一.系统环境

服务器版本 docker软件版本 Kubernetes(k8s)集群版本 CPU架构
CentOS Linux release 7.4.1708 (Core) Docker version 20.10.12 v1.21.9 x86_64

Kubernetes集群架构:k8scloude1作为master节点,k8scloude2,k8scloude3作为worker节点

服务器 操作系统版本 CPU架构 进程 功能描述
k8scloude1/192.168.110.130 CentOS Linux release 7.4.1708 (Core) x86_64 docker,kube-apiserver,etcd,kube-scheduler,kube-controller-manager,kubelet,kube-proxy,coredns,calico k8s master节点
k8scloude2/192.168.110.129 CentOS Linux release 7.4.1708 (Core) x86_64 docker,kubelet,kube-proxy,calico k8s worker节点
k8scloude3/192.168.110.128 CentOS Linux release 7.4.1708 (Core) x86_64 docker,kubelet,kube-proxy,calico k8s worker节点

二.前言

Kubernetes(k8s)数据卷volumes类型众多,本文介绍数据卷volumes之一hostPath数据卷

使用数据卷volumes的前提是已经有一套可以正常运行的Kubernetes集群,关于Kubernetes(k8s)集群的安装部署,可以查看博客《Centos7 安装部署Kubernetes(k8s)集群》https://www.cnblogs.com/renshengdezheli/p/16686769.html

三.hostPath数据卷

3.1 hostPath数据卷概览

警告:HostPath 卷存在许多安全风险,最佳做法是尽可能避免使用 HostPath。 当必须使用 HostPath 卷时,它的范围应仅限于所需的文件或目录,并以只读方式挂载。如果通过 AdmissionPolicy 限制 HostPath 对特定目录的访问,则必须要求 volumeMounts 使用 readOnly 挂载以使策略生效。

hostPath 卷能将主机节点文件系统上的文件或目录挂载到你的 Pod 中。 虽然这不是大多数 Pod 需要的,但是它为一些应用程序提供了强大的逃生舱。

例如,hostPath 的一些用法有:

  • 运行一个需要访问 Docker 内部机制的容器;可使用 hostPath 挂载 /var/lib/docker 路径。
  • 在容器中运行 cAdvisor 时,以 hostPath 方式挂载 /sys
  • 允许 Pod 指定给定的 hostPath 在运行 Pod 之前是否应该存在,是否应该创建以及应该以什么方式存在。

除了必需的 path 属性之外,你可以选择性地为 hostPath 卷指定 type

支持的 type 值如下:

取值 行为
空字符串(默认)用于向后兼容,这意味着在安装 hostPath 卷之前不会执行任何检查。
DirectoryOrCreate 如果在给定路径上什么都不存在,那么将根据需要创建空目录,权限设置为 0755,具有与 kubelet 相同的组和属主信息。
Directory 在给定路径上必须存在的目录。
FileOrCreate 如果在给定路径上什么都不存在,那么将在那里根据需要创建空文件,权限设置为 0644,具有与 kubelet 相同的组和所有权。
File 在给定路径上必须存在的文件。
Socket 在给定路径上必须存在的 UNIX 套接字。
CharDevice 在给定路径上必须存在的字符设备。
BlockDevice 在给定路径上必须存在的块设备。

当使用这种类型的卷时要小心,因为:

HostPath 卷可能会暴露特权系统凭据(例如 Kubelet)或特权 API(例如容器运行时套接字),可用于容器逃逸或攻击集群的其他部分。

具有相同配置(例如基于同一 PodTemplate 创建)的多个 Pod 会由于节点上文件的不同而在不同节点上有不同的行为。下层主机上创建的文件或目录只能由 root 用户写入。 你需要在特权容器中以 root 身份运行进程,或者修改主机上的文件权限以便容器能够写入 hostPath 卷。

注意:FileOrCreate 模式不会负责创建文件的父目录。 如果欲挂载的文件的父目录不存在,Pod 启动会失败。 为了确保这种模式能够工作,可以尝试把文件和它对应的目录分开挂载。

hostPath卷类似于docker run -v /data:/xx

3.2 创建有hostPath卷的pod

配置本地卷hostPath,把v1卷挂载到/xx目录

[root@k8scloude1 volume]# vim hostpath.yaml 

[root@k8scloude1 volume]# cat hostpath.yaml

apiVersion: v1

kind: Pod

metadata:

  creationTimestamp: null

  labels:

    run: hostpath

  name: hostpath

spec:

  terminationGracePeriodSeconds: 0

  #指定卷

  volumes:

  #卷的名字

  - name: v1

    #卷的类型为hostPath

    hostPath:

      #宿主上目录位置

      path: /hostdir

  containers:

  - image: nginx

    imagePullPolicy: IfNotPresent

    name: h1

    resources: {}

    volumeMounts:

    - name: v1

      mountPath: /xx

  dnsPolicy: ClusterFirst

  restartPolicy: Always

status: {}

创建pod

[root@k8scloude1 volume]# kubectl apply -f hostpath.yaml

pod/hostpath created

[root@k8scloude1 volume]# kubectl get pods -o wide

NAME       READY   STATUS    RESTARTS   AGE   IP               NODE         NOMINATED NODE   READINESS GATES

hostpath   1/1     Running   0          6s    10.244.112.183   k8scloude2   <none>           <none>

进入pod,/xx/hostpath.txt写入数据

[root@k8scloude1 volume]# kubectl exec -it hostpath -- bash

root@hostpath:/# echo "hostPath" >/xx/hostpath.txt

root@hostpath:/#

root@hostpath:/# ls /xx/

hostpath.txt  test.txt

root@hostpath:/#

root@hostpath:/# exit

exit

在对应的k8scloude2上查看容器

[root@k8scloude2 ~]# docker ps | grep hostpath

6e4d959332d3   605c77e624dd                                          "/docker-entrypoint.…"   33 seconds ago   Up 33 seconds             k8s_h1_hostpath_volume_9bbf4660-7e37-4c38-b2db-900246301329_0

f5e3d63fe676   registry.aliyuncs.com/google_containers/pause:3.4.1   "/pause"                 34 seconds ago   Up 33 seconds             k8s_POD_hostpath_volume_9bbf4660-7e37-4c38-b2db-900246301329_0

查看物理机目录:/hostdir,容器目录:/xx

[root@k8scloude2 ~]# docker inspect 6e4d959332d3 | grep -A10 Mounts

        "Mounts": [

            {

                "Type": "bind",

                "Source": "/hostdir",

                "Destination": "/xx",

                "Mode": "",

                "RW": true,

                "Propagation": "rprivate"

            },

            {

                "Type": "bind",

pod里创建了hostpath.txt,对应的物理机目录也生成了文件

[root@k8scloude2 ~]# cat /hostdir/hostpath.txt

hostPath

[root@k8scloude2 ~]# touch /hostdir/test.txt

[root@k8scloude2 ~]# ls /hostdir/

hostpath.txt  test.txt

删除pod

[root@k8scloude1 volume]# kubectl delete pod hostpath --force

warning: Immediate deletion does not wait for confirmation that the running resource has been terminated. The resource may continue to run on the cluster indefinitely.

pod "hostpath" force deleted

pod删除了之后,k8scloude2对应物理机上的文件还存在

[root@k8scloude2 ~]# ls /hostdir/

hostpath.txt  test.txt

再次创建pod,对应的/xx/下的文件还在

[root@k8scloude1 volume]# kubectl apply -f hostpath.yaml

pod/hostpath created

[root@k8scloude1 volume]# kubectl exec -it hostpath -- bash

root@hostpath:/# ls /xx/

hostpath.txt  test.txt

root@hostpath:/# exit

exit

[root@k8scloude1 volume]# kubectl delete pod hostpath --force

warning: Immediate deletion does not wait for confirmation that the running resource has been terminated. The resource may continue to run on the cluster indefinitely.

pod "hostpath" force deleted

Tps:假如hostpath.yaml文件丢失了,就可kubectl get pod hostpath -o yaml >hostpathpodx.yaml使用这种方式进行备份yaml文件,运行hostpathpodx.yaml文件,生成一个一模一样的pod

[root@k8scloude1 volume]# kubectl apply -f hostpath.yaml

pod/hostpath created

[root@k8scloude1 volume]# kubectl get pods -o wide

NAME       READY   STATUS    RESTARTS   AGE   IP               NODE         NOMINATED NODE   READINESS GATES

hostpath   1/1     Running   0          5s    10.244.112.185   k8scloude2   <none>           <none>

[root@k8scloude1 volume]# kubectl get pod hostpath -o yaml >hostpathpodx.yaml

[root@k8scloude1 volume]# vim hostpathpodx.yaml 

[root@k8scloude1 volume]# kubectl delete pod hostpath --force

warning: Immediate deletion does not wait for confirmation that the running resource has been terminated. The resource may continue to run on the cluster indefinitely.

pod "hostpath" force deleted

[root@k8scloude1 volume]# kubectl get pods -o wide

No resources found in volume namespace.

重新生成的pod和之前一模一样

[root@k8scloude1 volume]# kubectl apply -f hostpathpodx.yaml

pod/hostpath created

[root@k8scloude1 volume]# kubectl get pods -o wide

NAME       READY   STATUS    RESTARTS   AGE   IP               NODE         NOMINATED NODE   READINESS GATES

hostpath   1/1     Running   0          6s    10.244.112.186   k8scloude2   <none>           <none>

[root@k8scloude1 volume]# kubectl exec -it hostpath -- bash

root@hostpath:/# ls /xx/

hostpath.txt  test.txt

root@hostpath:/# exit

exit

[root@k8scloude1 volume]# kubectl delete pod hostpath --force

warning: Immediate deletion does not wait for confirmation that the running resource has been terminated. The resource may continue to run on the cluster indefinitely.

pod "hostpath" force deleted

可以添加readOnly: true选项,使容器目录只具有只读权限

[root@k8scloude1 volume]# vim hostpath.yaml 

[root@k8scloude1 volume]# cat hostpath.yaml

apiVersion: v1

kind: Pod

metadata:

  creationTimestamp: null

  labels:

    run: hostpath

  name: hostpath

spec:

  terminationGracePeriodSeconds: 0

  volumes:

  - name: v1

    hostPath:

      path: /hostdir

  containers:

  - image: nginx

    imagePullPolicy: IfNotPresent

    name: h1

    resources: {}

    volumeMounts:

    - name: v1

      mountPath: /xx

      readOnly: true

  dnsPolicy: ClusterFirst

  restartPolicy: Always

status: {}

创建pod

[root@k8scloude1 volume]# kubectl apply -f hostpath.yaml

pod/hostpath created

[root@k8scloude1 volume]# kubectl get pod -o wide

NAME       READY   STATUS    RESTARTS   AGE   IP               NODE         NOMINATED NODE   READINESS GATES

hostpath   1/1     Running   0          10s   10.244.112.187   k8scloude2   <none>           <none>

只读权限,不能创建文件

[root@k8scloude1 volume]# kubectl exec -it hostpath -- bash

root@hostpath:/# ls /xx/

hostpath.txt  test.txt

root@hostpath:/# touch /xx/ceshi.txt

touch: cannot touch '/xx/ceshi.txt': Read-only file system

root@hostpath:/# exit

exit

command terminated with exit code 1

删除pod

[root@k8scloude1 volume]# kubectl delete pod hostpath --force

warning: Immediate deletion does not wait for confirmation that the running resource has been terminated. The resource may continue to run on the cluster indefinitely.

pod "hostpath" force deleted

nodeName: k8scloude3,让pod运行在k8scloude3上

[root@k8scloude1 volume]# vim hostpath.yaml 

[root@k8scloude1 volume]# cat hostpath.yaml

apiVersion: v1

kind: Pod

metadata:

  creationTimestamp: null

  labels:

    run: hostpath

  name: hostpath

spec:

  nodeName: k8scloude3

  terminationGracePeriodSeconds: 0

  volumes:

  - name: v1

    hostPath:

      path: /hostdir

  containers:

  - image: nginx

    imagePullPolicy: IfNotPresent

    name: h1

    resources: {}

    volumeMounts:

    - name: v1

      mountPath: /xx

      readOnly: true

  dnsPolicy: ClusterFirst

  restartPolicy: Always

status: {}

创建pod

[root@k8scloude1 volume]# kubectl apply -f hostpath.yaml

pod/hostpath created

[root@k8scloude1 volume]# kubectl get pod -o wide

NAME       READY   STATUS    RESTARTS   AGE   IP               NODE         NOMINATED NODE   READINESS GATES

hostpath   1/1     Running   0          3s    10.244.251.250   k8scloude3   <none>           <none>

对应的/xx/目录下面没文件,因为刚才是在k8scloude2上创建的文件,现在k8scloude3上没文件,所以/xx/下面没文件,由于k8scloude2和k8scloude3没有共享存储,所以k8scloude2上有的文件,k8scloude3上没有,可以使用共享存储卷来解决此问题。共享存储卷请查看博客《Kubernetes(k8s)存储管理之数据卷volumes(三):NFS数据卷》

[root@k8scloude1 volume]# kubectl exec -it hostpath -- bash

root@hostpath:/# ls /xx/

root@hostpath:/#

root@hostpath:/# exit

exit

Kubernetes(k8s)存储管理之数据卷volumes(二):hostPath数据卷的更多相关文章

  1. PHP二维数据排序,二维数据模糊查询

    一.因为项目中的一个报表需要合并三个表的数据,所以分表查询再合并数据,利用PHP数组函数进行排序,搜索.三表合并后的数组结构如下: Array ( [0] => Array ( [history ...

  2. 【Excle数据透视】二维数据如何创建数据透视表

    二维数据在创建数据透视表的时候,可能会给你带来一些麻烦,没法创建,会丢失维度,那怎么办呢? 解决办法:使用数据透视表和数据透视图向导即可创建 具体操作如下: 按下[Alt+D+P],出现如下界面 选择 ...

  3. WCF技术剖析之十二:数据契约(Data Contract)和数据契约序列化器(DataContractSerializer)

    原文:WCF技术剖析之十二:数据契约(Data Contract)和数据契约序列化器(DataContractSerializer) [爱心链接:拯救一个25岁身患急性白血病的女孩[内有苏州电视台经济 ...

  4. Istio(二):在Kubernetes(k8s)集群上安装部署istio1.14

    目录 一.模块概览 二.系统环境 三.安装istio 3.1 使用 Istioctl 安装 3.2 使用 Istio Operator 安装 3.3 生产部署情况如何? 3.4 平台安装指南 四.Ge ...

  5. Kubernetes(k8s)集群部署(k8s企业级Docker容器集群管理)系列之自签TLS证书及Etcd集群部署(二)

    0.前言 整体架构目录:ASP.NET Core分布式项目实战-目录 k8s架构目录:Kubernetes(k8s)集群部署(k8s企业级Docker容器集群管理)系列目录 一.服务器设置 1.把每一 ...

  6. docker基础---数据卷volumes

    1.数据卷 数据卷是一个可供一个或多个容器使用的特殊目录,它绕过 UFS,可以提供很多有用的特性: 数据卷可以在容器之间共享和重用 对数据卷的修改会立马生效 对数据卷的更新,不会影响镜像 卷会一直存在 ...

  7. 《两地书》--Kubernetes(K8s)基础知识(docker容器技术)

    大家都知道历史上有段佳话叫“司马相如和卓文君”.“皑如山上雪,皎若云间月”.卓文君这么美,却也抵不过多情女儿薄情郎. 司马相如因一首<子虚赋>得汉武帝赏识,飞黄腾达之后便要与卓文君“故来相 ...

  8. Kubernetes(k8s) docker集群搭建

    原文地址:https://blog.csdn.net/real_myth/article/details/78719244 一.Kubernetes系列之介绍篇   •Kubernetes介绍 1.背 ...

  9. Kubernetes学习之路(十六)之存储卷

    目录 一.存储卷的概念和类型 二.emptyDir存储卷演示 三.hostPath存储卷演示 四.nfs共享存储卷演示 五.PVC和PV的概念 六.NFS使用PV和PVC 1.配置nfs存储 2.定义 ...

  10. k8s-存储卷1-十二

    因为pod是有生命周期的,pod一重启,里面的数据就没有了.所以我们需要数据持久化存储. 在k8s中,存储卷不属于容器,而是属于pod.也就是说同一个pod中的容器可以共享一个存储卷. 存储卷可以是宿 ...

随机推荐

  1. [ML从入门到入门] 支持向量机:从SVM的推导过程到SMO的收敛性讨论

    前言 支持向量机(Support Vector Machine,SVM)在70年代由苏联人 Vladimir Vapnik 提出,主要用于处理二分类问题,也就是研究如何区分两类事物. 本文主要介绍支持 ...

  2. webpack打包思路与流程解析

    一:创建一个新的工程,项目初始化 npm init -y 二:搭建项目框架 三:编写main.js文件内容,在index.js中引入,在把index.js引入到index.html中 例: expor ...

  3. C++ 右值引用与一级指针

    将右值引用用于一级指针,在初始化时等号右边必须为右值,有以下几种用法: //方式一:引用一级指针,常规用法 int a = 5; int * &&rrpa = &a; //右值 ...

  4. cURL error 1014: SSL verify failed 报错

    报错 [ERROR] cURL error 1014: SSL verify failed (see https://curl.haxx.se/libcurl/c/libcurl-errors.htm ...

  5. servlet技术--使用注解模拟用户登录实现页面跳转

    文章目录 1.servlet体系结构 2.servlet技术特点 3.servlet和jsp的区别 4.servlet开发 1.servlet体系结构 servlet实质就是按servlet规范编写的 ...

  6. Linux进程间通信(一)

    进程间通信 概念:进程是一个独立的资源分配单位,不同进程之间有关联,不能在一个进程中直接访问另一个进程的资源. 进程和进程之间的资源是相互独立的,一个进程不能直接访问另外一个进程的资源,但是进程和进程 ...

  7. Codeforces Round #828 (Div. 3) A-F

    比赛链接 A 题解 知识点:贪心,模拟. 遇到没用过的数字就给个字母,遇到用过的数字就对照字母是否一致. 时间复杂度 \(O(n)\) 空间复杂度 \(O(n)\) 代码 #include <b ...

  8. Java中math类的常用函数

    Java中math类的常用函数 在 Java 中 Math 类封装了常用的数学运算,提供了基本的数学操作,如指数.对数.平方根和三角函数等 只要在源文件的顶部加上下面这行代码就不必在数学方法名和常量名 ...

  9. 如何在.NET程序崩溃时自动创建Dump?

    今天在浏览张队转载文章的留言时,遇到一个读者问了这样的问题,如下图所示: 首先能明确的一点是"程序崩溃退出了是不能用常规的方式dump的",因为整个进程树都已经退出.现场已经无法使 ...

  10. ES6 学习笔记(十三)promise的简单使用

    1.什么是promise 在JavaScript中,我们经常会用到回调函数,而回调函数的使用让我们没法使用return,throw等关键字.JS引用promise正好解决了这个问题. promise单 ...