Kubernetes的Projected Volume

Posted 2023-03-06 _雪辉_

文章目录

  在 Kubernetes 中，有几种特殊的 Volume，它们存在的意义不是为了存放容器里的数据，也不是用来进行容器和宿主机之间的数据交换，是为容器提供预先定义好的数据。

Kubernetes 支持的 Projected Volume 一共有四种：

• Secret
    Secret会把 Pod 想要访问的加密数据，存放到 Etcd 中。然后就可以通过在 Pod 的容器里挂载 Volume 的方式，访问到这些 Secret 里保存的信息。比如说数据库用户密码等。

apiVersion: v1
kind: Pod
metadata:
  name: test-projected-volume 
spec:
  containers:
  - name: test-secret-volume
    image: busybox
    args:
    - sleep
    - "86400"
    volumeMounts:
    - name: mysql-cred
      mountPath: "/projected-volume"
      readOnly: true
  volumes:
  - name: mysql-cred
    projected:
      sources:
      - secret:
          name: user
      - secret:
          name: pass

• ConfigMap
    ConfigMap 保存的是不需要加密的、应用所需的配置信息。
• Downward API
    让 Pod 里的容器能够直接获取到这个 Pod API 对象本身的信息。
• ServiceAccountToken
    Service Account 对象的作用，就是 Kubernetes 系统内置的一种“服务账户”，它是 Kubernetes 进行权限分配的对象。像这样的 Service Account 的授权信息和文件，实际上保存在它所绑定的一个特殊的 Secret 对象里的特殊Secret 对象，就叫作 ServiceAccountToken。