  containers:
  - name: pod-secret
    image: busybox
    args:
      - /bin/sh
      - -c
      - sleep 10;touch /tmp/healthy;sleep 30000
    volumeMounts:   #将 foo mount 到容器路径 /etc/foo,可指定读写权限为 readOnly。
    - name: foo
      mountPath: "/etc/foo"
      readOnly: true
  volumes:    #定义 volume foo,来源为 secret mysecret。
  - name: foo
    secret:
      secretName: mysecret
[root@k8s-master volumes]# kubectl apply -f pod-secret-demo.yaml 
pod/pod-secret created
[root@k8s-master volumes]# kubectl get pods
pod-secret                           1/1       Running   0          1m
[root@k8s-master volumes]# kubectl exec -it pod-secret sh
/ # ls /etc/foo/
password  username
/ # cat /etc/foo/username 
admin/ # 
/ # cat /etc/foo/password 
123456/ #

可以看到,Kubernetes 会在指定的路径 /etc/foo 下为每条敏感数据创建一个文件,文件名就是数据条目的 Key,这里是 /etc/foo/username 和 /etc/foo/password,Value 则以明文存放在文件中。

可以自定义存放数据的文件名:

[root@k8s-master volumes]# cat pod-secret-demo.yaml 
apiVersion: v1
kind: Pod
metadata:
  name: pod-secret
spec:
  containers:
  - name: pod-secret
    image: busybox
    args:
      - /bin/sh
      - -c
      - sleep 10;touch /tmp/healthy;sleep 30000
    volumeMounts:
    - name: foo
      mountPath: "/etc/foo"
      readOnly: true
  volumes:
  - name: foo
    secret:
      secretName: mysecret
      items:    #自定义存放数据的文件名
      - key: username
        path: my-secret/my-username
      - key: password
        path: my-secret/my-password
[root@k8s-master volumes]# kubectl delete pods pod-secret
pod "pod-secret" deleted
[root@k8s-master volumes]# kubectl apply -f pod-secret-demo.yaml 
pod/pod-secret created
[root@k8s-master volumes]# kubectl exec -it pod-secret sh
/ # cat /etc/foo/my-secret/my-username 
admin
/ # cat /etc/foo/my-secret/my-password 
123456

以 环境变量 方式使用的 Secret 不支持动态更新。

[root@k8s-master volumes]# cp pod-secret-demo.yaml pod-secret-env-demo.yaml
[root@k8s-master volumes]# vim pod-secret-env-demo.yaml 
apiVersion: v1
kind: Pod
metadata:
  name: pod-secret-env
spec:
  containers:
  - name: pod-secret-env
    image: busybox
    args:
      - /bin/sh
      - -c
      - sleep 10;touch /tmp/healthy;sleep 30000
    env:
      - name: SECRET_USERNAME
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: username
      - name: SECRET_PASSWORD
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: password
[root@k8s-master volumes]# kubectl apply -f pod-secret-env-demo.yaml 
pod/pod-secret-env created

[root@k8s-master volumes]# kubectl exec -it pod-secret-env sh
/ # echo $SECRET_USERNAME
admin
/ # echo $SECRET_PASSWORD
abcdef

ConfigMap

  • Configmap是让配置文件从镜像中解耦,让镜像的可移植性和可复制性。ConfigMap API给我们提供了向容器中注入配置信息的机制,ConfigMap可以被用来保存单个属性,也可以用来保存整个配置文件或者JSON二进制大对象。
  • Configmap和Secret很类似,创建和使用几乎一致,不再展开。

四、引用文档

https://www.cnblogs.com/linuxk/p/9760363.html#tid-mDhj4d

官方文档

K8S系列】深入解析K8S存储
颜淡慕潇
06-25 2万+
Kubernetes 中,存储具有非常广泛的应用场景。可以根据实际需求选择适合自己的存储方案,以便更好地管理容器化应用程序中的数据和资源。 本文会从以下三个方面,带你了解k8s存储:1.k8s存储类型;2.存储使用场景;3.存储使用案例
k8s中的存储
H945572的博客
10-08 1105
configMap用于保存配置数据,以键值对形式存储。configMap 资源提供了向 Pod 注入配置数据的方法。镜像和配置文件解耦,以便实现镜像的可移植性和可复用性。etcd限制了文件大小不能超过1M。
谈谈k8s1.12新特性--Mount propagation(挂载命名空间的传播)
weixin_34021089的博客
09-29 1530
Mount propagation 挂载传播允许将Container挂载的卷共享到同一Pod中的其他Container,甚至可以共享到同一节点上的其他Pod。一个卷的挂载传播由Container.volumeMounts中的mountPropagation字段控制。它的值是: None 此卷挂载不会接收到任何后续挂载到该卷或是挂载到该卷...
k8s: mount了nfs目录的Deployment
amadeus_liu2的博客
07-06 492
k8s
K8S Pod 常见数据存储方案
最新发布
matrixlzp的博客
04-27 919
Kubernetes 的卷是 pod 的⼀个组成部分,因此像容器⼀样在 pod 的规范(pod.spec)中就定义了。它们不是独立的 Kubernetes 对象,也不能单独创建或删除。pod 中的所有容器都可以使用卷,但必须先将它挂载在每个需要访问它的容器中。在每个容器中,都可以在其文件系统的任意位置挂载卷。在 .spec.volumes 字段中设置为 Pod 提供的卷。在 .spec.containers[*].volumeMounts 字段中声明卷在容器中的挂载位置。
K8S的mountPath和subPath
Blue summer的博客
03-25 3646
mountPath是容器内部文件系统的挂载点,它定义了容器内部将外部存储卷(如 PersistentVolume、ConfigMap、Secret 等)挂载到哪个路径下。通过 mountPath,容器可以访问这些挂载的数据或配置。
[经验交流] k8s mount 文件到容器目录
weixin_33701617的博客
04-25 2782
docker 的 volume 可以 mount 单个文件(比如单个配置文件)到容器目录、同时保留原目录的内容。放到 k8s 中,结果却变成了这样:k8s 的 volume 把文件mount 到容器目录后,该目录下的其它文件却消失了(如果 mount 到 /etc 下,只有 hostname,resolv.conf, passwd 等文件被保留)。 这个链接给出了解决方法: https:...
容器入门(K8s
weixin_52212266的博客
09-01 1410
定义:容器容器image运行时的实例【软件界的集装箱(隔离,封装)】
k8s中部署prometheus的镜像
03-23
Kubernetesk8s)集群中部署Prometheus是一个常见的监控解决方案,Prometheus是一款强大的开源监控和警报系统,能够实时收集和分析时间序列数据。本文将详细介绍如何在k8s环境中部署Prometheus的镜像。 一、...
k8s存储
fhjtg的博客
05-31 1122
PV 全称叫做 Persistent Volume,持久化存储卷。它是用来描述或者说用来定义一个存储卷的,这个通常都是由运维工程师来定义。PVC 的全称是 Persistent Volume Claim,是持久化存储的请求。它是用来描述希望使用什么样的或者说是满足什么条件的 PV 存储。PVC 的使用逻辑:在 Pod 中定义一个存储卷(该存储卷类型为 PVC),定义的时候直接指定大小,PVC 必须与对应的 PV 建立关系,PVC 会根据配置的定义去 PV 申请,而 PV 是由存储空间创建出来的。
k8s 部署skywalking 用mysql存储
07-26
skywalking的 application文件
k8s存储 : volumeMounts
热门推荐
yuezhilangniao的博客
06-01 2万+
原文:https://blog.51cto.com/forall/2135152 在Docker中就有数据卷的概念,当容器删除时,数据也一起会被删除,想要持久化使用数据,需要把主机上的目录挂载到Docker中去,在K8S中,数据卷是通过Pod实现持久化的,如果Pod删除,数据卷也会一起删除,k8s的数据卷是docker数据卷的扩展,K8S适配各种存储系统,包括本地存储EmptyDir,HostPath,网络存储NFS,GlusterFS,PV/PVC等,下面就详细介绍下K8S存储如何实现。 一.本地.
K8S磁盘挂载方式
stone9159的专栏
09-13 2697
注意点 针对k8s环境,需要在k8s对应的机器上安装nfs客户端,否则部署时会因为挂载失败而报错 1.操作步骤 1)在磁盘服务器上安装nfs服务端 1.1安装NFS服务: #执行以下命令安装NFS服务器,apt会自动安装nfs-common、rpcbind等13个软件包 sudo apt install nfs-kernel-server 1.2编写配置文件: #编辑/etc/exports 文件: sudo vi/...
K8S(Kuberntes)动手实践
Allenzyg的博客
08-17 1258
一、基本概念及命令行工具kubectl Kuberntes及容器生态系统 Kubernetes架构 Kubernetes基本概念 部署应用 kubectl run nginx –image=nginx:1.7.9 kubectl get deploy 这一步出现了问题,一直处于ContainerCreating状态。 原因:“image pull failed for gcr.io/google_containers/pause:2.0”。k8s默认从gcr.io/g
k8s挂载映射操作详解
W1124824402的博客
08-22 4299
k8s 中,有几种特殊的 Volume,它们的意义不是为了存放容器里的数据,也不是用来进行容器和宿主机之间的数据交换。"而是为容器提供预先定义好的数据。从容器的角度来看,这些 Volume 里的信息仿佛是被 k8s "投射"(Project)进入容器中的k8s 支持的 Projected Volume 一共有四种:SecretConfigMapServiceAccountToken 不常用没有写。
k8s 目录和文件挂载到宿主机
weixin_46627652的博客
11-07 1万+
k8s hostPath、pv,pvc、nfs挂载
k8s存储篇---数据卷-挂载
linus.lin的博客
08-28 1931
挂载是指将定义在 Pod 中的数据卷关联到容器,同一个 Pod 中的同一个数据卷可以被挂载到该 Pod 中的多个容器上。
K8S - 理解volumeMounts 中的subpath
nvd11的专栏
09-01 2377
在上一篇文章中介绍了springboot 中如何实时读取外部配置文件的内容。
部署k8s集群存储-数据卷
Friendsofthewind的博客
11-25 1549
学习目标: Volume: 数据卷 kubernetes Pod中多个容器访问的共享目录。volume被定义在pod上,被这个pod的多个容器挂载到相同或不同的路径下。volume的生命周期与pod的生命周期相同,pod内的容器停止和重启时一般不会影响volume中的数据。所以一般volume被用于持久化pod产生的数据。 volume类型: emptyDir hostPath 学习内容: 提示:这里可以添加要学的内容 例如: 1、 搭建 Java 开发环境 2、 掌握 Java 基本语法 3、 掌握条件
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值