在 Kubernetes 中,配置文件 是定义集群资源的核心,通常以 YAML 或 JSON 格式编写。以下是 Kubernetes 中关键的配置文件类型及其作用:
1. 核心工作负载配置
(1) Deployment
• 用途:定义无状态应用的 Pod 副本管理策略(滚动更新、回滚、扩缩容)。
• 核心字段:
apiVersion: apps/v1
kind: Deployment
metadata:
name: my-app
spec:
replicas: 3
selector:
matchLabels:
app: my-app
template:
metadata:
labels:
app: my-app
spec:
containers:
- name: app
image: nginx:1.21
ports:
- containerPort: 80
(2) StatefulSet
• 用途:管理有状态应用(如数据库),提供稳定的网络标识和持久化存储。
• 关键字段:volumeClaimTemplates(自动创建 PVC)。
apiVersion: apps/v1
kind: StatefulSet
metadata:
name: mysql
spec:
serviceName: mysql
replicas: 3
volumeClaimTemplates:
- metadata:
name: data
spec:
accessModes: [ "ReadWriteOnce" ]
resources:
requests:
storage: 10Gi
(3) DaemonSet
• 用途:在集群每个节点上运行一个 Pod(如日志收集、节点监控)。
apiVersion: apps/v1
kind: DaemonSet
metadata:
name: fluentd
spec:
selector:
matchLabels:
name: fluentd
template:
metadata:
labels:
name: fluentd
spec:
containers:
- name: fluentd
image: fluentd:latest
2. 服务与网络配置
(1) Service
• 用途:暴露 Pod 为网络服务,支持负载均衡。
• 类型:ClusterIP(默认)、NodePort、LoadBalancer。
apiVersion: v1
kind: Service
metadata:
name: web-service
spec:
type: LoadBalancer
ports:
- port: 80
targetPort: 8080
selector:
app: web-app
(2) Ingress
• 用途:定义 HTTP/HTTPS 路由规则(如域名、SSL 证书)。
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
name: my-ingress
annotations:
nginx.ingress.kubernetes.io/rewrite-target: /
spec:
rules:
- host: example.com
http:
paths:
- path: /app
pathType: Prefix
backend:
service:
name: app-service
port:
number: 80
3. 配置与存储
(1) ConfigMap
• 用途:存储非敏感配置(环境变量、配置文件)。
apiVersion: v1
kind: ConfigMap
metadata:
name: app-config
data:
app.properties: |
server.port=8080
logging.level=INFO
(2) Secret
• 用途:存储敏感数据(密码、Token),需 Base64 编码。
apiVersion: v1
kind: Secret
metadata:
name: db-secret
type: Opaque
data:
username: dXNlcm5hbWU= # "username" 的 Base64
password: cGFzc3dvcmQ= # "password" 的 Base64
(3) PersistentVolume (PV) / PersistentVolumeClaim (PVC)
• PV:定义集群存储资源(如 NFS、云存储)。
• PVC:应用对存储资源的请求。
# PV 示例(NFS)
apiVersion: v1
kind: PersistentVolume
metadata:
name: nfs-pv
spec:
capacity:
storage: 10Gi
accessModes:
- ReadWriteMany
nfs:
server: 10.0.0.1
path: /data/nfs
# PVC 示例
apiVersion: v1
kind: PersistentVolumeClaim
metadata:
name: data-pvc
spec:
accessModes:
- ReadWriteOnce
resources:
requests:
storage: 5Gi
4. 权限与安全
(1) ServiceAccount
• 用途:为 Pod 分配身份,用于 API 访问权限控制。
apiVersion: v1
kind: ServiceAccount
metadata:
name: my-serviceaccount
(2) Role / ClusterRole
• Role:定义命名空间内的权限。
• ClusterRole:定义集群级别的权限。
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
name: pod-reader
rules:
- apiGroups: [""]
resources: ["pods"]
verbs: ["get", "list"]
(3) RoleBinding / ClusterRoleBinding
• 用途:将 Role/ClusterRole 绑定到 ServiceAccount 或用户。
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: read-pods
subjects:
- kind: ServiceAccount
name: my-serviceaccount
roleRef:
kind: Role
name: pod-reader
apiGroup: rbac.authorization.k8s.io
5. 自动扩缩容与任务调度
(1) HorizontalPodAutoscaler (HPA)
• 用途:根据 CPU/内存使用率自动扩缩容 Pod。
apiVersion: autoscaling/v2
kind: HorizontalPodAutoscaler
metadata:
name: app-hpa
spec:
scaleTargetRef:
apiVersion: apps/v1
kind: Deployment
name: my-app
minReplicas: 2
maxReplicas: 10
metrics:
- type: Resource
resource:
name: cpu
target:
type: Utilization
averageUtilization: 50
(2) CronJob
• 用途:定时执行任务(如备份、批量处理)。
apiVersion: batch/v1
kind: CronJob
metadata:
name: backup-job
spec:
schedule: "0 0 * * *"
jobTemplate:
spec:
template:
spec:
containers:
- name: backup
image: busybox
command: ["/bin/sh", "-c", "tar czf /backup/data.tar.gz /data"]
restartPolicy: OnFailure
6. 集群级配置
(1) Namespace
• 用途:逻辑隔离资源(如开发、测试、生产环境)。
apiVersion: v1
kind: Namespace
metadata:
name: production
(2) CustomResourceDefinition (CRD)
• 用途:扩展 Kubernetes API,定义自定义资源。
apiVersion: apiextensions.k8s.io/v1
kind: CustomResourceDefinition
metadata:
name: myresources.example.com
spec:
group: example.com
versions:
- name: v1
served: true
storage: true
schema: {...}
scope: Namespaced
names:
plural: myresources
singular: myresource
kind: MyResource
配置文件管理最佳实践
- 版本控制:
• 将 YAML 文件存储在 Git 仓库中,使用分支或目录区分环境(dev/prod)。 - 模板化:
• 使用 Helm 或 Kustomize 管理多环境配置,避免硬编码。
• Helm 示例(values.yaml):replicaCount: 3 image: repository: nginx tag: 1.21 - 安全:
• 使用 SealedSecret 或 Vault 加密敏感数据,避免直接存储明文。 - 验证配置:
# 检查语法错误 kubectl apply -f deployment.yaml --dry-run=client # 查看生成的配置(Kustomize) kustomize build overlays/prod
总结
• 核心配置文件:Deployment、Service、ConfigMap、Secret、PersistentVolumeClaim。
• 高级配置:Ingress、HPA、RBAC、CronJob。
• 集群管理:Namespace、CRD。
• 工具推荐:Helm 用于应用打包,Kustomize 用于多环境配置,Prometheus 用于监控。