容器的生命周期可能很短,会被频繁地创建和销毁。那么容器在销毁时,保存在容器中的数据也会被清除。这种结果对用户来说,在某些情况下是不乐意看到的。为了持久化保存容器的数据,kubernetes引入了Volume的概念。
Volume是pod中能够被多个容器访问的共享目录,它被定要到pod上,然后被一个pod里面的多个容器挂载到具体的文件目录下,k8s通过volume实现同一个pod中不同的容器之间的数据共享以及数据的持久化存储。 Volume的生命周期不与pod中单个容器生命周期相关。当容器终止或者重启的时候,Volumne中的数据也不会丢失。
k8s的Volume支持多种类型,比较常见的有下面几个:
- 简单存储:EmptyDir、HostPath、NFS
- 高级存储:PV、PVC
- 配置存储:ConfigMap、Secret
基本存储
EmptyDir
EmptyDir是最基础的Volume类型,一个EmptyDir就是Host上的一个空目录。
EmptyDir是pod被分配到Node时候创建的,它的初始内容为空,并且无需指定宿主机上对应的目录文件,因此k8s会自动分配一个目录,当pod销毁的时候,EmptyDir中的数据也会被永久的删除。它的用途:
- 临时空间,例如用作某些应用程序运行的时候需要的临时目录,并且无需永久保存。
- 一个容器需要从零位一个容器中获取数据的目录(多容器共享目录)
示例
在一个POD中准备两个容器nginx和busybox,然后申明一个Volume分别挂再两个容器的目录中,然后nginx容器负责向Volume中写日志,busybox中通过命令将日志内容读到控制台。
创建一个volume-emptydir.yaml,如下所示:
apiVersionv1
kindPod
metadata
namevolume-emptydir
namespacedev
spec
containers
namenginx
imagenginx1.14-alpine
ports
containerPort80
volumeMounts# 将logs-volume挂在到nginx容器中,对应的目录为 /var/log/nginx
namelogs-volume
mountPath/var/log/nginx
namebusybox
imagebusybox1.30
command"/bin/sh""-c""tail -f /logs/access.log" # 初始命令,动态读取指定文件中内容
volumeMounts# 将logs-volume 挂在到busybox容器中,对应的目录为 /logs
namelogs-volume
mountPath/logs
volumes# 声明volume, name为logs-volume,类型为emptyDir
namelogs-volume
emptyDir
# 创建Pod
[root@master ~]# kubectl create -f volume-emptydir.yaml
pod/volume-emptydir created
# 查看pod
[root@master ~]# kubectl get pods volume-emptydir -n dev -o wide
NAME READY STATUS RESTARTS AGE IP NODE ......
volume-emptydir 2/2 Running 0 97s 10.244.1.100 node1 ......
# 通过podIp访问nginx
[root@master ~]# curl 10.244.1.100
......
# 通过kubectl logs命令查看指定容器的标准输出
[root@master ~]# kubectl logs -f volume-emptydir -n dev -c busybox
10.244.0.0 - - [13/Apr/2020:10:58:47 +0000] "GET / HTTP/1.1" 200 612 "-" "curl/7.29.0" "-"
HostPath
如果向简单的将数据持久化到主机中,可以选择hostpath
HostPath就是将Node中主机的一个实际目录挂载到Pod中,以供容器使用,这样的设计就可以保证Pod销毁了,但是数据依旧可以存在Node主机上。
创建一个volume-hostpath.yaml:
apiVersionv1
kindPod
metadata
namevolume-hostpath
namespacedev
spec
containers
namenginx
imagenginx1.17.1
ports
containerPort80
volumeMounts
namelogs-volume
mountPath/var/log/nginx
namebusybox
imagebusybox1.30
command"/bin/sh""-c""tail -f /logs/access.log"
volumeMounts
namelogs-volume
mountPath/logs
volumes
namelogs-volume
hostPath
path/root/logs
typeDirectoryOrCreate # 目录存在就使用,不存在就先创建后使用
关于type的值的一点说明:
DirectoryOrCreate 目录存在就使用,不存在就先创建后使用
Directory 目录必须存在
FileOrCreate 文件存在就使用,不存在就先创建后使用
File 文件必须存在
Socket unix套接字必须存在
CharDevice 字符设备必须存在
BlockDevice 块设备必须存在
# 创建Pod
[root@master ~]# kubectl create -f volume-hostpath.yaml
pod/volume-hostpath created
# 查看Pod
[root@master ~]# kubectl get pods volume-hostpath -n dev -o wide
NAME READY STATUS RESTARTS AGE IP NODE ......
pod-volume-hostpath 2/2 Running 0 16s 10.244.1.104 node1 ......
#访问nginx
[root@master ~]# curl 10.244.1.104
# 接下来就可以去host的/root/logs目录下查看存储的文件了
### 注意: 下面的操作需要到Pod所在的节点运行(案例中是node1)
[root@node1 ~]# ls /root/logs/
access.log error.log
# 同样的道理,如果在此目录下创建一个文件,到容器中也是可以看到的
NFS
HostPath可以解决数据持久化的问题,但是一旦Node节点故障了,Pod如果转移到了别的节点,又会出现问题了,此时需要准备单独的网络存储系统,比较常用的用NFS、CIFS。
NFS是一个网络文件存储系统,可以搭建一台NFS服务器,然后将Pod中的存储直接连接到NFS系统上,这样的话,无论Pod在节点上怎么转移,只要Node跟NFS的对接没问题,数据就可以成功访问
准备NFS服务器
# 在master上安装nfs服务
[root@master ~]# yum install nfs-utils -y
# 准备一个共享目录
[root@master ~]# mkdir /root/data/nfs -pv
# 将共享目录以读写权限暴露给192.168.109.0/24网段中的所有主机
[root@master ~]# vim /etc/exports
[root@master ~]# more /etc/exports
/root/data/nfs *(rw,no_root_squash,no_all_squash,sync)
# 启动nfs服务
[root@master ~]# systemctl start nfs
每个节点都安装nfs,目的是为了node可以驱动nfs设备
# 在node上安装nfs服务,注意不需要启动
[root@master ~]# yum install nfs-utils -y
编写yaml文件
apiVersionv1
kindPod
metadata
namevolume-nfs
namespacedev
spec
containers
namenginx
imagenginx1.17.1
ports
containerPort80
volumeMounts
namelogs-volume
mountPath/var/log/nginx
namebusybox
imagebusybox1.30
command"/bin/sh""-c""tail -f /logs/access.log"
volumeMounts
namelogs-volume
mountPath/logs
volumes
namelogs-volume
nfs
server172.16.50.149 #nfs服务器地址
path/root/data/nfs #共享文件路径
运行pod
# 创建pod
[root@master ~]# kubectl create -f volume-nfs.yaml
pod/volume-nfs created
# 查看pod
[root@master ~]# kubectl get pods volume-nfs -n dev
NAME READY STATUS RESTARTS AGE
volume-nfs 2/2 Running 0 2m9s
# 查看nfs服务器上的共享目录,发现已经有文件了
[root@master ~]# ls /root/data/
access.log error.log
PV和PVC
由于k8s支持的存储系统有很多,为了屏蔽底层存储实现细节,方便用户使用,引用了PV和PVC两种资源对象。
PV(Persistent Volume)是持久化卷的意思,是对底层的共享存储的一种抽象。一般情况下PV由kubernetes管理员进行创建和配置,它与底层具体的共享存储技术有关,并通过插件完成与共享存储的对接。
PVC(Persistent Volume Claim)是持久卷声明的意思,是用户对于存储需求的一种声明。换句话说,PVC其实就是用户向kubernetes系统发出的一种资源需求申请。
使用了PV和PVC之后,工作可以得到进一步细分:
- 存储:存储工程师维护
- PV:K8S管理员维护
- PVC:k8s用户维护
PV
PV是存储的资源的抽象,以下是清单文件
apiVersionv1
kindPersistentVolume
metadata
namepv2
spec
nfs# 存储类型,与底层真正存储对应
capacity# 存储能力,目前只支持存储空间的设置
storage2Gi
accessModes# 访问模式
storageClassName# 存储类别
persistentVolumeReclaimPolicy# 回收策略
相关配置说明
- 存储类型
底层实现存储的类型,k8s支持多种存储类型,每种存储类型的配置都有所差异
- 存储能力(capactiy)
目前只自持存储空间的设置(storage=1Gi),以后支持IOPS,吞吐量等指标的配置
- 访问模式(accessModes)
用于描述用户用用对存储资源的访问权限,访问权限包括以下集中方式:
- ReadWriteOnce(RWO):读写权限,但是只能被单个节点挂载
- ReadOnlyMany(ROX): 只读权限,可以被多个节点挂载
- ReadWriteMany(RWX):读写权限,可以被多个节点挂载
需要注意的是,底层不同的存储而理性可能支持的访问模式不同
- 回收策略(persistentVolumeReclaimPolicy)
当PV不在被使用了之后,对其的处理方式。目前支持三种策略:
- Retain (保留) 保留数据,需要管理员手工清理数据
- Recycle(回收) 清除 PV 中的数据,效果相当于执行 rm -rf /thevolume/*
- Delete (删除) 与 PV 相连的后端存储完成 volume 的删除操作,当然这常见于云服务商的存储服务
需要注意的是,磁层不同的存储类型可能支持的回收策略不同。
- 存储类别
PV可以通过 storageClassName参数来指定一个存储类别
- 具有特定类别的PV只能与请求了该类别的PVC进行绑定
- 未设定类别的PV只能与不请求任何类别的PVC进行绑定
- 状态(status)
一个PV的生命周期中,可能会处于4种不同的阶段:
- Available(可用): 表示可用状态,还未被任何 PVC 绑定
- Bound(已绑定): 表示 PV 已经被 PVC 绑定
- Released(已释放): 表示 PVC 被删除,但是资源还未被集群重新声明
- Failed(失败): 表示该 PV 的自动回收失败
实验
使用NFS作为存储,来演示PV的使用,创建3个PV,对应NFS种的3个暴露路径。
1-准备NFS
# 创建目录
[root@master ~]# mkdir /root/data/{pv1,pv2,pv3} -pv
# 暴露服务
[root@master ~]# more /etc/exports
/root/data/pv1 *(rw,no_root_squash,no_all_squash,sync)
/root/data/pv2 *(rw,no_root_squash,no_all_squash,sync)
/root/data/pv3 *(rw,no_root_squash,no_all_squash,sync)
# 重启服务
[root@master ~]# systemctl restart nfs
2-创建pv.yaml
apiVersionv1
kindPersistentVolume
metadata
namepv1
spec
capacity
storage1Gi
accessModes
ReadWriteMany
persistentVolumeReclaimPolicyRetain
nfs
path/root/data/pv1
server172.16.50.149
---
apiVersionv1
kindPersistentVolume
metadata
namepv2
spec
capacity
storage2Gi
accessModes
ReadWriteMany
persistentVolumeReclaimPolicyRetain
nfs
path/root/data/pv2
server172.16.50.149
---
apiVersionv1
kindPersistentVolume
metadata
namepv3
spec
capacity
storage3Gi
accessModes
ReadWriteMany
persistentVolumeReclaimPolicyRetain
nfs
path/root/data/pv3
server172.16.50.149
# 创建 pv
[root@master ~]# kubectl create -f pv.yaml
persistentvolume/pv1 created
persistentvolume/pv2 created
persistentvolume/pv3 created
# 查看pv
[root@master ~]# kubectl get pv -o wide
NAME CAPACITY ACCESS MODES RECLAIM POLICY STATUS AGE VOLUMEMODE
pv1 1Gi RWX Retain Available 10s Filesystem
pv2 2Gi RWX Retain Available 10s Filesystem
pv3 3Gi RWX Retain Available 9s Filesystem
PVC
pvc是资源的申请,用来申明对存储空间,访问模式,存储类别需求信息
清单文件
apiVersionv1
kindPersistentVolumeClaim
metadata
namepvc
namespacedev
spec
accessModes# 访问模式
selector# 采用标签对PV选择
storageClassName# 存储类别
resources# 请求空间
requests
storage5Gi
参数说明:
- 访问模式(accessModes)
用于描述用户对应存储资源的访问权限
- 选择条件(selector)
通过Lable Selector的设置,可使用PVC对于系统种已存在的PV进行筛选
- 存储类别(storageClassName)
PVC在定义的时候可以设定需要的后端存储类别,只有设置了该class的pv擦能被系统选出
- 资源请求(Resources)
描述对存储资源的请求
实验
1-创建pvc.yaml,申请pv
apiVersionv1
kindPersistentVolumeClaim
metadata
namepvc1
namespacedev
spec
accessModes
ReadWriteMany
resources
requests
storage1Gi
---
apiVersionv1
kindPersistentVolumeClaim
metadata
namepvc2
namespacedev
spec
accessModes
ReadWriteMany
resources
requests
storage1Gi
---
apiVersionv1
kindPersistentVolumeClaim
metadata
namepvc3
namespacedev
spec
accessModes
ReadWriteMany
resources
requests
storage5Gi
# 创建pvc
[root@master ~]# kubectl create -f pvc.yaml
persistentvolumeclaim/pvc1 created
persistentvolumeclaim/pvc2 created
persistentvolumeclaim/pvc3 created
# 查看pvc
[root@master ~]# kubectl get pvc -n dev -o wide
NAME STATUS VOLUME CAPACITY ACCESS MODES STORAGECLASS AGE VOLUMEMODE
pvc1 Bound pv1 1Gi RWX 15s Filesystem
pvc2 Bound pv2 2Gi RWX 15s Filesystem
pvc3 Bound pv3 3Gi RWX 15s Filesystem
# 查看pv
[root@master ~]# kubectl get pv -o wide
NAME CAPACITY ACCESS MODES RECLAIM POLICY STATUS CLAIM AGE VOLUMEMODE
pv1 1Gi RWx Retain Bound dev/pvc1 3h37m Filesystem
pv2 2Gi RWX Retain Bound dev/pvc2 3h37m Filesystem
pv3 3Gi RWX Retain Bound dev/pvc3 3h37m Filesystem
2- 创建pods.yaml,使用pv
apiVersionv1
kindPod
metadata
namepod1
namespacedev
spec
containers
namebusybox
imagebusybox1.30
command"/bin/sh""-c""while true;do echo pod1 >> /root/out.txt; sleep 10; done;"
volumeMounts
namevolume
mountPath/root/
volumes
namevolume
persistentVolumeClaim
claimNamepvc1
readOnlyfalse
---
apiVersionv1
kindPod
metadata
namepod2
namespacedev
spec
containers
namebusybox
imagebusybox1.30
command"/bin/sh""-c""while true;do echo pod2 >> /root/out.txt; sleep 10; done;"
volumeMounts
namevolume
mountPath/root/
volumes
namevolume
persistentVolumeClaim
claimNamepvc2
readOnlyfalse
# 创建pod
[root@master ~]# kubectl create -f pods.yaml
pod/pod1 created
pod/pod2 created
# 查看pod
[root@master ~]# kubectl get pods -n dev -o wide
NAME READY STATUS RESTARTS AGE IP NODE
pod1 1/1 Running 0 14s 10.244.1.69 node1
pod2 1/1 Running 0 14s 10.244.1.70 node1
# 查看pvc
[root@master ~]# kubectl get pvc -n dev -o wide
NAME STATUS VOLUME CAPACITY ACCESS MODES AGE VOLUMEMODE
pvc1 Bound pv1 1Gi RWX 94m Filesystem
pvc2 Bound pv2 2Gi RWX 94m Filesystem
pvc3 Bound pv3 3Gi RWX 94m Filesystem
# 查看pv
[root@master ~]# kubectl get pv -n dev -o wide
NAME CAPACITY ACCESS MODES RECLAIM POLICY STATUS CLAIM AGE VOLUMEMODE
pv1 1Gi RWX Retain Bound dev/pvc1 5h11m Filesystem
pv2 2Gi RWX Retain Bound dev/pvc2 5h11m Filesystem
pv3 3Gi RWX Retain Bound dev/pvc3 5h11m Filesystem
# 查看nfs中的文件存储
[root@master ~]# more /root/data/pv1/out.txt
node1
node1
[root@master ~]# more /root/data/pv2/out.txt
node2
node2
生命周期
PVC和PV是一一对应的,PV和PVC之间的相互作用遵循以下生命周期
- 资源供应:管理员手动创建底层存储和pv
- 资源绑定:用户创建PVC,k8s负责根据PVC的申明去寻找PV,并绑定
在用户定义好PVC之后,系统将根据PVC对存储资源的请求在已存在的PV种选择一个满足条件的。
1)一旦找到,就将PV与用户定义的PVC进行绑定的,用户的应用就可以使用这个PVC了
2)如果找不到,PVC则会无限期处于Pending状态,直到系统管理员创建了一个符合其要求的PV
PV一旦绑定到某个PVC上,就会被这个PVC独占,不会再与其他PVC进行绑定了
- 资源使用:用户可以再pod种像 volume一样使用pvc
Pod使用Volume的定义,将PVC挂载到容器内的某个路径进行使用
- 资源释放:用户删除pvc来释放pv
存储资源使用完毕后,用户可以山粗PVC,与该pvc绑定的pv将会被标记为“已释放”,但是还不能立刻与其他PVC进行绑定,通过之前PVC写入的数据还可能保留再存储设备i上,只有再清除之后该PV才能被再次使用。
- 资源回收:k8s根据pv设置的回收策略进行资源的回收
对于PV,管理员可以设定回收策略,用于设置阈值绑定的PVC,释放资源之后如何处理遗留数据问题,只有PV的存储空间完成回收,才能供新的PVC绑定和使用
恢复重新绑定
kubectl edit pv pv1
kubectl edit pv pv2
配置存储
ConfigMap
ConfigMap是一种比较特殊的存储卷,它的主要作用是用来存储配置信息的。
创建configmap.yaml
apiVersionv1
kindConfigMap
metadata
nameconfigmap
namespacedev
data
info
username:admin
password:123456
使用配置文件创建configmap
# 创建configmap
[root@master ~]# kubectl create -f configmap.yaml
configmap/configmap created
# 查看configmap详情
[root@master ~]# kubectl describe cm configmap -n dev
Name: configmap
Namespace: dev
Labels: <none>
Annotations: <none>
Data
====
info:
----
username:admin
password:123456
Events: <none>
创建pod-configmap.yaml,将上面创建的configmap的挂载进去
apiVersion: v1
kind: Pod
metadata:
name: pod-configmap
namespace: dev
spec:
containers:
- name: nginx
image: nginx:1.17.1
volumeMounts: # 将configmap挂载到目录
- name: config
mountPath: /configmap/config
volumes: # 引用configmap
- name: config
configMap:
name: configmap
# 创建pod
[root@master ~]# kubectl create -f pod-configmap.yaml
pod/pod-configmap created
# 查看pod
[root@master ~]# kubectl get pod pod-configmap -n dev
NAME READY STATUS RESTARTS AGE
pod-configmap 1/1 Running 0 6s
#进入容器
[root@master ~]# kubectl exec -it pod-configmap -n dev /bin/sh
# cd /configmap/config/
# ls
info
# more info
username:admin
password:123456
# 可以看到映射已经成功,每个configmap都映射成了一个目录
# key--->文件 value---->文件中的内容
# 此时如果更新configmap的内容, 容器中的值也会动态更新
[root@master demo]# echo 1234 > index.html
[root@master demo]# kubectl create configmap web-config --from-file=index.html
configmap/web-config created
[root@master demo]# kubectl describe cm web-config
Name: web-config
Namespace: default
Labels: <none>
Annotations: <none>
Data
====
index.html:
----
1234
Events: <none>
apiVersionv1
kindPod
metadata
namepod-configmap
namespacedev
spec
containers
namenginx
imagenginx1.17.1
volumeMounts# 将configmap挂载到目录
nameconfig
mountPath/usr/share/nginx/html
volumes# 引用configmap
nameconfig
configMap
nameweb-config
Secret
在kubernetes中,还存在一种和ConfigMap非常类似的对象,称为Secret对象。它主要用于存储敏感信息,例如密码、秘钥、证书等等。
1- 使用base64对数据进行编码
[root@master ~]# echo -n 'admin' | base64 #准备username
YWRtaW4=
[root@master ~]# echo -n '123456' | base64 #准备password
MTIzNDU2
2- 接下来编写secret.yaml,并创建serect
apiVersionv1
kindSecret
metadata
namesecret
namespacedev
typeOpaque
data
usernameYWRtaW4=
passwordMTIzNDU2
# 创建secret
[root@master ~]# kubectl create -f secret.yaml
secret/secret created
# 查看secret详情
[root@master ~]# kubectl describe secret secret -n dev
Name: secret
Namespace: dev
Labels: <none>
Annotations: <none>
Type: Opaque
Data
====
password: 6 bytes
username: 5 bytes
创建pod-secret.yaml,将secret挂载进去:
apiVersionv1
kindPod
metadata
namepod-secret
namespacedev
spec
containers
namenginx
imagenginx1.17.1
volumeMounts# 将secret挂载到目录
nameconfig
mountPath/secret/config
volumes
nameconfig
secret
secretNamesecret
# 创建pod
[root@master ~]# kubectl create -f pod-secret.yaml
pod/pod-secret created
# 查看pod
[root@master ~]# kubectl get pod pod-secret -n dev
NAME READY STATUS RESTARTS AGE
pod-secret 1/1 Running 0 2m28s
# 进入容器,查看secret信息,发现已经自动解码了
[root@master ~]# kubectl exec -it pod-secret /bin/sh -n dev
/ # ls /secret/config/
password username
/ # more /secret/config/username
admin
/ # more /secret/config/password
123456
