前言
大家好,我是秋意零。
在上一篇中,我们介绍了 Pod 的生命周期以及区分 Pod 字段的层次级别,相信你对此有了充分的认识。
今天,我们还会接着以 Pod 展开,说说它的 “服务对象”,一听就知道是对 Pod 提供服务的对象,接下来就一起来看看, “服务对象” 是否有趣吧!!
哦!对了最近搞了一个扣扣群,旨在技术交流、博客互助,希望各位大佬多多支持!在我主页推广区域,如图:
文章底部推广区域,如图:
👿 简介
正文开始:
- 快速上船,马上开始掌舵了(Kubernetes),距离开船还有 3s,2s,1s…
一、Pod 服务对象
早在 【探索 Kubernetes|容器基础进阶篇 系列 4】理解现代云原生时代的引擎 (七、Kubernetes 全景图) 这篇中,就简单介绍过 “服务对象” ;而下图中,所说的 “编排对象” 将在后面详细展开。如下图所示:
首先,需要声明的是,目前介绍的 “服务对象”,仅仅是通过 Pod 的 Volume 字段来展开说明的。为什么呢?
- 像 Secret、ConfigMap、Downward API、ServiceAccountToken 这四种 Projected Volume 是今天主角,也就是通过 Volume 字段挂载(投射)进 Pod 从而进行服务的。这种 Volume,存在的意义不是为了存放容器里的数据,也不是用来进行容器和宿主机之间的数据交换。这些特殊 Volume 的作用,是为容器提供预先定义好的数据。所以,从容器的角度来看,这些 Volume 里的信息就是仿佛是被 Kubernetes“投射”(Project)进入容器当中的。这正是 Projected Volume 的含义。
- 而像 Service、Horizontal Pod Autoscaler 就是通过其它指标字段对 Pod 进行服务的。
二、Secret
Sercret 是将 Pod 要访问的加密数据,存在在 Etcd 数据库中。之后,Pod 通过挂载 Volume 卷的方式,访问到这些 Secret 里存放的信息。
Secret 使用方法:
想象一个这样的场景,使用 Kubernetes 部署一个 Mysql 服务,Mysql 容器初始化时需要指定 root 密码,因为我们一般使用 YAML 方式部署,这样方便管理容器服务对象。这时我们需要在 YAML 文件中通过环境变量的方式,初始化 Mysql 用户和密码,但是这样就容易暴露这样的明文用户和密码信息。这时就需要使用 Secret 映射给这个 Mysql 使用对应的认证信息。
1.首先需要给明文用户和密码加密
因为我们 Secret 也是 YAML 方式部署,不过在企业中,这种信息一般是管理人员为运维人员创建。运维人员使用这样一个 Secret 即可。
这里使用 base64 方式转码,并不安全,因为 base64 仅仅是经过了转码,而并没有被加密。在真正的生产环境中,你需要在 Kubernetes 中开启 Secret 的加密插件,增强数据的安全性。
# 加密方式 [root@master01 ~]# echo -n "root" | base64 cm9vdA== [root@master01 ~]# echo -n "000000" | base64 MDAwMDAw # 解密方式 [root@master01 ~]# echo -n "cm9vdA==" | base64 -d admin [root@master01 ~]# echo -n "MDAwMDAw" | base64 -d 000000
2.创建 Secret
将加密过后的用户和密码信息,填写到 Secret 中。data 字段下,以 Key-Value 的格式保存了两份 Secret 数据。其中,“user” 就是第一份数据的 Key,“pass” 是第二份数据的 Key。
user 是用户 key 而 cm9vdA== 是用户 value(用户名)pass 是用户 key 而 MDAwMDAw 是用户 value(用户密码)
[root@master01 yaml]# cat > secret-my.yaml << EOF apiVersion: v1 kind: Secret metadata: name: mysecret type: Opaque # 默认类型 data: user: cm9vdA== pass: MDAwMDAw EOF # 部署 Secret [root@master01 yaml]# kubectl apply -f secret-my.yaml secret/mysecret created # 记住 Secret 的名称(这里叫:mysecret),待会会使用。 [root@master01 yaml]# kubectl get secret NAME TYPE DATA AGE mysecret Opaque 2 9s
3.创建 Pod(Mysql)
可以使用 kubectl create secret generic 命令创建或者 YAML 文件创建。
- 3.1.将 Secret 导入到环境变量中
apiVersion: v1 kind: Pod metadata: name: mysql-pod spec: containers: - name: mysql-container image: mysql:5.7 imagePullPolicy: IfNotPresent ports: - containerPort: 3306 env: - name: MYSQL_ROOT_PASSWORD valueFrom: secretKeyRef: name: mysecret key: pass
进入容器验证,环境变量是否和 Secret 中保存的值一致。
[root@master01 yaml]# kubectl exec -it mysql-pod -- /bin/bash root@mysql-pod:/# env |grep MYSQL_ROOT_PASSWORD MYSQL_ROOT_PASSWORD=000000
- 3.2.将 Secret 挂载到 projected Voluem 中
apiVersion: v1 kind: Pod metadata: name: busybox-pod spec: containers: - name: busybox-container image: busybox imagePullPolicy: IfNotPresent args: - sleep - "3600" volumeMounts: - name: busybox-secrets mountPath: /var/secrets/busybox readOnly: true volumes: - name: busybox-secrets projected: sources: - secret: name: mysecret
进入容器验证,挂载的目录的值是否和 Secret 中保存的值一致。
- 注意:使用 Voluem 挂载方式时,是将 Secret 中的 key 作为目录名称,value 作为目录中的值 。
[root@master01 yaml]# kubectl exec -it busybox-pod -- /bin/sh # 查看使用 Secret 挂载进容器中的目录 / # ls /var/secrets/busybox pass user # 查看值 / # cat /var/secrets/busybox/user admin / # cat /var/secrets/busybox/pass 000000/ #
小结
通过挂载方式进入到容器里的 Secret,一旦其对应的 Etcd 里的数据被更新,这些 Volume 里的文件内容,同样也会被更新。其实,这是 kubelet 组件在定时维护这些 Volume。
不过,这个更新会有一定延时。所以在编写应用程序时,在发起数据库连接的代码处写好重试和超时的逻辑,绝对是个好习惯。
