Kubernetes的Pod进阶（十一）

一、Lifecycle

官网：https://kubernetes.io/docs/concepts/workloads/pods/pod-lifecycle/

 通过前面的分享，关于pod是什么相信看过前面的文章的朋友已经很清楚了，有开发经验的朋友很清楚，对象的创建是具有生命周期的，对于Pod也一样，他也有它的生命周期，接下来就是分享pod的创建、销毁、以及他的状态是什么；简单的来说，就是分享pod的生命周期。

 

 

 

 下图是官网对Pod生命周期阶段的描述

 

 

 通过官网可以发现有一个Running状态，相信大家也非常喜欢Running状态，因为这玩意就表示创建成功正常运行，但有时候创建pod时也有不随人愿的时候，因为有时pod偏偏会有一些奇怪的状态，比哪下面几个状态

• 挂起（Pending）：Pod 已被 Kubernetes 系统接受，但有一个或者多个容器镜像尚未创建。等待时间包括调度 Pod 的时间和通过网络下载镜像的时间，这可能需要花点时间。
• 运行中（Running）：该 Pod 已经绑定到了一个节点上，Pod 中所有的容器都已被创建。至少有一个容器正在运行，或者正处于启动或重启状态。
• 成功（Succeeded）：Pod 中的所有容器都被成功终止，并且不会再重启。
• 失败（Failed）：Pod 中的所有容器都已终止了，并且至少有一个容器是因为失败终止。也就是说，容器以非0状态退出或者被系统终止。
• 未知（Unknown）：因为某些原因无法取得 Pod 的状态，通常是因为与 Pod 所在主机通信失败。

其实对这Pod五大状态了解后有问题时就可以很好解决了，因为知道状态后就可以通过kubectl describe pod pod-name -n namespace去查看pod日志了解为什么出现这状态了。

二、重启策略

官网 ：https://kubernetes.io/docs/concepts/workloads/pods/pod-lifecycle/#restart-policy

 前面生命周期了解了后，下面了解下pod的重启策略，之所以要了解这，是因为我们有时候在创建Pod时会发现Pod会不断发生重启，官网对于重启策略也有说明，通过官网可以知道，关于重启我们可以在yaml文件中通过restartPolicy这个属性去进行一个配置，然后重启的策略有三个，分别如下：

• Always：容器失效时，即重启
• OnFailure：容器终止运行且退出码不为0时重启
• Never:永远不重启

 

三、静态Pod

静态Pod是由kubelet进行管理的，并且存在于特定的Node上，比喻像master。不能通过API Server进行管理，它是由kubelet进行管理的，无法与ReplicationController,Ddeployment或者DaemonSet进行关联，也无法进行健康检查。这个东西怎么理解呢?这样说吧，我们在查看kubectl get pods -n kube-system时会发现系统的这个命名空间之下，我们一装完网络插件之后会有很多Pod，按照之前我写的文章逻辑来想，这个pod至少要有一个yaml文件才能创建的，但是我们发现刚刚命令下的系统空间的pod我们并没有写他们的pod，那么它是怎么来的呢？其实这东西很简单，当我们用命令kubeadm-init命令时他会在我们的etc/kubernetes/目录之下会有一个manifests目录，这个manifests中会有很多系统需要的很多组件的pod.yaml文件；这些玩意都是系统给我们提供的，这些组件的pod是由kubelet统一管理的，这些pod我们会习惯叫他静态pod，之所以叫他静态Pod是因为他不会有一个独立的网络，可以通过查看pod详情命令kubectl get pods -n kube-system -o wide可以看到一个点，就是系统组件的pod用的是master节点的ip，并没有用到虚拟ip，所以也验证了他不是API Server进行管理的，是由kubelet进行统一管理的，所以也无法与ReplicationController,Ddeployment或者DaemonSet进行关联和通讯，也无法进行健康检查，所以我们习惯把他叫做静态pod。

四、健康检查

官网：https://kubernetes.io/docs/concepts/workloads/pods/pod-lifecycle/#container-probes

 经过前面几个步骤，pod有生命周期了，有重启策略了，也有固定ip了，接下来pod在进行创建的时候还需要进行健康检查才能够进行正常的创建，下面是官网对健康检查的说明

 

 

 健康检查是通过两个属性进行的：

• LivenessProbe探针：判断容器是否存活
• ReadinessProbe探针：判断容器是否启动完成

五、ConfifigMap

官网：https://kubernetes.io/docs/tasks/configure-pod-container/configure-pod-configmap/

 

 

 官网的介绍说白了就是用来保存配置数据的键值对，也可以保存单个属性，也可以保存配置文件。所有的配置内容都存储在etcd中，创建的数据可以供Pod使用。下面来分享下三种创建的方式

5.1、命令行创建

创建一个名称为my-config的ConfigMap，key值时db.port，value值是3306

kubectl create configmap my-config --from-literal=db.port='3306'

通过命令查看，会发现在系统的默认空间下创建了一个my-config

kubectl get configmap

查看yaml文件对应的格式

kubectl get configmap myconfig -o yaml

5.2、从配置文件中创建

创建一个文件，名称为app.properties，然后在创建的文件中加入下面两句话

name=ghyage=2

然后根据文件去创建

kubectl create configmap app --from-file=./app.properties

通过命令查看，会发现在系统的默认空间下创建了一个app

kubectl get configmap

查看yaml文件对应的格式

kubectl get configmap app -o yaml

5.3、通过yaml文件创建

新建一个configmaps.yaml，并把文件放进去

apiVersion: v1kind: ConfigMapmetadata:  name: special-config  namespace: defaultdata:  special.how: very---apiVersion: v1kind: ConfigMapmetadata:  name: env-config  namespace: defaultdata:  log_level: INFO

启动yaml文件

kubectl apply -f configmaps.yaml

通过命令查看，会发现在系统的默认空间下创建了一个env-config和special-config两个

kubectl get configmap

创建CONFIGMAP的动作完成后接下来就是去使用他了。

5.4、ConfigMap的使用

使用方式：

• 通过环境变量的方式，直接传递给pod
  • 使用configmap中指定的key
  • 使用configmap中所有的key
• 通过在pod的命令行下运行的方式(启动命令中)
• 作为volume的方式挂载到pod内

注意

• ConfigMap必须在Pod使用它之前创建
• 使用envFrom时，将会自动忽略无效的键
• Pod只能使用同一个命名空间的ConfigMap

5.4.1、作为volume挂载使用

将创建的ConfigMap直接挂载至Pod的/etc/config目录下，其中每一个key-value键值对都会生成一个文件，key为文件名，value为内容。

创建一个pod-configmap.yaml文件

apiVersion: v1kind: Podmetadata:  name: pod-configmap2spec:  containers:    - name: test-container      image: busybox      command: [ "/bin/sh", "-c", "ls /etc/config/" ]      volumeMounts:      - name: config-volume        mountPath: /etc/config  volumes:    - name: config-volume      configMap:        name: special-config  restartPolicy: Never

上面的意思很简单就是pod里面有一个busybox的containers，他会往虚拟机的/etc/config目录下把configMap的key和value以目录的形式挂载进去；

启动脚本

kubectl apply -f pod-myconfigmap.yml

可以用下面命令看是否创建成功

kubectl get pods

进入容器目录然后会找到上面说的东西

kubectl exec -it pod-configmap2 bash

 六、Secret

 官网：https://kubernetes.io/docs/concepts/configuration/secret/

这块内容是关于数据安全性东西，前面的ConfigMap的配置文件什么的大家也看了，但现在的文件配置都是明文的，如果有些东西不想明文展示，那怎么搞呢

 

 6.1、Secret类型

secret一共有三种类型：

• Opaque：使用base64编码存储信息，可以通过`base64 --decode`解码获得原始数据，因此安全性弱。
• kubernetes.io/dockerconfigjson：用于存储docker registry的认证信息。
• kubernetes.io/service-account-token：用于被 serviceaccount 引用。serviceaccout 创建时 Kubernetes 会默认创建对应的 secret。Pod 如果使用了 serviceaccount，对应的 secret 会自动挂载到 Pod 的 /run/secrets/kubernetes.io/serviceaccount 目录中。

6.2、Opaque Secret

 Opaque类型的Secret的value为base64位编码后的值

 6.2.1、 从文件中创建

echo -n "admin" > ./username.txtecho -n "1f2d1e2e67df" > ./password.txt

kubectl create secret generic db-user-pass --from-file=./username.txt --from-file=./password.txt

kubectl get secret

6.2.2、 使用yaml文件创建

(1)对数据进行64位编码

echo -n 'admin' | base64echo -n '1f2d1e2e67df' | base64

(2)定义mysecret.yaml文件

apiVersion: v1kind: Secretmetadata:  name: mysecrettype: Opaquedata:  username: YWRtaW4=  password: MWYyZDFlMmU2N2Rm

(3)根据yaml文件创建资源并查看

kubectl create -f ./secret.yaml

kubectl get secret

kubectl get secret mysecret -o yaml

6.3 Secret使用

通过6.2.2的方式就得到了一个secret文件，接下来就这个文件使用进行说明下。他的使用有两种方式

• 以Volume方式
• 以环境变量方式

6.3.1、 将Secret挂载到Volume中

（1）创建mypod.yaml文件

apiVersion: v1kind: Podmetadata:  name: mypodspec:  containers:  - name: mypod    image: redis    volumeMounts:    - name: foo      mountPath: "/etc/foo"      readOnly: true  volumes:  - name: foo    secret:      secretName: mysecret

（2）用命令启动

kubectl apply -f mypod.yaml

（3）进入容器里面

kubectl exec -it mypod bash

(4)进入在配置文件定义的目录会发现目录是创建成功的

cd /etc/foo

（5）也可以用如下命令看创建的内容

cat /etc/foo/username

cat /etc/foo/password

6.3.2、 将Secret设置为环境变量

（1）配置文件如下，重要环境变量配置我标记出来了

apiVersion: v1kind: Podmetadata:  name: secret-env-podspec:  containers:  - name: mycontainer    image: redis    env:      - name: SECRET_USERNAME        valueFrom:          secretKeyRef:            name: mysecret            key: username- name: SECRET_PASSWORD        valueFrom:          secretKeyRef:            name: mysecret            key: password  restartPolicy: Never

6.4 、kubernetes.io/dockerconfigjson

kubernetes.io/dockerconfigjson用于存储docker registry的认证信息，可以直接使用`kubectl create secret`命令创建

6.5、 kubernetes.io/service-account-token

这个是用于被 serviceaccount 引用。serviceaccout 创建时 Kubernetes 会默认创建对应的 secret。Pod 如果使用了 serviceaccount，对应的 secret 会自动挂载到 Pod 的 /run/secrets/kubernetes.io/serviceaccount 目录中。

kubectl get secret   # 可以看到service-account-tokenkubectl run nginx --image nginxkubectl get podskubectl exec -it nginx-pod-name bashls /run/secrets/kubernetes.io/serviceaccount

kubectl get secretkubectl get pods pod-name -o yaml   #  找到volumes选项，定位到-name，secretName#  找到volumeMounts选项，定位到mountPath: /var/run/secrets/kubernetes.io/serviceaccount

总结：

无论是ConfigMap，Secret，还是DownwardAPI，都是通过ProjectedVolume实现的，可以通过APIServer将信息放到Pod中进行使用。

七、指定Pod所运行的Node

(1)给node打上label

kubectl get nodes

kubectl label nodes worker02-kubeadm-k8s name=ghy

(2)查看node是否有上述label

kubectl describe node worker02-kubeadm-k8s

(3)部署一个mysql的pod

vi mysql-pod.yaml

apiVersion: v1kind: ReplicationControllermetadata:  name: mysql-rc  labels:    name: mysql-rcspec:  replicas: 1  selector:    name: mysql-pod  template:    metadata:      labels:         name: mysql-pod    spec:      nodeSelector:         name: ghy      containers:      - name: mysql        image: mysql        imagePullPolicy: IfNotPresent        ports:        - containerPort: 3306        env:        - name: MYSQL_ROOT_PASSWORD          value: "mysql"      ---apiVersion: v1kind: Servicemetadata:  name: mysql-svc  labels:     name: mysql-svcspec:  type: NodePort  ports:  - port: 3306    protocol: TCP    targetPort: 3306    name: http    nodePort: 32306  selector:    name: mysql-pod

(4)查看pod运行详情

kubectl apply -f mysql-pod.yaml

kubectl get pods -o wide