matsudaira 发布的文章

在k8s当中,我们使用挂载,结果是直接将该目录覆盖被挂载的那个目录,如果只是想挂一个文件进去,那么可以使用subpath。或者多个应用共用一个卷,也可以使用subpath来分别映射到卷的不同的文件夹
https://cloud.tencent.com/developer/article/1639540
https://blog.csdn.net/a772304419/article/details/125910287
同pod不同容器共享卷示例

apiVersion: v1
kind: Pod
metadata:
  name: my-lamp-site
spec:
    containers:
    - name: mysql
      image: mysql
      volumeMounts:
      - mountPath: /var/lib/mysql
        name: site-data
        subPath: mysql
    - name: php
      image: php
      volumeMounts:
      - mountPath: /var/www/html
        name: site-data
        subPath: html
    volumes:
    - name: site-data
      persistentVolumeClaim:
        claimName: my-lamp-site-data

configmap单独文件挂载示例(注意,这种方式挂载的时候,容器将无法接收到configmap的更新!
准备一个nginx.conf
制作cm,直接写yaml也行
kubectl create configmap confnginx --from-file=nginx.conf
准备一个容器挂载这个

apiVersion: apps/v1
kind: Deployment
metadata:
  name: centos-test
spec: 
  replicas: 1
  selector:
    matchLabels:
      app: centos-mount
  template: 
    metadata: 
      labels: 
        app: centos-mount
    spec: 
      containers: 
      - name: "centos-mount"
        image: centos
        imagePullPolicy: IfNotPresent
        command: #因为这个不是个后端类容器,不跑个东西会直接退出
          - "sleep"
          - "100"
        lifecycle:
          preStop:  
            exec: 
              command: 
                - sleep
                - '5'
        volumeMounts: 
          - mountPath: /var/tmp/nginx.conf
            name: nginx-config
            subPath: nginx.conf
      volumes: 
        - name: nginx-config
          configMap: 
            name: confnginx

查看效果

[root@master ~]# kubectl get pods
NAME                          READY   STATUS    RESTARTS   AGE
centos-test-99f68b898-2q7tg   1/1     Running   0          5s
[root@master ~]# kubectl exec -it centos-test-99f68b898-2q7tg -- bash
[root@centos-test-99f68b898-2q7tg /]# cat /var/tmp/nginx.conf 
user  nginx;
worker_processes  1;

error_log  /var/log/nginx/error.log warn;
pid        /var/run/nginx.pid;

events {
    worker_connections  1024;
}

我们现在来把目录改成原本有文件的目录/tmp下,再apply看看

#mountPath: /tmp/nginx.conf
[root@master ~]# kubectl exec -it centos-test-758957f456-pgrd8 -- bash
[root@centos-test-758957f456-pgrd8 /]# ls /tmp/
ks-script-4luisyla  ks-script-o23i7rc2  ks-script-x6ei4wuu  nginx.conf
#可以看到原目录并没有被覆盖

现在我们来把subpath给删掉,来看看有什么不同

#mountPath: /tmp/nginx.conf
[root@master ~]# kubectl exec -it centos-test-54c9d4fb48-5gtsw -- bash
[root@centos-test-54c9d4fb48-5gtsw /]# cat /tmp/nginx.conf/
cat: /tmp/nginx.conf/: Is a directory
#路径被理解成了文件夹,而不是文件
[root@centos-test-54c9d4fb48-5gtsw /]# cat /tmp/nginx.conf/
..2023_02_03_01_12_49.136363453/ ..data/                          nginx.conf                       
[root@centos-test-54c9d4fb48-5gtsw /]# cat /tmp/nginx.conf/
..2023_02_03_01_12_49.136363453/ ..data/                          nginx.conf                       
[root@centos-test-54c9d4fb48-5gtsw /]# cat /tmp/nginx.conf/nginx.conf 
user  nginx;
worker_processes  1;

error_log  /var/log/nginx/error.log warn;
pid        /var/run/nginx.pid;

#mountPath: /tmp/
[root@master ~]# kubectl exec -it centos-test-765958c6fb-n62mx -- bash
[root@centos-test-765958c6fb-n62mx /]# ls /tmp/
nginx.conf
#直接被覆盖了

使用prestop来达到优雅下线,该字段的作用是在pod终止前,使用自定义的逻辑,在该字段下配置sleep以达到目的

exec

#配置sleep以为pod提供缓冲时间
lifecycle:
    preStop:
      exec:
        command:
          - sleep
          -    ‘5’

#prestop的其他语法格式,仅供参考
#不过需要注意的是,因为这个命令并不是在shell中运行的,所以诸如管道符之类的符号是无法使用的
lifecycle:
    preStop:
      exec:
        command:
          [
            "/bin/sh",
            "-c",
            "echo this pod is stopping. > /stop.log && sleep 10s",
        ]

原理

用户操作重新部署某应用,当新pod就绪后,会去删除旧pod,因为kubelet摘除节点和kube-proxy完成endpoints的同步同时发生在非常短的时间内,如果新的请求到达旧pod、但还未来得及处理完旧pod就被删除,则会导致请求失败
添加prestop,pod在被通知删除后,kube-proxy会先更新endpoints,此时旧pod已经被移除,而后面的新请求将被发给新注册的pod,而旧pod则在prestop配置的命令(也就是此处我们配置的sleep)执行完毕后在删除,这就给那些未完成处理的请求留下了缓冲的时间

pod终止的过程:
删除Pod => Pod被标记为Terminating状态 => Service移除该Pod的endpoint => kubelet筛别Terminating状态的pod,执行pod的preStop钩子 => 如果执行preStop超时(grace period) ,kubelet发送SIGTERM并等待2秒 => ...

image.png

kube-dns

主要参考:https://zhuanlan.zhihu.com/p/80141656
上面这篇可比官方那个不讲人话的文档要讲的清楚多了
https://kubernetes.io/zh-cn/docs/tasks/administer-cluster/dns-debugging-resolution/
aliyunhttps://help.aliyun.com/document_detail/188179.html?utm_content=g_1000230851&spm=5176.20966629.toubu.3.f2991ddcpxxvD1#title-b7y-d6a-bcy
https://kubernetes.io/docs/concepts/services-networking/dns-pod-service/?spm=a2c4g.11186623.0.0.23c66b886YeKE2
集群默认使用的是kube-dns

[root@master ~]# kubectl get pods -n kube-system
NAME                             READY   STATUS    RESTARTS        AGE
coredns-7f6cbbb7b8-hvpcg         1/1     Running   0               3d17h
coredns-7f6cbbb7b8-pphjt         1/1     Running   0               3d17h
etcd-master                      1/1     Running   0               3d17h
kube-apiserver-master            1/1     Running   0               3d17h
kube-controller-manager-master   1/1     Running   1 (3d17h ago)   3d17h
kube-proxy-fjmj9                 1/1     Running   0               3d17h
kube-proxy-ht5xt                 1/1     Running   0               3d17h
kube-scheduler-master            1/1     Running   0               3d17h
[root@master ~]# kubectl get svc -n kube-system
NAME       TYPE        CLUSTER-IP   EXTERNAL-IP   PORT(S)                  AGE
kube-dns   ClusterIP   10.96.0.10   <none>        53/UDP,53/TCP,9153/TCP   3d17h

我们可以看到的dns的地址,现在让我们随便进一个pod里面来查看一下

[root@master ~]# kubectl exec -it -n devops-tools jenkins-559d8cd85c-qg9zx  -c jenkins -- bash
jenkins@jenkins-559d8cd85c-qg9zx:/$ cat /etc/resolv.conf 
nameserver 10.96.0.10
search devops-tools.svc.cluster.local svc.cluster.local cluster.local
options ndots:5

可以看到这个容器里面的域名解析地址指向了上面的kube-dns

上面的例子是dns策略为ClusterFirst时kube-dns会自动为pod生成的,当域名里面的点不超过options里面时,k8s会去在search里面一个个匹配
比如我找个a
那么他就会从a.devops-tools.svc.cluster.local一直找到a.cluster.local
让我们来康康官方是怎么讲的

"ClusterFirst": 与配置的集群域后缀不匹配的任何 DNS 查询(例如 "www.kubernetes.io") 都会由 DNS 服务器转发到上游名称服务器。集群管理员可能配置了额外的存根域和上游 DNS 服务器

嗯,确实是很有官方风格的叙(不)事(讲)方(人)式(话)

上面的例子是访问内部域名的,如果你想要访问一个外部域名,但是依旧还要经过几轮的search轮询的话,那未免有点浪费,避免这种情况的方式有两种,一种是直接访问绝对域名,如原本xxx.com 选择写成xxx.com.
另外一种是在dnsConfig里面修改option,大于等于一个点就不走search

几种dns模式的差别

ClusterFirstWithHostNet
当一个 Pod 以 HOST 模式(和宿主机共享网络,hostNetwork: true)启动时,这个 POD 中的所有容器都会使用宿主机的 /etc/resolv.conf 配置进行 DNS 查询,但是如果在 Pod 中仍然还想继续使用 k8s 集群 的 DNS 服务时,就需要将 dnsPolicy 设置为 ClusterFirstWithHostNet。
ClusterFirst
使用这种方式表示 Pod 内的 DNS 优先会使用 k8s 集群内的 DNS 服务,也就是会使用 kubedns 或者 coredns 进行域名解析。如果解析不成功,才会使用宿主机的 DNS 配置进行解析。
Default
这种方式,会让 kubelet 来决定 Pod 内的 DNS 使用哪种 DNS 策略。kubelet 的默认方式,其实就是使用宿主机的 /etc/resolv.conf 来进行解析。你可以通过设置 kubelet 的启动参数, --resolv-conf=/etc/resolv.conf 来决定该 DNS 服务使用的解析文件的地址
当我们部署集群 DNS 服务的时候,一般就需要将 dnsPolicy 设置成 Default,而并非使用默认值 ClusterFirst,否则该 DNS 服务的上游解析地址会变成它自身的 Service 的 ClusterIP(我解析我自己),导致域名无法解析

None
这种方式顾名思义,不会使用集群和宿主机的 DNS 策略。而是和 dnsConfig 配合一起使用,来自定义 DNS 配置,否则在提交修改时报错。

kube-dns的组成

  1. kubedns: 依赖 client-go 中的 informer 机制监视 k8s 中的 Service 和 Endpoint 的变化,并将它们转换为 skydns 能够理解的格式,以目录树的形式存在内存中,来服务内部 DNS 解析请求。skydns 是以 etcd 的标准作为后端存储的,所以为了兼容 etcd ,kubedns 在某些错误信息方面也都以 etcd 的格式进行定义的。因此 kubedns 的作用其实可以理解为为 skydns 提供存储。
  2. dnsmasq: 区分 Domain 是集群内部还是外部,给外部域名提供上游解析,内部域名发往 10053 端口,并将解析结果缓存,提高解析效率。
  3. sidecar: 对 kubedns 和 dnsmasq 进行健康检查和收集监控指标。

配置你的dns

自设dns

参考https://jimmysong.io/blog/configuring-kubernetes-kube-dns/
当你运行一个pod时,kubelet会将预先设定好的dns给你的pod布上,如果你想给他换个dns,那就需要另外的设置,使用 --resolv-conf来指定一个合法的文件,这个pod将以这个文件为标准来部署你的dns,而非使用默认的
/etc/resolv.conf来作为继承对象
这种方式只对clusterfirst有效,对default和none无效

通过为kube-system:kube-dns添加一个configmap来为pod添加存根域和上游域名解析(外部)

apiVersion: v1
kind: ConfigMap
metadata:
  name: kube-dns
  namespace: kube-system
data:
  stubDomains: |
        {“acme.local”: [“1.2.3.4”]}
  upstreamNameservers: |
        [“8.8.8.8”, “8.8.4.4”]

none

apiVersion: v1
kind: Pod
metadata:
  name: alpine
  namespace: default
spec:
  containers:
  - image: alpine
    command:
      - sleep
      - "10000"
    imagePullPolicy: Always
    name: alpine
  dnsPolicy: None
  dnsConfig:
    nameservers: ["169.254.xx.xx"]
    searches:
    - default.svc.cluster.local
    - svc.cluster.local
    - cluster.local
    options:
    - name: ndots
      value: "2"
参数描述
nameservers将用作Pod的DNS服务器的IP地址列表。最多可以指定3个IP地址。当Pod的dnsPolicy设置为None时,列表必须至少包含一个IP地址,否则此属性是可选的。列出的DNS的IP列表将合并到基于dnsPolicy生成的域名解析文件的nameserver字段中,并删除重复的地址。
searchesPod中主机名查找的DNS搜索域列表。此属性是可选的。指定后,提供的列表将合并到从所选DNS策略生成的基本搜索域名中,并删除重复的域名。Kubernetes最多允许6个搜索域。
options可选的对象列表,其中每个对象可以具有name属性(必需)和value属性(可选)。此属性中的内容将合并到从指定的DNS策略生成的选项中,并删除重复的条目。

https://www.ichenfu.com/2018/12/20/k8s-pod-dns-policy/

apiVersion: v1
kind: Pod
metadata:
  namespace: default
  name: dns-example
spec:
  containers:
    - name: test
      image: nginx
  dnsPolicy: "None"
  dnsConfig:
    nameservers:
      - 1.2.3.4
    searches:
      - ns1.svc.cluster.local
      - my.dns.search.suffix
    options:
      - name: ndots
        value: "2"
      - name: edns0

default

不走coredns,直接走ecs的解析

apiVersion: v1
kind: Pod
metadata:
  name: alpine
  namespace: default
spec:
  containers:
  - image: alpine
    command:
      - sleep
      - "10000"
    imagePullPolicy: Always
    name: alpine
  dnsPolicy: Default

在部署jenkins的时候,布完了通过外网能够访问,但是jenkins无法访问官网以加载插件,登录容器,发现Ping ip和域名都不通,于是判断是网络问题
去查看flannel,结果发现都寄了

root@iZ0jl23h85dco8du531om7Z ~]# kubectl get pods --all-namespaces
NAMESPACE      NAME                                              READY   STATUS             RESTARTS          AGE
devops-tools   jenkins-597c5679df-gxtzd                          1/1     Running            0                 3h47m
kube-flannel   kube-flannel-ds-p924c                             0/1     CrashLoopBackOff   650 (2m16s ago)   2d7h
kube-flannel   kube-flannel-ds-xvxns                             0/1     CrashLoopBackOff   50 (58s ago)      3h53m

查看flannel的日志

[root@iZ0jl23h85dco8du531om7Z ~]# kubectl logs pod/kube-flannel-ds-p924c -n kube-flannel
I0111 09:10:40.142875       1 main.go:204] CLI flags config: {etcdEndpoints:http://127.0.0.1:4001,http://127.0.0.1:2379 etcdPrefix:/coreos.com/network etcdKeyfile: etcdCertfile: etcdCAFile: etcdUsername: etcdPassword: version:false kubeSubnetMgr:true kubeApiUrl: kubeAnnotationPrefix:flannel.alpha.coreos.com kubeConfigFile: iface:[] ifaceRegex:[] ipMasq:true ifaceCanReach: subnetFile:/run/flannel/subnet.env publicIP: publicIPv6: subnetLeaseRenewMargin:60 healthzIP:0.0.0.0 healthzPort:0 iptablesResyncSeconds:5 iptablesForwardRules:true netConfPath:/etc/kube-flannel/net-conf.json setNodeNetworkUnavailable:true}
W0111 09:10:40.142952       1 client_config.go:617] Neither --kubeconfig nor --master was specified.  Using the inClusterConfig.  This might not work.
I0111 09:10:40.157983       1 kube.go:126] Waiting 10m0s for node controller to sync
I0111 09:10:40.158186       1 kube.go:431] Starting kube subnet manager
I0111 09:10:41.158774       1 kube.go:133] Node controller sync successful
I0111 09:10:41.158799       1 main.go:224] Created subnet manager: Kubernetes Subnet Manager - iz0jl23h85dco8du531om7z
I0111 09:10:41.158805       1 main.go:227] Installing signal handlers
I0111 09:10:41.158986       1 main.go:467] Found network config - Backend type: vxlan
I0111 09:10:41.159019       1 match.go:206] Determining IP address of default interface
I0111 09:10:41.159448       1 match.go:259] Using interface with name eth0 and address 172.30.254.89
I0111 09:10:41.159500       1 match.go:281] Defaulting external address to interface address (172.30.254.89)
I0111 09:10:41.159577       1 vxlan.go:138] VXLAN config: VNI=1 Port=0 GBP=false Learning=false DirectRouting=false
E0111 09:10:41.159891       1 main.go:327] Error registering network: failed to acquire lease: node "iz0jl23h85dco8du531om7z" pod cidr not assigned
I0111 09:10:41.159950       1 main.go:447] Stopping shutdownHandler...


[root@iZ0jl23h85dco8du531om7Z ~]# kubectl logs pod/kube-flannel-ds-xvxns -n kube-flannel
I0111 09:11:58.477079       1 main.go:204] CLI flags config: {etcdEndpoints:http://127.0.0.1:4001,http://127.0.0.1:2379 etcdPrefix:/coreos.com/network etcdKeyfile: etcdCertfile: etcdCAFile: etcdUsername: etcdPassword: version:false kubeSubnetMgr:true kubeApiUrl: kubeAnnotationPrefix:flannel.alpha.coreos.com kubeConfigFile: iface:[] ifaceRegex:[] ipMasq:true ifaceCanReach: subnetFile:/run/flannel/subnet.env publicIP: publicIPv6: subnetLeaseRenewMargin:60 healthzIP:0.0.0.0 healthzPort:0 iptablesResyncSeconds:5 iptablesForwardRules:true netConfPath:/etc/kube-flannel/net-conf.json setNodeNetworkUnavailable:true}
W0111 09:11:58.477143       1 client_config.go:617] Neither --kubeconfig nor --master was specified.  Using the inClusterConfig.  This might not work.
I0111 09:11:58.490684       1 kube.go:126] Waiting 10m0s for node controller to sync
I0111 09:11:58.490829       1 kube.go:431] Starting kube subnet manager
I0111 09:11:59.490979       1 kube.go:133] Node controller sync successful
I0111 09:11:59.491024       1 main.go:224] Created subnet manager: Kubernetes Subnet Manager - worker-node01
I0111 09:11:59.491039       1 main.go:227] Installing signal handlers
I0111 09:11:59.491118       1 main.go:467] Found network config - Backend type: vxlan
I0111 09:11:59.491139       1 match.go:206] Determining IP address of default interface
I0111 09:11:59.491491       1 match.go:259] Using interface with name eth0 and address 172.30.254.88
I0111 09:11:59.491512       1 match.go:281] Defaulting external address to interface address (172.30.254.88)
I0111 09:11:59.491574       1 vxlan.go:138] VXLAN config: VNI=1 Port=0 GBP=false Learning=false DirectRouting=false
E0111 09:11:59.491826       1 main.go:327] Error registering network: failed to acquire lease: node "worker-node01" pod cidr not assigned
W0111 09:11:59.491932       1 reflector.go:347] github.com/flannel-io/flannel/subnet/kube/kube.go:432: watch of *v1.Node ended with: an error on the server ("unable to decode an event from the watch stream: context canceled") has prevented the request from succeeding
I0111 09:11:59.492064       1 main.go:447] Stopping shutdownHandler...

谷歌一下 Error registering network: failed to acquire lease: node "worker-node01" pod cidr not assigned
查到这个帖子
https://www.talkwithtrend.com/Article/251751
解决方法

编辑 master 机器上的 /etc/kubernetes/manifests/kube-controller-manager.yaml
启动文件加上下面两句话,下面这个cluster-cidr要和kube-flannel.yml里面的地址一致,要和kube-proxy.config.yaml里面的clusterCIDR一致

- --allocate-node-cidrs=true
- --cluster-cidr=10.244.0.0/16

出现这个问题的原因是kubeadm初始化的时候没有指定cidr

部署jenkins的时候,按照官方yaml,部署下来却发现pod一直处于pending状态
describe看一下

Events:
  Type     Reason            Age                  From               Message
  ----     ------            ----                 ----               -------
  Warning  FailedScheduling  23s (x944 over 15h)  default-scheduler  0/2 nodes are available: 1 node(s) had taint {node-role.kubernetes.io/master: }, that the pod didn't tolerate, 1 node(s) had volume node affinity conflict.

这个学习用的集群只有一个master节点和一个普通节点,master默认是肯定不亲和的,那么问题就出在另外一个节点的1 node(s) had volume node affinity conflict
查看下挂载的pvc和pv,describe一下发现有亲和要求

Node Affinity:     
  Required Terms:  
    Term 0:        kubernetes.io/hostname in [worker-node01]

他需要部署在一个名叫 [worker-node01]的节点上,好吧,我没有初始化节点名,所以节点名是一长串字符

参考(并没有用上):
https://www.jianshu.com/p/c0b80e35d562
真-参考:
https://tsov.net/uupee/49604/

操作流程

修改节点名

如果这个节点上已经有应用在跑了,那么需要先驱逐上面的pod,不过如果只有一个node慎用,不然会使得所有pod都pending

kubectl drain nodename --delete-local-data --ignore-daemonsets

https://kubernetes.io/zh-cn/docs/tasks/administer-cluster/safely-drain-node/

登录机器修改

登上需要修改的节点的机器,修改kubectl和kube-proxy的配置
↑虽然教程里面是这么讲的,但是我并没有看到教程里面说的文件里面有他要修改的那个参数
然后我对比了一下,发现这个node名称其实就是hostname,于是hostnamectl set-hostname修改主机名,kubectl delete node nodename删除原来的node
kubeadm token list查看token过期没,过期了重新生成一个
kubeadm token create
计算哈希

openssl x509 -pubkey -in /etc/kubernetes/pki/ca.crt | openssl rsa -pubin -outform der 2>/dev/null | openssl dgst -sha256 -hex | sed 's/^.* //'

初始化节点

kubeadm reset

加入集群

kubeadm kubeadm join master:6443 --token mastertoken --discovery-token-ca-cert-hash sha256:hashcode

再次kubectl get nodes已经能够看到ready的worker-node01