【云原生】k8s(Kubernetes)中yaml文件快速阅读理解
2)接着我们看下一个,以---分隔符隔开的另一个类型Service,定义了一个名为suncat-endpoints的Service,同时往该Service中配置内部端口映射到Pod暴露出的端口port: 3306,以及对外暴露的端口号targetPort: 3306。首先我们看到,定义了一个名为suncat-service的Service类型,他的职责时将port: 8848端口映射到nodePo
简言:
k8s yaml中文件内容一般有kind类型之分,每种类型有不同的功能(一般用---符号隔开)
常见的kind类型:
(1)Endpoints:Endpoints可以把外部的链接到k8s系统中(可以理解为引用外部资源,如将一个外部mysql连接到k8s中)
(2)Service:部署一个内部虚拟IP,其他deployment可以链接。(可以简单理解为K8S的端口映射,如外部3444端口映射到pod应用中80端口)
(3)Secrets:用于存储和管理一些敏感数据,比如密码,token,密钥等敏感信息。(可以理解为ssh中的密钥)
(4)Deployment:部署一个Pod,内部只能链接service,无法互相链接。(可以简单理解为一个pod应用的部署工具,即使部署的应用挂了还能重启,但只能链接service服务)
备注:
(1)metadata一般每个类型中会带有metadata.name即表示该类型生成的名字,如
metadata:
name: suncat(2)spec,资源详细定义,后面一般会带有该类型的详细信息。
如Service类型中定义接口的信息
spec:
ports:
- port: 3306
targetPort: 3306
protocol: TCP
name: http下面分别对下面几种kind类型来进行讲解:
一、Endpoints
先来看个需求:
我有个一个外部的mysql,不是使用本机的k8s部署的。但是现在我的应用程序想用它。那这时候,我改怎么使用它呢?毕竟k8s中的pod大部分只能通过service来链接。
这时候Endpoints就出现了,他是可以把外部的链接到k8s系统中,如:
apiVersion: v1
kind: Endpoints
metadata:
name: suncat-endpoints
subsets:
- addresses: # 代理ip
- ip: 192.168.14.144
ports:
- port: 3306 # 服务的端口
protocol: TCP
name: http
---
apiVersion: v1
kind: Service
metadata:
name: suncat-endpoints # 这里的名称要和上面一样才能关联
spec:
ports:
- port: 3306
targetPort: 3306
protocol: TCP
name: http(1)首先我们看到,我们定义了名为suncat-endpoints的Endpoints,同时往suncat-endpoints配置了代理IP以及服务的端口。
(2)接着我们看下一个,以---分隔符隔开的另一个类型Service,定义了一个名为suncat-endpoints的Service,同时往该Service中配置内部端口映射到Pod暴露出的端口port: 3306,以及对外暴露的端口号targetPort: 3306
总结:通过配置Endpoints以及Service,Endpoints将k8s的端口链接到外部mysql端口,而Service将k8s中内部的端口映射到k8s端口,以此就完成了pod应用访问外部链接。
二、Service
先来看个需求:
我们K8S里启动了一个pod应用,并里面运行了端口为8848的前端页面。这时候,我外部怎么访问K8S内部pod应用这个端口为8848的前端页面?
这时候就需要定义Service类型了,使pod应用端口8848映射到K8S特定端口中,外部应用访问K8S特定端口即可访问前端页面
样例:
apiVersion: v1
kind: Service
metadata:
name: suncat-service
spec:
type: NodePort
ports:
# 内部端口映射到Pod暴露出的端口
- port: 8848
# 对外暴露的端口号,如果不指定则随机生成一个端口号
nodePort: 38011
selector:
app: suncat-app首先我们看到,定义了一个名为suncat-service的Service类型,他的职责时将port: 8848端口映射到nodePort: 38011对外暴露端口,并且他的管理的对应的应用时suncat-app应用
也就是说,将pod应用名为suncat-app中端口为8848的端口映射到对外暴露端口38011,只要外部服务访问该服务器IP:38011,即可区访问k8s中suncat-app应用的8848端口
三、Secrets
这个类型比较有意思,更多是用作于类似密钥的形式。
(估计是不想明文记录账号密码等信息,但大部分加密都是Base64加密。所以说,我觉得有点像是防君子不防小人)
Secret有三种类型:
(1)Opaque:
base64 编码格式的 Secret,用来存储密码、密钥等;但数据也可以通过base64 –decode解码得到原始数据,所有加密性很弱。
(2)Service Account:
用来访问Kubernetes API,由Kubernetes自动创建,并且会自动挂载到Pod的的/run/secrets/kubernetes.io/serviceaccount 目录中。
(3)kubernetes.io/dockerconfigjson :
用来存储私有docker registry的认证信息。
下面分别讲解一下:
Opaque:这种一般是加密一些账号密码,然后作为环境变量中使用
例子:
apiVersion: v1
kind: Secret
metadata:
name: suncat_secret_userinfo
type: Opaque
data:
name: c3VuY2F0
age: MjY=首先我们看到,定义了一个名为suncat_secret_userinfo的Secret类型,属于Secret下的Opaque种类,它所带key-value键值数据有两个分别是“name: c3VuY2F0”和“age: MjY=”。
可能这样看有点不是很理解name是什么值、age是什么值,我们不妨将他们的值用Base64解密一下。
| 字段 | 原值 | Base64解密后的值 |
| name | c3VuY2F0 | suncat |
| age | MjY= | 26 |
可以看到”name“的值为“suncat”,“age”的值是“26”
创建的secret的使用方法有挂载和环境变量两种,以下只介绍在环境变量中的使用方法:
env:
- name: username
valueFrom:
secretKeyRef:
name: suncat_secret_userinfo
key: name
- name: userage
valueFrom:
secretKeyRef:
name: suncat_secret_userinfo
key: agekubernetes.io/dockerconfigjson:一般是用来拉镜像的密钥。比如自己搭建的harbor,有些镜像肯定不是公开的,是私密的。这时候拉取镜像就需要密码,需要密钥。
例子:
apiVersion: v1
kind: Secret
metadata:
name: suncat-harbor-secret
type: kubernetes.io/dockerconfigjson
data:
.dockerconfigjson: eyJhdXRocyI6eyIxOTIuMTY4LjAuMTo4MDkwIjp7InVzZXJuYW1lIjoic3VuY2F0IiwicGFzc3dvcmQiOiIxMjM0NTYiLCJhdXRoIjoiYzNWdVkyRjBPakV5TXpRMU5nPT0ifX19首先我们看到,定义了一个名为suncat-harbor-secret的Secret类型,属于Secret下的kubernetes.io/dockerconfigjson种类,它所带的dockerconfigjson数据是一个由base64加密的json数据
我们将
eyJhdXRocyI6eyIxOTIuMTY4LjAuMTo4MDkwIjp7InVzZXJuYW1lIjoic3VuY2F0IiwicGFzc3dvcmQiOiIxMjM0NTYiLCJhdXRoIjoiYzNWdVkyRjBPakV5TXpRMU5nPT0ifX19进行base64解密:
{"auths":{"192.168.0.1:8090":{"username":"suncat","password":"123456","auth":"c3VuY2F0OjEyMzQ1Ng=="}}}我们把格式弄得漂亮一点再看看
{
"auths":{
"192.168.0.1:8090":{
"username":"suncat",
"password":"123456",
"auth":"c3VuY2F0OjEyMzQ1Ng=="
}
}
}我们可以看出,这是一个验证的信息,192.168.0.1:8090值的是harbor仓库的地址,而username后的值“suncat”是登录账号,password后的值“123456”是登录密码
而auth后的值"c3VuY2F0OjEyMzQ1Ng=="则又是一个base64加密的值,它用于校验。我们将其解密后得到suncat:123456,也就是账号跟密码
备注:
创建k8s集群的kubernetes.io/dockerconfigjson种类的secret
kubectl -n <命名空间> create secret docker-registry <secret名> \
--docker-server=<域名或ip:port> \
--docker-username=<用户名> \
--docker-password=<密码>例如:
kubectl -n suncat-test-secret create secret docker-registry registry-key \
--docker-server=registry.k8s.suncat \
--docker-username=suncat \
--docker-password=123456四、Deployment
先来看一下需求:
我们希望在k8s上部署一个应用,如果该应用挂了还能重启。如果单单创建一个pod类型是不够的,应为该pod应用挂了,就不会重启了。
如果创建一个Deployment类型,可以创建管理该pod应用,挂了都会给你重启。
例子:
apiVersion: apps/v1
kind: Deployment
metadata:
name: suncat-deployment
spec:
replicas: 1
selector:
matchLabels:
app: suncat-app
template:
metadata:
labels:
app: suncat-app
spec:
imagePullSecrets:
- name: suncat-harbor-secret
containers:
- name: suncat-app
image: registry.k8s.suncat:4444/suncat/testapp:1.0
ports:
- containerPort: 8848
imagePullPolicy: Always
resources:
limits:
cpu: "1"
memory: "400Mi"
requests:
cpu: "0.5"
memory: "200Mi"以上内容有点多,我们慢慢讲解:
(1)首先,我们定义了名为suncat-deployment的Deployment,并且该Deployment所管理的app应用的标签是suncat-app,副本数为1。
(2)然后在数据定义里定义了一个定义业务模板template。可以看出,在业务模板里定义了一个名为suncat-app的pod应用。
(3)同时该业务模板还定义了该suncat-app应用的容器名,同样也名为suncat-app,而该容器所拉取的镜像来源于registry.k8s.suncat:4444/suncat/testapp:1.0。
这时候就会有人问,如果该拉取镜像的地址是非公开的,需要密码的。那该怎么办呢?
还记得上面说到的类型Secrets下的kubernetes.io/dockerconfigjson种类么,这东西就是用来作密钥拉镜像的,只需要在imagePullSecrets下配置一个事先创建好的、名为suncat-harbor-secret的密钥即可拉取镜像
(4)就是配置一些该pod的端口为8848,拉取方式imagePullPolicy为Always总是拉取pull
(5)这个的话,就是配置该pod的正常请求cpu和内存,以及最大限制的cpu和内存。当然你不设置也所谓。
在该配置中,我设置该pod正常请求的cpu为0.5(半核)以及内存为200M,最大限制的cpu为1核、以及内存为400M
备注:
1、imagePullPolicy拉取方式参数详情有哪些?
(1)Always:总是拉取pull
(2)IfNotPresent:默认值,本地有则使⽤本地镜像,不拉取
(3)Never:只使⽤本地镜像,从不拉取
开源、云原生的融合云平台
更多推荐
10
0- 0
已为社区贡献1条内容
所有评论(0)