Downward API

我们已经了解到,使用ConfigMap和Secret向应用传递配置数据,这对于运行前预设的数据是可行的。但是对于那些不能预先知道的,就需要使用Downward API。

Downward API允许我们通过环境变量或者卷的方式向应用传递元数据。可传递的数据包括:Pod的IP、名称、标签、注解、所在命令空间、运行的节点名称、运行所属的ServiceAccountName,每个容器请求的CPU和内存使用量以及限制。

通过环境变量暴露元数据

env.valueFrom下引用Pod的字段使用fieldRef,引用容器的cpu和内存使用resourceFieldRef

对于暴露资源的请求和使用显示的环境变量,我们通常会设置一个基数单位。实际的资源请求值和使用限制值除以这个基数单位,所得结果通过环境变量暴露出去。

# downward-env.yaml

apiVersion: v1

kind: Pod

metadata:

  name: downward-env

spec:

  containers:

    - name: alpine

      image: alpine

      command: ["sleep","999999"]

      resources:

        requests:

          cpu: 15m

          memory: 100Ki

        limits:

          cpu: 500m

          memory: 100Mi

      env:

      - name: POD_NAME

        valueFrom:

          fieldRef:

            fieldPath: metadata.name

      - name: POD_NAMESPACE

        valueFrom:

          fieldRef:

            fieldPath: metadata.namespace

      - name: POD_IP

        valueFrom:

          fieldRef:

            fieldPath: status.podIP

      - name: NODE_NAME

        valueFrom:

          fieldRef:

            fieldPath: spec.nodeName

      - name: SERVICE_ACCOUNT

        valueFrom:

          fieldRef:

            fieldPath: spec.serviceAccountName

      - name: CONTAINER_CPU_REQ_MILLICORES

        valueFrom:

          resourceFieldRef:

            resource: requests.cpu

            divisor: 1m

      - name: CONTAINER_MEMORY_LIMIT_KIBIBYTES

        valueFrom:

          resourceFieldRef:

            resource: limits.memory

            divisor: 1Ki

查看一下环境变量

-> [root@kube0.vm] [~] k create -f downward-env.yaml

pod/downward-env created

-> [root@kube0.vm] [~] k exec downward-env env

PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin

HOSTNAME=downward-env

POD_NAME=downward-env

POD_NAMESPACE=default

POD_IP=10.244.1.24

NODE_NAME=kube1.vm

SERVICE_ACCOUNT=default

CONTAINER_CPU_REQ_MILLICORES=15

CONTAINER_MEMORY_LIMIT_KIBIBYTES=102400

通过Downward卷传递元数据

使用downward卷的方式传递元数据,当Pod的标签和注解修改后,Kubernetes会更新存有相关信息的文件。而环境变量方式下,新值无法暴露。

该描述文件定义了一个downward类型的卷,挂载到容器的/tmp/downward。卷中包含的内容是用downwardAPI.items定义的。

# downward-volume.yaml

apiVersion: v1

kind: Pod

metadata:

  name: downward-volume

  labels:

    foo: bar

  annotations:

    key1: value1

    key2: |

      multi

      line

      value

spec:

  containers:

    - name: alpine

      image: alpine

      command: ["sleep","999999"]

      resources:

        requests:

          cpu: 15m

          memory: 100Ki

        limits:

          cpu: 500m

          memory: 100Mi

      volumeMounts:

      - name: downward

        mountPath: /tmp/downward

  volumes:

  - name: downward

    downwardAPI:

      items:

      - path: "podName"

        fieldRef:

            fieldPath: metadata.name

      - path: "podNamespace"

        fieldRef:

            fieldPath: metadata.namespace

      - path: "labels"

        fieldRef:

            fieldPath: metadata.labels

      - path: "annotations"

        fieldRef:

            fieldPath: metadata.annotations

      - path: "containerCpuReqMillicores"

        resourceFieldRef:

          containerName: alpine

          resource: requests.cpu

          divisor: 1m

      - path: "containerMemoryLimitBytes"

        resourceFieldRef:

          containerName: alpine

          resource: limits.memory

          divisor: 1

创建查看

-> [root@kube0.vm] [~] k create -f downward-volume.yaml

pod/downward-volume created

-> [root@kube0.vm] [~] k exec downward-volume ls /tmp/downward

annotations

containerCpuReqMillicores

containerMemoryLimitBytes

labels

podName

podNamespace

与Kubernetes API服务器交互

DownwardAPI可以获得当前Pod的部分元数据,但是无法获得到其他的Pod的,以及一些集群中的其他资源信息。

Kubernetes REST API

先来查看集群信息,找到API服务器地址。然后 curl -k https://192.168.199.117:6443 ,当然结果也是访问受限的。

-> [root@kube0.vm] [~] k cluster-info

Kubernetes master is running at https://192.168.199.117:6443

KubeDNS is running at https://192.168.199.117:6443/api/v1/namespaces/kube-system/services/kube-dns:dns/proxy

所以我们通过 kubectl proxy 访问API服务器。kubectl proxy启动一个代理,接收来自本机的HTTP请求并验证身份,转发到API服务器。

-> [root@kube0.vm] [~] k proxy

Starting to serve on 127.0.0.1:8001

新开一个窗口,访问根路径实时

-> [root@kube0.vm] [~] curl http://localhost:8001/

{

  "paths": [

    "/api",

    "/api/v1",

    "/apis",

    "/apis/",

............

从pod内部与API服务器交互

确定API服务器的地址

-> [root@kube0.vm] [~] k get svc

NAME         TYPE        CLUSTER-IP   EXTERNAL-IP   PORT(S)   AGE

kubernetes   ClusterIP   10.96.0.1    <none>        443/TCP   2d1h

或者从任意Pod查找服务的环境变量

-> [root@kube0.vm] [~] k exec myalpine env|grep KUBERNETES_SERVICE

KUBERNETES_SERVICE_PORT=443

KUBERNETES_SERVICE_PORT_HTTPS=443

KUBERNETES_SERVICE_HOST=10.96.0.1

用一个有curl的镜像启动一个Pod

首先验证服务器身份,定义CURL_CA_BUNDLE环境变量,省去每次都要 curl --cacert 指定证书

export CURL_CA_BUNDLE=/var/run/secrets/kubernetes.io/serviceaccount/ca.crt

其次获得服务器授权:定义TOKEN

export TOKEN=$(cat /var/run/secrets/kubernetes.io/serviceaccount/token)

绕过RBAC,赋予所有服务账户(也可以说所有pod)的集群管理员权限。

-> [root@kube0.vm] [~] k create clusterrolebinding permissive-binding --clusterrole=cluster-admin --group=system:serviceaccounts

clusterrolebinding.rbac.authorization.k8s.io/permissive-binding created

访问API服务器

$ curl -H "Authorization: Bearer $TOKEN" https://kubernetes/

{

  "paths": [

    "/api",

    "/api/v1",

...........

获取当前运行Pod所在的命名空间

export NS=$(cat /var/run/secrets/kubernetes.io/serviceaccount/namespace)

列出当前命名空间的Pods

$ curl -H "Authorization: Bearer $TOKEN" https://kubernetes/api/v1/namespaces/$NS/pods

{

  "kind": "PodList",

  "apiVersion": "v1",

  "metadata": {

    "selfLink": "/api/v1/namespaces/default/pods",

    "resourceVersion": "454829"

..........

简化与API服务器的交互

在Pod中,除了主容器外另起一个运行kubectl proxy的容器,这样主容器就可以通过http://127.0.0.1:8001/访问API服务器了。

先构建镜像,准备kubectl-proxy.sh和Dockerfile。

# kubectl-proxy.sh

#!/bin/sh

API_SERVER="https://$KUBERNETES_SERVICE_HOST:$KUBERNETES_SERVICE_PORT"

CA_CRT="/var/run/secrets/kubernetes.io/serviceaccount/ca.crt"

TOKEN="$(cat /var/run/secrets/kubernetes.io/serviceaccount/token)"

/kubectl proxy --server="$API_SERVER" --certificate-authority="$CA_CRT" --token="$TOKEN" --accept-paths='^.*'

myalpine就是一个安装了curl的自制镜像

# Dockerfile

FROM registry.cn-hangzhou.aliyuncs.com/orzi/myalpine

RUN curl -LO https://storage.googleapis.com/kubernetes-release/release/v1.18.0/bin/linux/amd64/kubectl && chmod +x ./kubectl && mv ./kubectl /

COPY kubectl-proxy.sh /kubectl-proxy.sh

ENTRYPOINT ["/kubectl-proxy.sh"]

构建、推送

docker build -t registry.cn-hangzhou.aliyuncs.com/orzi/myalpine:kubeproxy .

docker push registry.cn-hangzhou.aliyuncs.com/orzi/myalpine:kubeproxy

描述文件

# mykubeproxy.yaml

apiVersion: v1

kind: Pod

metadata:

  name: mykubeproxy

spec:

  containers:

    - name: myalpine

      image: registry.cn-hangzhou.aliyuncs.com/orzi/myalpine

      command: ["sleep","999999"]

    - name: mykubeproxy

      image: registry.cn-hangzhou.aliyuncs.com/orzi/myalpine:kubeproxy

创建、查看

-> [root@kube0.vm] [~] k create -f mykubeproxy.yaml

pod/mykubeproxy created

-> [root@kube0.vm] [~] k exec -it mykubeproxy -c myalpine sh

$ curl http://127.0.0.1:8001

{

  "paths": [

    "/api",

    "/api/v1",

    "/apis",

.......

小结

  • Downward API允许我们将不能预先知道的Pod元数据通过环境变量或者卷的方式传递给应用。
  • Downward API可传递的数据包括:Pod的IP、名称、标签、注解、所在命名空间、运行的节点名称、运行所属的ServiceAccountName,每个容器请求的CPU和内存的使用量和限制。
  • env.valueFrom下引用Pod的字段使用fieldRef,引用容器的cpu和内存使用resourceFieldRef
  • 对于暴露资源的请求和使用显示的环境变量,我们通常会设置一个基数单位。实际的资源请求值和使用限制值除以这个基数单位,所得结果通过环境变量暴露出去。
  • 使用downward卷的方式传递元数据,当Pod的标签和注解修改后,Kubernetes会更新存有相关信息的文件。而环境变量方式下,新值无法暴露。
  • 可以通过运行kubectl proxy后,在节点上访问API服务器。也可以在Pod中另起一个专门运行kubectl proxy的容器,在主容器中访问。

Kubernetes学习笔记(七):访问Pod元数据与Kubernetes API的更多相关文章

  1. kubernetes学习笔记之十二:资源指标API及自定义指标API

    第一章.前言 以前是用heapster来收集资源指标才能看,现在heapster要废弃了从1.8以后引入了资源api指标监视 资源指标:metrics-server(核心指标) 自定义指标:prome ...

  2. 【opencv学习笔记七】访问图像中的像素与图像亮度对比度调整

    今天我们来看一下如何访问图像的像素,以及如何改变图像的亮度与对比度. 在之前我们先来看一下图像矩阵数据的排列方式.我们以一个简单的矩阵来说明: 对单通道图像排列如下: 对于双通道图像排列如下: 那么对 ...

  3. Kubernetes 学习笔记(一):基础概念

    个人笔记,仅本人查阅使用,不保证正确. 零.微服务 微服务架构专注于应用解耦合,通过将应用彻底地组件化和服务化,每个微服务只包含一个非常小的功能,比如权限管理.日志收集等等.由这一组微服务组合起来,提 ...

  4. Linux学习笔记(七) 查询系统

    1.查看命令 (1)man 可以使用 man 命令名称 命令查看某个命令的详细用法,其显示的内容如下: NAME:命令名称 SYNOPSIS:语法 DESCRIPTION:说明 OPTIONS:选项 ...

  5. Kubernetes学习笔记(八):Deployment--声明式的升级应用

    概述 本文核心问题是:如何升级应用. 对于Pod的更新有两种策略: 一是删除全部旧Pod之后再创建新Pod.好处是,同一时间只会有一个版本的应用存在:缺点是,应用有一段时间不可用. 二是先创建新Pod ...

  6. (转)Qt Model/View 学习笔记 (七)——Delegate类

    Qt Model/View 学习笔记 (七) Delegate  类 概念 与MVC模式不同,model/view结构没有用于与用户交互的完全独立的组件.一般来讲, view负责把数据展示 给用户,也 ...

  7. Learning ROS for Robotics Programming Second Edition学习笔记(七) indigo PCL xtion pro live

    中文译著已经出版,详情请参考:http://blog.csdn.net/ZhangRelay/article/category/6506865 Learning ROS forRobotics Pro ...

  8. Typescript 学习笔记七:泛型

    中文网:https://www.tslang.cn/ 官网:http://www.typescriptlang.org/ 目录: Typescript 学习笔记一:介绍.安装.编译 Typescrip ...

  9. python3.4学习笔记(七) 学习网站博客推荐

    python3.4学习笔记(七) 学习网站博客推荐 深入 Python 3http://sebug.net/paper/books/dive-into-python3/<深入 Python 3& ...

随机推荐

  1. Netflix:当你按下“播放”的时候发生了什么?

    从用户端来看,使用Netflix是很简单的,按下播放键之后视频就像变魔术一样完美呈现了.看起来很容易是吧?然而实际不是这样的.了解过云计算的人可能会简单地以为,既然Netflix使用AWS来提供视频服 ...

  2. 信息竞赛进阶指南--递归法求中缀表达式的值,O(n^2)(模板)

    // 递归法求中缀表达式的值,O(n^2) int calc(int l, int r) { // 寻找未被任何括号包含的最后一个加减号 for (int i = r, j = 0; i >= ...

  3. POJ - 3278 Catch That Cow 简单搜索

    Farmer John has been informed of the location of a fugitive cow and wants to catch her immediately. ...

  4. MySQL——视图/触发器/事务/存储过程/函数/流程控制

    一 视图 视图是一个虚拟表(非真实存在),其本质是[根据SQL语句获取动态的数据集,并为其命名],用户使用时只需使用[名称]即可获取结果集,可以将该结果集当做表来使用. 使用视图我们可以把查询过程中的 ...

  5. RocketMQ搭建全过程

    RocketMQ下载地址:https://mirrors.tuna.tsinghua.edu.cn/apache/rocketmq/4.3.0/rocketmq-all-4.3.0-bin-relea ...

  6. 经典卷积神经网络算法(1):LeNet-5

    .caret, .dropup > .btn > .caret { border-top-color: #000 !important; } .label { border: 1px so ...

  7. springboot配置静态资源访问路径

    其实在springboot中静态资源的映射文件是在resources目录下的static文件夹,springboot推荐我们将静态资源放在static文件夹下,因为默认配置就是classpath:/s ...

  8. 用Visual Studio2019自定义项目模板

    项目模板简介 众所周知,在我们使用VS新建项目时,都需要选择一个项目模板,如下图: 我们选择完项目模板进行创建,创建完成之后,可以发现项目中已经包含了一些基础的文件.例如MVC: 可以看到,MVC项目 ...

  9. Python-SHA256加密算法接口测试

    前言 小伙伴们在做接口测试的时候,是否遇到一些需要加密的接口,但是不知如何进行测试呢?今天我们来学习一下SHA256加密算法接口如何进行测试的. SHA256加密算法介绍: 比特币挖矿的御用算法 SH ...

  10. pyhanlp安装成功,import导入失败,出现:importerror: cannot import name 'jvmnotfoundexception'

    1.问题描述: pyhanlp成功安装,并且可以正常使用,但是这段时间再去用的时候,发现出问题了,一运行就出现,下面的问题: importerror: cannot import name 'jvmn ...