2. 程式人生 > >Kubernetes學習筆記(七):訪問Pod元資料與Kubernetes API

Kubernetes學習筆記(七):訪問Pod元資料與Kubernetes API

阿新 發佈:2020-05-26
## Downward API 我們已經瞭解到,使用ConfigMap和Secret嚮應用傳遞配置資料,這對於執行前預設的資料是可行的。但是對於那些不能預先知道的,就需要使用Downward API。 Downward API允許我們通過環境變數或者卷的方式嚮應用傳遞元資料。可傳遞的資料包括:Pod的IP、名稱、標籤、註解、所在命令空間、執行的節點名稱、執行所屬的ServiceAccountName,每個容器請求的CPU和記憶體使用量以及限制。 ### 通過環境變數暴露元資料 `env.valueFrom`下引用Pod的欄位使用`fieldRef`,引用容器的cpu和記憶體使用`resourceFieldRef`。 對於暴露資源的請求和使用顯示的環境變數,我們通常會設定一個基數單位。實際的資源請求值和使用限制值除以這個基數單位,所得結果通過環境變數暴露出去。 ``` # downward-env.yaml apiVersion: v1 kind: Pod metadata: name: downward-env spec: containers: - name: alpine image: alpine command: ["sleep","999999"] resources: requests: cpu: 15m memory: 100Ki limits: cpu: 500m memory: 100Mi env: - name: POD_NAME valueFrom: fieldRef: fieldPath: metadata.name - name: POD_NAMESPACE valueFrom: fieldRef: fieldPath: metadata.namespace - name: POD_IP valueFrom: fieldRef: fieldPath: status.podIP - name: NODE_NAME valueFrom: fieldRef: fieldPath: spec.nodeName - name: SERVICE_ACCOUNT valueFrom: fieldRef: fieldPath: spec.serviceAccountName - name: CONTAINER_CPU_REQ_MILLICORES valueFrom: resourceFieldRef: resource: requests.cpu divisor: 1m - name: CONTAINER_MEMORY_LIMIT_KIBIBYTES valueFrom: resourceFieldRef: resource: limits.memory divisor: 1Ki ``` 檢視一下環境變數 ``` -> [[email protected]] [~] k create -f downward-env.yaml pod/downward-env created -> [[email protected]] [~] k exec downward-env env PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin HOSTNAME=downward-env POD_NAME=downward-env POD_NAMESPACE=default POD_IP=10.244.1.24 NODE_NAME=kube1.vm SERVICE_ACCOUNT=default CONTAINER_CPU_REQ_MILLICORES=15 CONTAINER_MEMORY_LIMIT_KIBIBYTES=102400 ``` ### 通過Downward卷傳遞元資料 使用downward卷的方式傳遞元資料,當Pod的標籤和註解修改後,Kubernetes會更新存有相關資訊的檔案。而環境變數方式下,新值無法暴露。 該描述檔案定義了一個downward型別的卷,掛載到容器的/tmp/downward。卷中包含的內容是用downwardAPI.items定義的。 ``` # downward-volume.yaml apiVersion: v1 kind: Pod metadata: name: downward-volume labels: foo: bar annotations: key1: value1 key2: | multi line value spec: containers: - name: alpine image: alpine command: ["sleep","999999"] resources: requests: cpu: 15m memory: 100Ki limits: cpu: 500m memory: 100Mi volumeMounts: - name: downward mountPath: /tmp/downward volumes: - name: downward downwardAPI: items: - path: "podName" fieldRef: fieldPath: metadata.name - path: "podNamespace" fieldRef: fieldPath: metadata.namespace - path: "labels" fieldRef: fieldPath: metadata.labels - path: "annotations" fieldRef: fieldPath: metadata.annotations - path: "containerCpuReqMillicores" resourceFieldRef: containerName: alpine resource: requests.cpu divisor: 1m - path: "containerMemoryLimitBytes" resourceFieldRef: containerName: alpine resource: limits.memory divisor: 1 ``` 建立檢視 ``` -> [[email protected]] [~] k create -f downward-volume.yaml pod/downward-volume created -> [[email protected]] [~] k exec downward-volume ls /tmp/downward annotations containerCpuReqMillicores containerMemoryLimitBytes labels podName podNamespace ``` ## 與Kubernetes API伺服器互動 DownwardAPI可以獲得當前Pod的部分元資料,但是無法獲得到其他的Pod的,以及一些叢集中的其他資源資訊。 ### Kubernetes REST API 先來檢視叢集資訊,找到API伺服器地址。然後 curl -k https://192.168.199.117:6443 ,當然結果也是訪問受限的。 ``` -> [[email protected]] [~] k cluster-info Kubernetes master is running at https://192.168.199.117:6443 KubeDNS is running at https://192.168.199.117:6443/api/v1/namespaces/kube-system/services/kube-dns:dns/proxy ``` 所以我們通過 kubectl proxy 訪問API伺服器。kubectl proxy啟動一個代理,接收來自本機的HTTP請求並驗證身份,轉發到API伺服器。 ``` -> [[email protected]] [~] k proxy Starting to serve on 127.0.0.1:8001 ``` 新開一個視窗,訪問根路徑實時 ``` -> [[email protected]] [~] curl http://localhost:8001/ { "paths": [ "/api", "/api/v1", "/apis", "/apis/", ............ ``` ### 從pod內部與API伺服器互動 確定API伺服器的地址 ``` -> [[email protected]] [~] k get svc NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE kubernetes ClusterIP 10.96.0.1 443/TCP 2d1h ``` 或者從任意Pod查詢服務的環境變數 ``` -> [[email protected]] [~] k exec myalpine env|grep KUBERNETES_SERVICE KUBERNETES_SERVICE_PORT=443 KUBERNETES_SERVICE_PORT_HTTPS=443 KUBERNETES_SERVICE_HOST=10.96.0.1 ``` 用一個有curl的映象啟動一個Pod 首先驗證伺服器身份,定義CURL_CA_BUNDLE環境變數,省去每次都要 curl --cacert 指定證書 ``` export CURL_CA_BUNDLE=/var/run/secrets/kubernetes.io/serviceaccount/ca.crt ``` 其次獲得伺服器授權:定義TOKEN ``` export TOKEN=$(cat /var/run/secrets/kubernetes.io/serviceaccount/token) ``` 繞過RBAC,賦予所有服務賬戶(也可以說所有pod)的叢集管理員許可權。 ``` -> [[email protected]] [~] k create clusterrolebinding permissive-binding --clusterrole=cluster-admin --group=system:serviceaccounts clusterrolebinding.rbac.authorization.k8s.io/permissive-binding created ``` 訪問API伺服器 ``` $ curl -H "Authorization: Bearer $TOKEN" https://kubernetes/ { "paths": [ "/api", "/api/v1", ........... ``` 獲取當前執行Pod所在的名稱空間 ``` export NS=$(cat /var/run/secrets/kubernetes.io/serviceaccount/namespace) ``` 列出當前名稱空間的Pods ``` $ curl -H "Authorization: Bearer $TOKEN" https://kubernetes/api/v1/namespaces/$NS/pods { "kind": "PodList", "apiVersion": "v1", "metadata": { "selfLink": "/api/v1/namespaces/default/pods", "resourceVersion": "454829" .......... ``` ### 簡化與API伺服器的互動 在Pod中,除了主容器外另起一個執行kubectl proxy的容器,這樣主容器就可以通過http://127.0.0.1:8001/訪問API伺服器了。 先構建映象,準備kubectl-proxy.sh和Dockerfile。 ``` # kubectl-proxy.sh #!/bin/sh API_SERVER="https://$KUBERNETES_SERVICE_HOST:$KUBERNETES_SERVICE_PORT" CA_CRT="/var/run/secrets/kubernetes.io/serviceaccount/ca.crt" TOKEN="$(cat /var/run/secrets/kubernetes.io/serviceaccount/token)" /kubectl proxy --server="$API_SERVER" --certificate-authority="$CA_CRT" --token="$TOKEN" --accept-paths='^.*' ``` myalpine就是一個安裝了curl的自制映象 ``` # Dockerfile FROM registry.cn-hangzhou.aliyuncs.com/orzi/myalpine RUN curl -LO https://storage.googleapis.com/kubernetes-release/release/v1.18.0/bin/linux/amd64/kubectl && chmod +x ./kubectl && mv ./kubectl / COPY kubectl-proxy.sh /kubectl-proxy.sh ENTRYPOINT ["/kubectl-proxy.sh"] ``` 構建、推送 ``` docker build -t registry.cn-hangzhou.aliyuncs.com/orzi/myalpine:kubeproxy . docker push registry.cn-hangzhou.aliyuncs.com/orzi/myalpine:kubeproxy ``` 描述檔案 ``` # mykubeproxy.yaml apiVersion: v1 kind: Pod metadata: name: mykubeproxy spec: containers: - name: myalpine image: registry.cn-hangzhou.aliyuncs.com/orzi/myalpine command: ["sleep","999999"] - name: mykubeproxy image: registry.cn-hangzhou.aliyuncs.com/orzi/myalpine:kubeproxy ``` 建立、檢視 ``` -> [[email protected]] [~] k create -f mykubeproxy.yaml pod/mykubeproxy created -> [[email protected]] [~] k exec -it mykubeproxy -c myalpine sh $ curl http://127.0.0.1:8001 { "paths": [ "/api", "/api/v1", "/apis", ....... ``` ## 小結 - **Downward API允許我們將不能預先知道的Pod元資料通過環境變數或者卷的方式傳遞給應用。** - Downward API可傳遞的資料包括:Pod的IP、名稱、標籤、註解、所在名稱空間、執行的節點名稱、執行所屬的ServiceAccountName,每個容器請求的CPU和記憶體的使用量和限制。 - `env.valueFrom`下引用Pod的欄位使用`fieldRef`,引用容器的cpu和記憶體使用`resourceFieldRef`。 - 對於暴露資源的請求和使用顯示的環境變數,我們通常會設定一個基數單位。實際的資源請求值和使用限制值除以這個基數單位,所得結果通過環境變數暴露出去。 - **使用downward卷的方式傳遞元資料,當Pod的標籤和註解修改後,Kubernetes會更新存有相關資訊的檔案。而環境變數方式下,新值無法暴露。** - 可以通過執行kubectl proxy後,在節點上訪問API伺服器。也可以在Pod中另起一個專門執行kubectl proxy的容器,在主容器中

相關推薦

Kubernetes學習筆記訪問Pod資料Kubernetes API

## Downward API 我們已經瞭解到,使用ConfigMap和Secret嚮應用傳遞配置資料,這對於執行前預設的資料是可行的。但是對於那些不能預先知道的,就需要使用Downward API。 Downward API允許我們通過環境變數或者卷的方式嚮應用傳遞元資料。可傳遞的資料包括:Pod的IP、

EF學習筆記讀取關聯數據

取數據 microsoft image zha 手動 模型 取數 foreach ret 總目錄:ASP.NET MVC5 及 EF6 學習筆記 - (目錄整理) 本篇參考原文鏈接:Reading Related Data 本章主要講述加載顯示關聯數據; 數據加載分為以下三

kubernetes學習筆記bashborad安裝配置

tag log struct recommend ide col create part describe 官方推薦方法: 連接:https://kubernetes.io/docs/tasks/access-application-cluster/web-ui-dashb

hadoop學習筆記Java HDFS API

on() apr name pin package 目錄 except 讀取 play 一、使用HDFS FileSystem詳解 HDFS依賴的第三方包:   hadoop 1.x版本:   commons-configuration-1.6.jar   comm

javaweb學習筆記CSS

目錄 1.CSS 1.1 CSS的引入方式 1.2 CSS選擇器 1.3 CSS的盒子模型 1.4 CSS的屬性 1.CSS CSS(Cascade Style Sheet,層疊樣式表) html負責的是一個頁面的結構,css主要負責了頁面的資料樣式

學習筆記樸素貝葉斯在Web安全中的六個應用

一、檢測Web異常操作        1.資料蒐集:一樣        2.特徵化             使用詞集模型,統計全部操作命令,去重後形

kubernetes學習筆記 阿里雲遊戲業務實戰

本人一直做業務開發,不曾瞭解過運維知識,因為要對一個專案的技術部分負責,開發業務的同時還需要思考系統層面的事情,團隊人數又少,不得不採用k8s這種能達到事半功倍效果的工具。本文是在阿里雲kubernetes部署遊戲業務的實戰筆記,不涉及k8s原理等深層知識。我學習k8s的時間也比較短,如有理解錯誤的地方,還望

機器學習筆記K-Means

1 - 前言 之前我們學習的演算法均為監督學習演算法,而K-means是我們所學習的第一個無監督學習演算法。所以首先讓我們瞭解一下監督學習和無監督學習的區別 1.1 - 監督學習(supervised learning) 從給定的訓練資料集中學習出一個函式(模型引數),當新的資料

Java學習筆記JDBC

JDBC簡介 JDBC(Java Database Connected) 四種Java資料庫操作形式: 1.JDBC-ODBC橋接技術(不用); 2.JDBC直接連線; 3.JDBC網路連線; 4.模擬指定資料庫的通訊協議自己編寫資料庫操作。

機器學習筆記概率圖模型

機器學習最重要的任務,是根據一些已觀察到的證據(例如訓練樣本)來對感興趣的未知變數(例如類別標記)進行估計和推測。概率模型提供了一種描述框架,將學習任務歸結為計算變數的概率分佈。概率圖模型(probabilistic graphical model,簡稱PGM)是一類用圖來表達變數相關關係的概率模型

各種音視訊編解碼學習詳解之 編解碼學習筆記微軟Windows Media系列

    最近在研究音視訊編解碼這一塊兒,看到@bitbit大神寫的【各種音視訊編解碼學習詳解】這篇文章,非常感謝,佩服的五體投地。奈何大神這邊文章太長,在這裡我把它分解成很多小的篇幅,方便閱讀。大神部落格傳送門:https://www.cnblogs.com/skyofbitbi

Matlab影象處理學習筆記surf特徵點

本文主要演示如何使用matlab自帶的Computer Vision System Toolbox這個工具箱進行suft特徵點的檢測、匹配及顯示。這個工具箱是matlab2012b及之後才有的一個工具

C++學習筆記--操作符過載 友函式 類的繼承 訪問控釋protected

C++ Primer Plus的閱讀大概到這邊也就先暫時告一段落了(因為開學了!!) 然後近期找來了C++ Primer稍微翻了翻覺得確實寫得比Plus要好一些,而且加入了C++11的新特性,但是無論哪本書對於這些最基本的功能應用大抵也是差不多的,所以也沒覺得看的是Plu

java Concurrent包學習筆記ConcurrentHashMap

(注意:以下講解的ConcurrentHashMap是jdk 1.8的) 一、ConcurrentHashMap的資料結構     ConcurrentHashMap在1.8中的實現,相比於1.7的版本基本上全部都變掉了。 首先,取消了Segment分段鎖的資料結構,

計算機圖形學 學習筆記二維圖形變換平移,比例,旋轉,座標變換等

在圖形學中,有兩大基本工具:向量分析,圖形變換。本文將重點講解向量和二維圖形的變換。 5.1 向量基礎知識 我們所使用的所有點和向量都是基於某一座標系定義的,比如左手座標系或者右手座標系。 從幾何的角度來看,向量是具有長度和方向的實體,但是沒有

Cesium學習筆記Demo學習自由控制飛行的飛機[轉]

https://blog.csdn.net/umgsoil/article/details/74923013# 這是官方的教程Demo,名字叫Use HeadingPitchRoll,顧名思義,就是教你用HeadingPitchRoll這個方法的,下面我們就來看一看這個Demo首先先說一下,這個Demo是沙

《機器學習實戰》學習筆記之預測數值型別資料迴歸

轉載請註明作者和出處:http://blog.csdn.net/john_bh/ 執行平臺: Windows Python版本: Python3.6 IDE: Sublime text3 一、降維技術 1.1 什麼是降維 降維就是

Cesium學習筆記Demo學習自由控制飛行的飛機

這是官方的教程Demo,名字叫Use HeadingPitchRoll,顧名思義,就是教你用HeadingPitchRoll這個方法的,下面我們就來看一看這個Demo 首先先說一下,這個Demo是沙盒裡面的,所以如果你想在本地執行的話需要改一下html

Servlet學習筆記Session詳解

Session是伺服器端技術,伺服器在執行時可以為每個使用者的瀏覽器建立一個其獨享的Session物件,由於Session為使用者瀏覽器獨享,所以使用者在訪問伺服器的web資源時,可以把各自的資源放在各自的Session中,當用戶再去訪問伺服器中的其他web資源時,其他we

安卓開發學習筆記仿寫騰訊QQ登入註冊介面

<?xml version="1.0" encoding="utf-8"?> <LinearLayout xmlns:android="http://schemas.android.com/apk/res/android" android:layout_width="match_