/tags/configmap/ configmap Source Themes Academic (https://sourcethemes.com/academic/)zhThu, 16 May 2019 01:52:01 +0800 /img/logo-wide.png /tags/configmap/ /post/refresh-cm-with-signal/ Thu, 16 May 2019 01:52:01 +0800 /post/refresh-cm-with-signal/ <p>在 Kubernetes 的使用过程中，很多人会使用 Configmap 资源来进行配置文件的加载。Configmap 对象是支持热更新的，也就是说，对 Configmap 的变更，会同时反应到加载该 Configmap 的 Pod 之中。但美中不足的是，很多应用都不会检测配置文件的更新，因此就算是通过对 Configmap 的变更，完成了配置文件的修改，应用还是无法做出即时的响应的。可以在外部进行滚动更新；或者改写业务容器，监控文件变化之后重新启动业务进程。</p> <p>在 Kubernetes 1.10 中新增的 Pod 内共享进程命名空间的功能，给这个问题带来了一点新思路：做一个 Sidecar 用于对配置文件进行监控，发现文件变化之后，发送重新载入的信号给业务进程，要求业务进程自行刷新。这样就无需对业务容器所在镜像进行修改了。</p> <blockquote> <p>这种方法当然也有个局限性，需要业务进程支持这种信号。</p> </blockquote> <p>下面以 Apache 为例，看看这种方式的用法。</p> <h2 id="创建-configmap">创建 Configmap</h2> <p>用一个简化的 <code>httpd.conf</code> 文件，生成 Configmap，例如：</p> <pre><code>kubectl create cm apache --from-file httpd.conf </code></pre> <p>如此就生成了一个名为 apache 的 Configmap。</p> <h2 id="创建-sidecar-容器镜像">创建 Sidecar 容器镜像</h2> <p>这个镜像要完成的任务有两个：监控文件变化，如果内容变化，则发送信号给业务进程。文件内容变化的监控，可以用哈希码或者 inotify 调用来完成，这里使用 <code>inotifywait</code> 命令做一个死循环，发现特定事件后，则发出信号：</p> <pre><code class="language-bash">#!/bin/sh while : do # 获取文件名称 REAL=`readlink -f ${FILE}` # 监控指定事件 inotifywait -e delete_self &quot;${REAL}&quot; # 获取特定进程名称的 PID PID=`pgrep ${PROCESS} | head -1` # 发送信号 kill &quot;-${SIGNAL}&quot; &quot;${PID}&quot; done </code></pre> <blockquote> <p>这里没有用监控本地文件的 <code>-m</code> 或者 <code>-e modify</code> 事件，而是用了 <code>delete_self</code>，这是 Configmap 加载生成文件的差异，也可以考虑用环境变量来替换这一事件。</p> </blockquote> <p>然后构建镜像：</p> <pre><code class="language-Dockerfile">FROM alpine RUN apk add --update inotify-tools ENV FILE=&quot;/tmp&quot; PROCESS=&quot;httpd&quot; SIGNAL=&quot;USR1&quot; COPY entry.sh /usr/local/bin CMD [&quot;/usr/local/bin/entry.sh&quot;] </code></pre> <p>这里假设镜像名称为 <code>dustise/inotify:latest</code>。</p> <h2 id="创建实验负载">创建实验负载</h2> <p>我们选择 Apache 作为业务应用的示范，它能够接受 <code>USR1</code> 信号进行重新载入。</p> <pre><code class="language-yaml">--- apiVersion: apps/v1 kind: Deployment metadata: name: apache spec: selector: matchLabels: app: apache template: metadata: labels: app: apache spec: shareProcessNamespace: true containers: - name: apache image: httpd:alpine ports: - containerPort: 80 volumeMounts: - name: apache mountPath: /usr/local/apache2/conf/ - name: refresh image: dustise/inotify securityContext: capabilities: add: - SYS_PTRACE volumeMounts: - name: apache mountPath: /etc/httpd env: - name: FILE value: &quot;/etc/httpd/httpd.conf&quot; - name: PROCESS value: &quot;httpd&quot; - name: SIGNAL value: &quot;USR1&quot; volumes: - name: apache configMap: name: apache --- apiVersion: v1 kind: Service ... type: ClusterIP </code></pre> <p>这段代码：</p> <ul> <li>在 <code>template.spec</code> 中加入了 <code>shareProcessNamespace: true</code>，表示启用进行命名空间共享功能；</li> <li>新建了一个伴行的 Sidecar 容器；</li> <li>Apache 和 Sidecar 共享来自同一个 Configmap 的配置文件，根据加载情况为 Sidecar 定义了环境变量。</li> </ul> <h2 id="测试一下">测试一下</h2> <p>接下来可以使用 <code>kubectl logs</code> 命令来监控两个容器的日志输出：</p> <pre><code class="language-shell">$ kubectl logs -f apache-6b8b68c857-dp6xx -c refresh Setting up watches. Watches established. $ kubectl logs -f apache-6b8b68c857-dp6xx -c apache ... [Wed May 15 18:46:47.795261 2019] [mpm_event:notice] [pid 7:tid 139810635549544] AH00489: Apache/2.4.39 (Unix) configured -- resuming normal operations [Wed May 15 18:46:47.795330 2019] [core:notice] [pid 7:tid 139810635549544] AH00094: Command line: 'httpd -D FOREGROUND' </code></pre> <p>然后使用 <code>kubectl edit cm apache</code>，修改配置文件（例如删除点注释）。稍候片刻，发现两个容器的输出都发生了变化：</p> <h3 id="sidecar">Sidecar</h3> <pre><code class="language-plain">/etc/httpd/..2019_05_15_18_43_33.773288813/httpd.conf DELETE_SELF Setting up watches. Watches established. </code></pre> <p>脚本检测到了配置文件发生了删除事件，发送信号，并重新启动监控。</p> <h3 id="apache">Apache</h3> <pre><code class="language-plain">[Wed May 15 18:46:47.775392 2019] [mpm_event:notice] [pid 7:tid 139810635549544] AH00493: SIGUSR1 received. Doing graceful restart </code></pre> <p>Apache 收到了 USR1 信号，进行了优雅重启。</p> <h2 id="结论">结论</h2> <p>对于支持信号控制的第软件，例如 Nginx、Gunicorn、HA-Proxy 等都可以使用这种方式来完成配置刷新工作。能够有效的避免重启或修改业务应用的老大难问题。</p> /post/storage-in-kubernetes/ Sat, 12 Aug 2017 00:07:43 +0800 /post/storage-in-kubernetes/ <blockquote> <p>参考：<code>https://kubernetes.io/docs/concepts/storage/volumes/</code></p> </blockquote> <p>一个运行中的容器，缺省情况下，对文件系统的写入，都是发生在其分层文件系统的可写层的，一旦容器运行结束，所有写入都会被丢弃。因此需要对持久化支持。</p> <p>Kubernetes 中通过 Volume 的方式提供对存储的支持。下面对一些常见的存储概念进行一点简要的说明。</p> <h2 id="emptydir">EmptyDir</h2> <p>顾名思义，<code>EmptyDir</code>是一个空目录，他的生命周期和所属的 Pod 是完全一致的，可能读者会奇怪，那还要他做什么？<code>EmptyDir</code>的用处是，可以在同一 Pod 内的不同容器之间共享工作过程中产生的文件。</p> <p>缺省情况下，EmptyDir 是使用主机磁盘进行存储的，也可以设置<code>emptyDir.medium</code> 字段的值为<code>Memory</code>，来提高运行速度，但是这种设置，对该卷的占用会消耗容器的内存份额。</p> <pre><code class="language-yaml">apiVersion: v1 kind: Pod metadata: name: test-pd spec: containers: - image: gcr.io/google_containers/test-webserver name: test-container volumeMounts: - mountPath: /cache name: cache-volume volumes: - name: cache-volume emptyDir: {} </code></pre> <h2 id="hostpath">HostPath</h2> <p>这种会把宿主机上的指定卷加载到容器之中，当然，如果 Pod 发生跨主机的重建，其内容就难保证了。</p> <p>这种卷一般和<code>DaemonSet</code>搭配使用，用来操作主机文件，例如进行日志采集的 FLK 中的 FluentD 就采用这种方式，加载主机的容器日志目录，达到收集本主机所有日志的目的。</p> <pre><code class="language-yaml">apiVersion: v1 kind: Pod metadata: name: test-pd spec: containers: - image: gcr.io/google_containers/test-webserver name: test-container volumeMounts: - mountPath: /test-pd name: test-volume volumes: - name: test-volume hostPath: # directory location on host path: /data </code></pre> <h2 id="nfs-glusterfs-cephfs-aws-gce-等等">NFS/GlusterFS/CephFS/AWS/GCE 等等</h2> <p>作为一个容器集群，支持网络存储自然是重中之重了，Kubernetes 支持为数众多的云提供商和网络存储方案。</p> <p>各种支持的方式不尽相同，例如 GlusterFS 需要创建 Endpoint，Ceph/NFS 之流就没这么麻烦了。</p> <p>各种个性配置可移步参考文档。</p> <h2 id="configmap-和-secret">ConfigMap 和 Secret</h2> <p>镜像使用的过程中，经常需要利用配置文件、启动脚本等方式来影响容器的运行方式，如果仅有少量配置，我们可以使用环境变量的方式来进行配置。然而对于一些较为复杂的配置，例如 Apache 之类，就很难用这种方式进行控制了。另外一些敏感信息暴露在 YAML 中也是不合适的。</p> <p>ConfigMap 和 Secret 除了使用文件方式进行应用之外，还有其他的应用方式；这里仅就文件方式做一点说明。</p> <p>例如下面的 ConfigMap，将一个存储在 ConfigMap 中的配置目录加载到卷中。</p> <pre><code class="language-yaml">apiVersion: v1 kind: Pod metadata: name: dapi-test-pod spec: containers: - name: test-container image: gcr.io/google_containers/busybox command: [ &quot;/bin/sh&quot;, &quot;-c&quot;, &quot;ls /etc/config/&quot; ] volumeMounts: - name: config-volume mountPath: /etc/config volumes: - name: config-volume configMap: # Provide the name of the ConfigMap containing the files you want # to add to the container name: special-config restartPolicy: Never </code></pre> <p>注意，这里的 ConfigMap 会映射为一个目录，ConfigMap 的 Key 就是文件名，每个 Value 就是文件内容，比如下面命令用一个目录创建一个 ConfigMap：</p> <pre><code>kubectl create configmap \ game-config \ --from-file=docs/user-guide/configmap/kubectl </code></pre> <hr /> <p>创建一个 Secret：</p> <pre><code>kubectl create secret generic \ db-user-pass --from-file=./username.txt \ --from-file=./password.txt </code></pre> <p>使用 Volume 加载 Secret：</p> <pre><code class="language-yaml">apiVersion: v1 kind: Pod metadata: name: mypod namespace: myns spec: containers: - name: mypod image: redis volumeMounts: - name: foo mountPath: /etc/foo readOnly: true volumes: - name: foo secret: secretName: mysecret </code></pre> <p>可以看到 Secret 和 ConfigMap 的创建和使用是很相似的。在 RBAC 中，Secret 和 ConfigMap 可以进行分别赋权，以此限定操作人员的可见、可控权限。</p> <h2 id="pv-pvc">PV &amp; PVC</h2> <p>PersistentVolume 和 PersistentVolumeClaim 提供了对存储支持的抽象，也提供了基础设施和应用之间的分界，管理员创建一系列的 PV 提供存储，然后为应用提供 PVC，应用程序仅需要加载一个 PVC，就可以进行访问。</p> <p>而 1.5 之后又提供了 PV 的动态供应。可以不经 PV 步骤直接创建 PVC。</p> <blockquote> <p>参考：<code>http://blog.fleeto.us/translation/dynamic-provisioning-and-storage-classes-kubernetes-0</code></p> </blockquote>