一、Lifecycle

官网:https://kubernetes.io/docs/concepts/workloads/pods/pod-lifecycle/

 通过前面的分享,关于pod是什么相信看过前面的文章的朋友已经很清楚了,有开发经验的朋友很清楚,对象的创建是具有生命周期的,对于Pod也一样,他也有它的生命周期,接下来就是分享pod的创建、销毁、以及他的状态是什么;简单的来说,就是分享pod的生命周期。

 

 

 

 下图是官网对Pod生命周期阶段的描述

 

 

 通过官网可以发现有一个Running状态,相信大家也非常喜欢Running状态,因为这玩意就表示创建成功正常运行,但有时候创建pod时也有不随人愿的时候,因为有时pod偏偏会有一些奇怪的状态,比哪下面几个状态

  • 挂起(Pending):Pod 已被 Kubernetes 系统接受,但有一个或者多个容器镜像尚未创建。等待时间包括调度 Pod 的时间和通过网络下载镜像的时间,这可能需要花点时间。
  • 运行中(Running):该 Pod 已经绑定到了一个节点上,Pod 中所有的容器都已被创建。至少有一个容器正在运行,或者正处于启动或重启状态。
  • 成功(Succeeded):Pod 中的所有容器都被成功终止,并且不会再重启。
  • 失败(Failed):Pod 中的所有容器都已终止了,并且至少有一个容器是因为失败终止。也就是说,容器以非0状态退出或者被系统终止。
  • 未知(Unknown):因为某些原因无法取得 Pod 的状态,通常是因为与 Pod 所在主机通信失败。

其实对这Pod五大状态了解后有问题时就可以很好解决了,因为知道状态后就可以通过kubectl describe pod pod-name -n namespace去查看pod日志了解为什么出现这状态了。

二、重启策略

官网 :https://kubernetes.io/docs/concepts/workloads/pods/pod-lifecycle/#restart-policy
 前面生命周期了解了后,下面了解下pod的重启策略,之所以要了解这,是因为我们有时候在创建Pod时会发现Pod会不断发生重启,官网对于重启策略也有说明,通过官网可以知道,关于重启我们可以在yaml文件中通过restartPolicy这个属性去进行一个配置,然后重启的策略有三个,分别如下:
  • Always:容器失效时,即重启
  • OnFailure:容器终止运行且退出码不为0时重启
  • Never:永远不重启
 

三、静态Pod

静态Pod是由kubelet进行管理的,并且存在于特定的Node上,比喻像master。不能通过API Server进行管理,它是由kubelet进行管理的,无法与ReplicationController,Ddeployment或者DaemonSet进行关联,也无法进行健康检查。这个东西怎么理解呢?这样说吧,我们在查看kubectl get pods -n kube-system时会发现系统的这个命名空间之下,我们一装完网络插件之后会有很多Pod,按照之前我写的文章逻辑来想,这个pod至少要有一个yaml文件才能创建的,但是我们发现刚刚命令下的系统空间的pod我们并没有写他们的pod,那么它是怎么来的呢?其实这东西很简单,当我们用命令kubeadm-init命令时他会在我们的etc/kubernetes/目录之下会有一个manifests目录,这个manifests中会有很多系统需要的很多组件的pod.yaml文件;这些玩意都是系统给我们提供的,这些组件的pod是由kubelet统一管理的,这些pod我们会习惯叫他静态pod,之所以叫他静态Pod是因为他不会有一个独立的网络,可以通过查看pod详情命令kubectl get pods -n kube-system -o wide可以看到一个点,就是系统组件的pod用的是master节点的ip,并没有用到虚拟ip,所以也验证了他不是API Server进行管理的,是由kubelet进行统一管理的,所以也无法与ReplicationController,Ddeployment或者DaemonSet进行关联和通讯,也无法进行健康检查,所以我们习惯把他叫做静态pod。

四、健康检查

官网:https://kubernetes.io/docs/concepts/workloads/pods/pod-lifecycle/#container-probes

 经过前面几个步骤,pod有生命周期了,有重启策略了,也有固定ip了,接下来pod在进行创建的时候还需要进行健康检查才能够进行正常的创建,下面是官网对健康检查的说明

 

 

 健康检查是通过两个属性进行的:

  • LivenessProbe探针:判断容器是否存活
  • ReadinessProbe探针:判断容器是否启动完成

五、ConfifigMap

官网:https://kubernetes.io/docs/tasks/configure-pod-container/configure-pod-configmap/

 

 

 官网的介绍说白了就是用来保存配置数据的键值对,也可以保存单个属性,也可以保存配置文件。所有的配置内容都存储在etcd中,创建的数据可以供Pod使用。下面来分享下三种创建的方式

5.1、命令行创建

创建一个名称为my-config的ConfigMap,key值时db.port,value值是3306

kubectl create configmap my-config --from-literal=db.port='3306'

通过命令查看,会发现在系统的默认空间下创建了一个my-config

kubectl get configmap

查看yaml文件对应的格式

kubectl get configmap myconfig -o yaml

5.2、从配置文件中创建

创建一个文件,名称为app.properties,然后在创建的文件中加入下面两句话

name=ghy
age=2

然后根据文件去创建

kubectl create configmap app --from-file=./app.properties

通过命令查看,会发现在系统的默认空间下创建了一个app

kubectl get configmap

查看yaml文件对应的格式

kubectl get configmap app -o yaml

5.3、通过yaml文件创建

新建一个configmaps.yaml,并把文件放进去

复制代码
apiVersion: v1
kind: ConfigMap
metadata:
  name: special-config
  namespace: default
data:
  special.how: very
---
apiVersion: v1
kind: ConfigMap
metadata:
  name: env-config
  namespace: default
data:
  log_level: INFO
复制代码

启动yaml文件

kubectl apply -f configmaps.yaml

通过命令查看,会发现在系统的默认空间下创建了一个env-config和special-config两个

kubectl get configmap

创建CONFIGMAP的动作完成后接下来就是去使用他了。

5.4、ConfigMap的使用

使用方式:

  • 通过环境变量的方式,直接传递给pod
    • 使用configmap中指定的key
    • 使用configmap中所有的key
  • 通过在pod的命令行下运行的方式(启动命令中)
  • 作为volume的方式挂载到pod内

注意

  • ConfigMap必须在Pod使用它之前创建
  • 使用envFrom时,将会自动忽略无效的键
  • Pod只能使用同一个命名空间的ConfigMap

5.4.1、作为volume挂载使用

将创建的ConfigMap直接挂载至Pod的/etc/config目录下,其中每一个key-value键值对都会生成一个文件,key为文件名,value为内容。

创建一个pod-configmap.yaml文件

复制代码
apiVersion: v1
kind: Pod
metadata:
  name: pod-configmap2
spec:
  containers:
    - name: test-container
      image: busybox
      command: [ "/bin/sh", "-c", "ls /etc/config/" ]
      volumeMounts:
      - name: config-volume
        mountPath: /etc/config
  volumes:
    - name: config-volume
      configMap:
        name: special-config
  restartPolicy: Never
复制代码

上面的意思很简单就是pod里面有一个busybox的containers,他会往虚拟机的/etc/config目录下把configMap的key和value以目录的形式挂载进去;

启动脚本

kubectl apply -f pod-myconfigmap.yml

可以用下面命令看是否创建成功

kubectl get pods

进入容器目录然后会找到上面说的东西

kubectl exec -it pod-configmap2 bash

 六、Secret

 官网:https://kubernetes.io/docs/concepts/configuration/secret/

这块内容是关于数据安全性东西,前面的ConfigMap的配置文件什么的大家也看了,但现在的文件配置都是明文的,如果有些东西不想明文展示,那怎么搞呢

 

 6.1、Secret类型

secret一共有三种类型:

  • Opaque:使用base64编码存储信息,可以通过`base64 --decode`解码获得原始数据,因此安全性弱。
  • kubernetes.io/dockerconfigjson:用于存储docker registry的认证信息。
  • kubernetes.io/service-account-token:用于被 serviceaccount 引用。serviceaccout 创建时 Kubernetes 会默认创建对应的 secret。Pod 如果使用了 serviceaccount,对应的 secret 会自动挂载到 Pod 的 /run/secrets/kubernetes.io/serviceaccount 目录中。

6.2、Opaque Secret

 Opaque类型的Secret的value为base64位编码后的值

 6.2.1、 从文件中创建

echo -n "admin" > ./username.txt
echo -n "1f2d1e2e67df" > ./password.txt
kubectl create secret generic db-user-pass --from-file=./username.txt --from-file=./password.txt
kubectl get secret

6.2.2、 使用yaml文件创建

(1)对数据进行64位编码

echo -n 'admin' | base64
echo -n '1f2d1e2e67df' | base64

(2)定义mysecret.yaml文件

复制代码
apiVersion: v1
kind: Secret
metadata:
  name: mysecret
type: Opaque
data:
  username: YWRtaW4=
  password: MWYyZDFlMmU2N2Rm
复制代码

(3)根据yaml文件创建资源并查看

kubectl create -f ./secret.yaml
kubectl get secret
kubectl get secret mysecret -o yaml

6.3 Secret使用

通过6.2.2的方式就得到了一个secret文件,接下来就这个文件使用进行说明下。他的使用有两种方式

  • 以Volume方式
  • 以环境变量方式

6.3.1、 将Secret挂载到Volume中

(1)创建mypod.yaml文件

复制代码
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: mypod
    image: redis
    volumeMounts:
    - name: foo
      mountPath: "/etc/foo"
      readOnly: true
  volumes:
  - name: foo
    secret:
      secretName: mysecret
复制代码

(2)用命令启动

kubectl apply -f mypod.yaml

(3)进入容器里面

kubectl exec -it mypod bash

(4)进入在配置文件定义的目录会发现目录是创建成功的

cd /etc/foo

(5)也可以用如下命令看创建的内容

cat /etc/foo/username
cat /etc/foo/password

6.3.2、 将Secret设置为环境变量

(1)配置文件如下,重要环境变量配置我标记出来了

复制代码
apiVersion: v1
kind: Pod
metadata:
  name: secret-env-pod
spec:
  containers:
  - name: mycontainer
    image: redis
    env:
      - name: SECRET_USERNAME
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: username
- name: SECRET_PASSWORD
        valueFrom:
          secretKeyRef:
            name: mysecret
            key: password
  restartPolicy: Never
复制代码

6.4 、kubernetes.io/dockerconfigjson

kubernetes.io/dockerconfigjson用于存储docker registry的认证信息,可以直接使用`kubectl create secret`命令创建

6.5、 kubernetes.io/service-account-token

这个是用于被 serviceaccount 引用。serviceaccout 创建时 Kubernetes 会默认创建对应的 secret。Pod 如果使用了 serviceaccount,对应的 secret 会自动挂载到 Pod 的 /run/secrets/kubernetes.io/serviceaccount 目录中。

kubectl get secret   # 可以看到service-account-token
kubectl run nginx --image nginx
kubectl get pods
kubectl exec -it nginx-pod-name bash
ls /run/secrets/kubernetes.io/serviceaccount
kubectl get secret
kubectl get pods pod-name -o yaml   
#  找到volumes选项,定位到-name,secretName
#  找到volumeMounts选项,定位到mountPath: /var/run/secrets/kubernetes.io/serviceaccount

总结:

无论是ConfigMap,Secret,还是DownwardAPI,都是通过ProjectedVolume实现的,可以通过APIServer将信息放到Pod中进行使用。

七、指定Pod所运行的Node

(1)给node打上label

kubectl get nodes
kubectl label nodes worker02-kubeadm-k8s name=ghy

(2)查看node是否有上述label

kubectl describe node worker02-kubeadm-k8s

(3)部署一个mysql的pod

vi mysql-pod.yaml
复制代码
apiVersion: v1
kind: ReplicationController
metadata:
  name: mysql-rc
  labels:
    name: mysql-rc
spec:
  replicas: 1
  selector:
    name: mysql-pod
  template:
    metadata:
      labels: 
        name: mysql-pod
    spec:
      nodeSelector: 
        name: ghy
      containers:
      - name: mysql
        image: mysql
        imagePullPolicy: IfNotPresent
        ports:
        - containerPort: 3306
        env:
        - name: MYSQL_ROOT_PASSWORD
          value: "mysql"
      
---
apiVersion: v1
kind: Service
metadata:
  name: mysql-svc
  labels: 
    name: mysql-svc
spec:
  type: NodePort
  ports:
  - port: 3306
    protocol: TCP
    targetPort: 3306
    name: http
    nodePort: 32306
  selector:
    name: mysql-pod
复制代码

(4)查看pod运行详情

kubectl apply -f mysql-pod.yaml
kubectl get pods -o wide
posted on 2023-03-03 14:59  知趣。  阅读(31)  评论(0编辑  收藏  举报