我的书签
添加书签
移除书签使用 PodPreset 将信息注入 Pod
本页展示如何在创建 Pod 时 使用 PodPreset 对象将类似 、卷挂载和 环境变量 这类信息注入到 Pod 中。
你需要一个运行的 Kubernetes 集群以及配置好与集群通信的 kubectl 命令行工具。 如果你还没有集群,可以使用 安装一个。 确保你已经在集群中启用了 PodPreset。
在这一步中,你要创建一个 PodPreset 对象,其中包含卷挂载和一个环境变量。 下面是 PodPreset 的清单:
PodPreset 对象的名称必须是一个合法的 DNS 子域名。
在清单中,你可以看到 PodPreset 有一个名为 DB_PORT 的环境变量定义, 和一个名为 cache-volume 的卷挂载定义,该卷挂载于 /cache 下。 设定此 PodPreset 将应用于所有匹配 role:frontend 标签的 Pods。
创建 PodPreset:
kubectl apply -f https://k8s.io/examples/podpreset/preset.yaml
检查所创建的 PodPreset:
kubectl get podpreset
NAME AGEallow-database 1m
下面的清单定义了一个带有标签 role: frontend 的 Pod(与 PodPreset 的选择算符匹配):
apiVersion: v1kind: Podmetadata:name: websitelabels:app: websiterole: frontendspec:containers:- name: websiteimage: nginxports:- containerPort: 80
创建 Pod:
kubectl create -f https://k8s.io/examples/podpreset/pod.yaml
验证 Pod 出于运行状态:
kubectl get pods
NAME READY STATUS RESTARTS AGEwebsite 1/1 Running 0 4m
查看被准入控制器更改过的 Pod 规约,以了解 PodPreset 在 Pod 上执行过的操作:
kubectl get pod website -o yaml
apiVersion: v1kind: Podmetadata:name: websitelabels:app: websiterole: frontendannotations:podpreset.admission.kubernetes.io/podpreset-allow-database: "resource version"spec:containers:- name: websiteimage: nginxvolumeMounts:- mountPath: /cachename: cache-volumeports:- containerPort: 80env:- name: DB_PORTvalue: "6379"volumes:- name: cache-volumeemptyDir: {}
Pod 的环境变量 DB_PORT,volumeMount 和 podpreset.admission.kubernetes.io 注解 表明 PodPreset 确实起了作用。
这里的示例展示了如何通过 PodPreset 修改 Pod 规约,PodPreset 中定义了 ConfigMap 作为环境变量取值来源。
包含 ConfigMap 定义的清单:
apiVersion: v1kind: ConfigMapmetadata:name: etcd-env-configdata:number_of_members: "1"initial_cluster_state: newinitial_cluster_token: DUMMY_ETCD_INITIAL_CLUSTER_TOKENdiscovery_token: DUMMY_ETCD_DISCOVERY_TOKENdiscovery_url: http://etcd_discovery:2379etcdctl_peers: http://etcd:2379duplicate_key: FROM_CONFIG_MAPREPLACE_ME: "a value"
创建 ConfigMap:
kubectl create -f https://k8s.io/examples/podpreset/configmap.yaml
引用该 ConfigMap 的 PodPreset 的清单:
apiVersion: settings.k8s.io/v1alpha1kind: PodPresetmetadata:name: allow-databasespec:selector:matchLabels:role: frontendenv:- name: DB_PORTvalue: "6379"- name: duplicate_keyvalue: FROM_ENV- name: expansionvalue: $(REPLACE_ME)envFrom:- configMapRef:name: etcd-env-configvolumeMounts:- mountPath: /cachename: cache-volumevolumes:- name: cache-volumeemptyDir: {}
创建 PodPreset:
kubectl create -f https://k8s.io/examples/podpreset/allow-db.yaml
下面的清单包含与 PodPreset 匹配的 Pod:
apiVersion: v1kind: Podmetadata:name: websitelabels:app: websiterole: frontendspec:containers:- name: websiteimage: nginxports:- containerPort: 80
创建 Pod:
查看 Pod 规约被准入控制器修改后的结果,了解 PodPreset 应用之后的效果:
kubectl get pod website -o yaml
podpreset/allow-db-merged.yaml 
apiVersion: v1kind: Podmetadata:name: websitelabels:app: websiterole: frontendannotations:podpreset.admission.kubernetes.io/podpreset-allow-database: "resource version"spec:containers:- name: websiteimage: nginxvolumeMounts:name: cache-volumeports:env:- name: DB_PORTvalue: "6379"- name: duplicate_keyvalue: FROM_ENV- name: expansionvalue: $(REPLACE_ME)envFrom:- configMapRef:name: etcd-env-configvolumes:- name: cache-volumeemptyDir: {}
Pod 的环境变量 DB_PORT 和 podpreset.admission.kubernetes.io 注解 表明 PodPreset 确实起了作用。
以下示例展示了(通过 ReplicaSet 创建 Pod 后)只有 Pod 规约会被 PodPreset 所修改, 其他资源类型(如 ReplicaSet、Deployment)不受影响。
下面是本例所用 PodPreset 的清单:
apiVersion: settings.k8s.io/v1alpha1kind: PodPresetmetadata:name: allow-databasespec:selector:matchLabels:role: frontendenv:- name: DB_PORTvalue: "6379"volumeMounts:- mountPath: /cachename: cache-volumevolumes:- name: cache-volumeemptyDir: {}
创建 Preset:
kubectl apply -f https://k8s.io/examples/podpreset/preset.yaml
此清单定义了一个管理三个应用 Pod 的 ReplicaSet:
apiVersion: apps/v1kind: ReplicaSetmetadata:name: frontendspec:replicas: 3selector:matchLabels:role: frontendmatchExpressions:- {key: role, operator: In, values: [frontend]}template:metadata:labels:app: guestbookrole: frontendspec:containers:- name: php-redisimage: gcr.io/google_samples/gb-frontend:v3resources:requests:cpu: 100mmemory: 100Mienv:- name: GET_HOSTS_FROMvalue: dnsports:- containerPort: 80
创建 ReplicaSet:
kubectl create -f https://k8s.io/examples/podpreset/replicaset.yaml
验证 ReplicaSet 所创建的 Pod 处于运行状态:
kubectl get pods
输出显示 Pod 正在运行:
NAME READY STATUS RESTARTS AGEfrontend-2l94q 1/1 Running 0 2m18sfrontend-6vdgn 1/1 Running 0 2m18sfrontend-jzt4p 1/1 Running 0 2m18s
查看 ReplicaSet 的 spec 内容:
kubectl get replicasets frontend -o yaml
查看被影响的 Pod 的规约的命令是:
kubectl get pod --selector=role=frontend -o yaml
apiVersion: v1kind: Podmetadata:name: frontendlabels:app: guestbookrole: frontendannotations:podpreset.admission.kubernetes.io/podpreset-allow-database: "resource version"spec:containers:- name: php-redisimage: gcr.io/google_samples/gb-frontend:v3resources:requests:cpu: 100mmemory: 100MivolumeMounts:- mountPath: /cachename: cache-volumeenv:- name: GET_HOSTS_FROMvalue: dns- name: DB_PORTvalue: "6379"ports:- containerPort: 80volumes:- name: cache-volumeemptyDir: {}
再一次,Pod 的 podpreset.admission.kubernetes.io 注解表明 PodPreset 已经被应用过。
这里的示例展示了如何通过多个 PodPreset 对象修改 Pod 规约。
第一个 PodPreset 的清单如下:
apiVersion: settings.k8s.io/v1alpha1kind: PodPresetmetadata:name: allow-databasespec:selector:matchLabels:role: frontendenv:- name: DB_PORTvalue: "6379"volumeMounts:- mountPath: /cachename: cache-volumevolumes:- name: cache-volumeemptyDir: {}
kubectl apply -f https://k8s.io/examples/podpreset/preset.yaml
下面是第二个 PodPreset 的清单:
apiVersion: settings.k8s.io/v1alpha1metadata:name: proxyspec:matchLabels:role: frontendvolumeMounts:- mountPath: /etc/proxy/configsname: proxy-volumevolumes:- name: proxy-volumeemptyDir: {}
创建第二个 PodPreset:
下面是包含可被修改的 Pod 定义的清单(此 Pod 同时被两个 PodPreset 匹配到):
apiVersion: v1kind: Podmetadata:name: websitelabels:app: websiterole: frontendspec:containers:- name: websiteimage: nginxports:- containerPort: 80
创建 Pod:
kubectl create -f https://k8s.io/examples/podpreset/pod.yaml
查看被准入控制器更改后的 Pod 规约,以了解被两个 PodPreset 一同修改 后的效果:
kubectl get pod website -o yaml
apiVersion: v1kind: Podmetadata:name: websitelabels:app: websiterole: frontendannotations:podpreset.admission.kubernetes.io/podpreset-allow-database: "resource version"podpreset.admission.kubernetes.io/podpreset-proxy: "resource version"spec:containers:- name: websiteimage: nginxvolumeMounts:- mountPath: /cachename: cache-volume- mountPath: /etc/proxy/configsname: proxy-volumeports:- containerPort: 80env:- name: DB_PORTvalue: "6379"volumes:- name: cache-volumeemptyDir: {}- name: proxy-volumeemptyDir: {}
Pod 定义中的 DB_PORT 环境变量、proxy-volume 卷挂载以及 两个 podpreset.admission.kubernetes.io 可以证明两个 Preset 都被应用了。
这里的示例展示了 PodPreset 与原 Pod 存在冲突时,Pod 规约不会被修改。 本例中的冲突是指 PodPreset 中的 volumeMount 与 Pod 中定义的卷挂载在 mountPath 上有冲突。
下面是 PodPreset 的清单:
podpreset/conflict-preset.yaml
apiVersion: settings.k8s.io/v1alpha1kind: PodPresetmetadata:name: allow-databasespec:selector:matchLabels:role: frontendenv:- name: DB_PORTvalue: "6379"volumeMounts:- mountPath: /cachename: other-volumevolumes:- name: other-volumeemptyDir: {}
注意 mountPath 的取值是 /cache。 创建 PodPreset:
kubectl apply -f https://k8s.io/examples/podpreset/conflict-preset.yaml
下面是 Pod 的清单:
apiVersion: v1kind: Podmetadata:name: websitelabels:app: websiterole: frontendspec:containers:- name: websiteimage: nginxvolumeMounts:- mountPath: /cachename: cache-volumeports:- containerPort: 80volumes:- name: cache-volumeemptyDir: {}
注意清单中 volumeMount 元素的取值与 PodPreset 中的路径值相同。
创建 Pod:
kubectl create -f https://k8s.io/examples/podpreset/conflict-pod.yaml
查看 Pod 规约:
kubectl get pod website -o yaml
apiVersion: v1kind: Podmetadata:name: websitelabels:app: websiterole: frontendspec:containers:- name: websiteimage: nginxvolumeMounts:- mountPath: /cachename: cache-volumeports:- containerPort: 80volumes:- name: cache-volumeemptyDir: {}
这里你可以看到 Pod 上并没有 PodPreset 的注解 podpreset.admission.kubernetes.io`。 这意味着没有 PodPreset 被应用到 Pod 之上。
不过 还是为所发生的冲突留下了一条警告性质的日志。 你可以通过 kubectl 来查看此警告信息:
kubectl -n kube-system logs -l=component=kube-apiserver
输出类似于:
W1214 13:00:12.987884 1 admission.go:147] conflict occurred while applying podpresets: allow-database on pod: err: merging volume mounts for allow-database has a conflict on mount path /cache:v1.VolumeMount{Name:"other-volume", ReadOnly:false, MountPath:"/cache", SubPath:"", MountPropagation:(*v1.MountPropagationMode)(nil), SubPathExpr:""}does not matchcore.VolumeMount{Name:"cache-volume", ReadOnly:false, MountPath:"/cache", SubPath:"", MountPropagation:(*core.MountPropagationMode)(nil), SubPathExpr:""}in container
注意这里关于卷挂载路径冲突的消息。
输出显示 PodPreset 已经被删除:
