通过文件向容器公开 Pod 信息
本页面展示了 Pod 如何使用 downwardAPI 卷,将其自身的信息暴露给 Pod 中运行的容器。downwardAPI 卷可以暴露 Pod 字段和容器字段。
在 Kubernetes 中,有两种方法可以将 Pod 和容器字段暴露给正在运行的容器:
- 环境变量
- 卷文件,如本任务所述
这两种暴露 Pod 和容器字段的方式统称为向下 API。
开始之前
您需要有一个 Kubernetes 集群,并且必须配置 kubectl 命令行工具以与您的集群通信。建议在至少有两个非控制平面主机的节点集群上运行本教程。如果您还没有集群,可以使用 minikube 创建一个,也可以使用以下 Kubernetes Playground
存储 Pod 字段
在本练习的这一部分中,您将创建一个具有一个容器的 Pod,并将 Pod 级别的字段作为文件投影到正在运行的容器中。以下是 Pod 的清单:
apiVersion: v1
kind: Pod
metadata:
name: kubernetes-downwardapi-volume-example
labels:
zone: us-est-coast
cluster: test-cluster1
rack: rack-22
annotations:
build: two
builder: john-doe
spec:
containers:
- name: client-container
image: registry.k8s.io/busybox
command: ["sh", "-c"]
args:
- while true; do
if [[ -e /etc/podinfo/labels ]]; then
echo -en '\n\n'; cat /etc/podinfo/labels; fi;
if [[ -e /etc/podinfo/annotations ]]; then
echo -en '\n\n'; cat /etc/podinfo/annotations; fi;
sleep 5;
done;
volumeMounts:
- name: podinfo
mountPath: /etc/podinfo
volumes:
- name: podinfo
downwardAPI:
items:
- path: "labels"
fieldRef:
fieldPath: metadata.labels
- path: "annotations"
fieldRef:
fieldPath: metadata.annotations
在清单中,您可以看到 Pod 有一个 downwardAPI 卷,并且容器将该卷挂载到 /etc/podinfo。
查看 downwardAPI 下的 items 数组。数组的每个元素都定义一个 downwardAPI 卷。第一个元素指定 Pod 的 metadata.labels 字段的值应存储在名为 labels 的文件中。第二个元素指定 Pod 的 annotations 字段的值应存储在名为 annotations 的文件中。
注意
本示例中的字段是 Pod 字段。它们不是 Pod 中容器的字段。创建 Pod
kubectl apply -f https://k8s.io/examples/pods/inject/dapi-volume.yaml
验证 Pod 中的容器是否正在运行
kubectl get pods
查看容器的日志
kubectl logs kubernetes-downwardapi-volume-example
输出显示 labels 文件和 annotations 文件的内容
cluster="test-cluster1"
rack="rack-22"
zone="us-est-coast"
build="two"
builder="john-doe"
进入 Pod 中正在运行的容器的 Shell
kubectl exec -it kubernetes-downwardapi-volume-example -- sh
在您的 Shell 中,查看 labels 文件
/# cat /etc/podinfo/labels
输出显示 Pod 的所有标签都已写入 labels 文件
cluster="test-cluster1"
rack="rack-22"
zone="us-est-coast"
同样,查看 annotations 文件
/# cat /etc/podinfo/annotations
查看 /etc/podinfo 目录中的文件
/# ls -laR /etc/podinfo
在输出中,您可以看到 labels 和 annotations 文件位于临时子目录中:在本示例中,为 ..2982_06_02_21_47_53.299460680。在 /etc/podinfo 目录中,..data 是指向临时子目录的符号链接。同样在 /etc/podinfo 目录中,labels 和 annotations 是符号链接。
drwxr-xr-x ... Feb 6 21:47 ..2982_06_02_21_47_53.299460680
lrwxrwxrwx ... Feb 6 21:47 ..data -> ..2982_06_02_21_47_53.299460680
lrwxrwxrwx ... Feb 6 21:47 annotations -> ..data/annotations
lrwxrwxrwx ... Feb 6 21:47 labels -> ..data/labels
/etc/..2982_06_02_21_47_53.299460680:
total 8
-rw-r--r-- ... Feb 6 21:47 annotations
-rw-r--r-- ... Feb 6 21:47 labels
使用符号链接可以动态原子刷新元数据;更新将写入新的临时目录,并且 ..data 符号链接使用 rename(2) 原子更新。
注意
使用向下 API 作为 subPath 卷挂载的容器将不会接收向下 API 更新。退出 Shell
/# exit
存储容器字段
在前面的练习中,您使用向下 API 使 Pod 级别的字段可访问。在下一个练习中,您将传递属于 Pod 定义一部分,但取自特定的容器而不是 Pod 整体的字段。以下是一个 Pod 的清单,它也只有一个容器:
apiVersion: v1
kind: Pod
metadata:
name: kubernetes-downwardapi-volume-example-2
spec:
containers:
- name: client-container
image: registry.k8s.io/busybox:1.24
command: ["sh", "-c"]
args:
- while true; do
echo -en '\n';
if [[ -e /etc/podinfo/cpu_limit ]]; then
echo -en '\n'; cat /etc/podinfo/cpu_limit; fi;
if [[ -e /etc/podinfo/cpu_request ]]; then
echo -en '\n'; cat /etc/podinfo/cpu_request; fi;
if [[ -e /etc/podinfo/mem_limit ]]; then
echo -en '\n'; cat /etc/podinfo/mem_limit; fi;
if [[ -e /etc/podinfo/mem_request ]]; then
echo -en '\n'; cat /etc/podinfo/mem_request; fi;
sleep 5;
done;
resources:
requests:
memory: "32Mi"
cpu: "125m"
limits:
memory: "64Mi"
cpu: "250m"
volumeMounts:
- name: podinfo
mountPath: /etc/podinfo
volumes:
- name: podinfo
downwardAPI:
items:
- path: "cpu_limit"
resourceFieldRef:
containerName: client-container
resource: limits.cpu
divisor: 1m
- path: "cpu_request"
resourceFieldRef:
containerName: client-container
resource: requests.cpu
divisor: 1m
- path: "mem_limit"
resourceFieldRef:
containerName: client-container
resource: limits.memory
divisor: 1Mi
- path: "mem_request"
resourceFieldRef:
containerName: client-container
resource: requests.memory
divisor: 1Mi
在清单中,您可以看到 Pod 有一个downwardAPI 卷,并且该 Pod 中的单个容器将该卷挂载到 /etc/podinfo。
查看 downwardAPI 下的 items 数组。数组的每个元素都定义了向下 API 卷中的一个文件。
第一个元素指定在名为 client-container 的容器中,limits.cpu 字段的值(格式由 1m 指定)应发布为名为 cpu_limit 的文件。divisor 字段是可选的,其默认值为 1。1 的除数表示 cpu 资源的核心数,或者 memory 资源的字节数。
创建 Pod
kubectl apply -f https://k8s.io/examples/pods/inject/dapi-volume-resources.yaml
进入 Pod 中正在运行的容器的 Shell
kubectl exec -it kubernetes-downwardapi-volume-example-2 -- sh
在您的 Shell 中,查看 cpu_limit 文件
# Run this in a shell inside the container
cat /etc/podinfo/cpu_limit
您可以使用类似的命令来查看 cpu_request、mem_limit 和 mem_request 文件。
将密钥投影到特定路径和文件权限
您可以将密钥投影到特定路径和每个文件的特定权限。有关更多信息,请参阅Secret。
下一步
阅读旧 API 参考中的卷
- 查看定义 Pod 中容器可访问的通用卷的
VolumeAPI 定义。 - 查看定义包含向下 API 信息的卷的
DownwardAPIVolumeSourceAPI 定义。 - 查看定义包含对对象或资源字段引用的
DownwardAPIVolumeFileAPI 定义,用于填充向下 API 卷中的文件。 - 查看指定容器资源及其输出格式的
ResourceFieldSelectorAPI 定义。