Kubernetes 入門
1. Kubernetes 生產環(huán)境
2. Kubernetes 最佳實踐
Kubernetes 概述
1. Kubernetes 簡介
2. Kubernetes 組件
3. Kubernetes API
Kubernetes 安裝
1. Kubernetes Linux安裝
2. Kubernetes macOS安裝
3. Kubernetes Windows安裝
Kubernetes 對象
1. Kubernetes 對象簡介
2. Kubernetes 對象管理
3. Kubernetes 對象名稱和IDs
4. Kubernetes 名字空間
5. Kubernetes 標簽和選擇算符
6. Kubernetes 注解
7. Kubernetes Finalizers
8. Kubernetes 字段選擇器
9. Kubernetes 屬主與附屬
10. Kubernetes 推薦使用的標簽
Kubernetes 架構
1. Kubernetes 節(jié)點
2. Kubernetes 控制面到節(jié)點通信
3. Kubernetes 控制器
4. Kubernetes 云控制器管理器
5. Kubernetes 垃圾收集
6. Kubernetes 容器運行時接口（CRI）
Kubernetes 容器
1. Kubernetes 鏡像
2. Kubernetes 容器環(huán)境
3. Kubernetes 容器運行時類（Runtime Class）
4. Kubernetes 容器生命周期回調
Kubernetes Pods
1. Kubernetes Pod的生命周期
2. Kubernetes Init容器
3. Kubernetes Pod拓撲分布約束
4. Kubernetes 干擾（Disruptions）
5. Kubernetes 臨時容器
Kubernetes 工作負載資源
1. Kubernetes Deployments
2. Kubernetes ReplicaSet
3. Kubernetes StatefulSets
4. Kubernetes DaemonSet
5. Kubernetes Jobs
6. Kubernetes 已完成 Job 的自動清理
7. Kubernetes CronJob
8. Kubernetes ReplicationController
Kubernetes 服務、負載均衡和聯(lián)網
1. Kubernetes 使用拓撲鍵實現拓撲感知的流量路由
2. Kubernetes 服務
3. Kubernetes Pod 與 Service 的 DNS
4. Kubernetes 使用 Service 連接到應用
5. Kubernetes Ingress
6. Kubernetes Ingress 控制器
7. Kubernetes 拓撲感知提示
8. Kubernetes 服務內部流量策略
9. Kubernetes 端點切片（Endpoint Slices）
10. Kubernetes 網絡策略
11. Kubernetes IPv4/IPv6 雙協(xié)議棧
Kubernetes 存儲
1. Kubernetes 卷
2. Kubernetes 持久卷
3. Kubernetes 投射卷
4. Kubernetes 臨時卷
5. Kubernetes 存儲類
Kubernetes 配置
1. Kubernetes 配置最佳實踐
2. Kubernetes ConfigMap
3. Kubernetes Secret
4. Kubernetes 為 Pod 和容器管理資源
5. Kubernetes 使用 kubeconfig 文件組織集群訪問
6. Kubernetes Windows 節(jié)點的資源管理
Kubernetes 安全
1. Kubernetes 云原生安全概述
2. Kubernetes Pod安全性標準
3. Kubernetes Pod安全性準入
4. Kubernetes Pod安全策略
5. Kubernetes Windows節(jié)點的安全性
6. Kubernetes API訪問控制
7. Kubernetes 基于角色的訪問控制良好實踐
Kubernetes 策略
1. Kubernetes 限制范圍
2. Kubernetes 資源配額
3. Kubernetes 進程ID約束與預留
4. Kubernetes 節(jié)點資源管理器
Kubernetes 調度，搶占和驅逐
1. Kubernetes 調度器
2. Kubernetes 將Pod指派給節(jié)點
3. Kubernetes Pod開銷
4. Kubernetes 污點和容忍度
5. Kubernetes Pod優(yōu)先級和搶占
6. Kubernetes 節(jié)點壓力驅逐
7. Kubernetes API發(fā)起的驅逐
8. Kubernetes 擴展資源的資源裝箱
9. Kubernetes 調度框架
10. Kubernetes 調度器性能調優(yōu)
Kubernetes 集群管理
1. Kubernetes 管理資源
2. Kubernetes 集群網絡系統(tǒng)
3. Kubernetes 系統(tǒng)組件指標
4. Kubernetes 日志架構
5. Kubernetes 系統(tǒng)日志
6. Kubernetes 追蹤系統(tǒng)組件
7. Kubernetes 代理
8. Kubernetes API優(yōu)先級和公平性
9. Kubernetes 安裝擴展（Addons）
Kubernetes 擴展
1. Kubernetes 擴展API
  1. Kubernetes 定制資源
  2. Kubernetes 通過聚合層擴展API
2. Kubernetes Operator模式
3. Kubernetes 計算、存儲和網絡擴展
  1. Kubernetes 網絡插件
  2. Kubernetes 設備插件
4. Kubernetes 服務目錄
Kubernetes 應用故障排除
1. Kubernetes 調試Pod
2. Kubernetes 調試Service
3. Kubernetes 調試StatefulSet
4. Kubernetes 調試Init容器
5. Kubernetes 確定Pod失敗的原因
6. Kubernetes 獲取正在運行容器的Shell
7. Kubernetes 調試運行中的Pod
Kubernetes 集群故障排查
1. Kubernetes 資源指標管道
2. Kubernetes 節(jié)點健康監(jiān)測
3. Kubernetes 使用crictl對Kubernetes節(jié)點進行調試
4. Kubernetes Windows調試提示
5. Kubernetes 使用telepresence在本地開發(fā)和調試服務
6. Kubernetes 審計
7. Kubernetes 資源監(jiān)控工具
Kubernetes 管理集群
1. Kubernetes 從dockershim遷移
  1. Kubernetes 將節(jié)點上的容器運行時從Docker Engine改為containerd
  2. Kubernetes 將Docker Engine節(jié)點從dockershim遷移到cri-dockerd
  3. Kubernetes CNI插件相關錯誤故障排除
  4. Kubernetes 查明節(jié)點上所使用的容器運行時
  5. Kubernetes 檢查棄用Dockershim是否對你有影響
  6. Kubernetes 從dockershim遷移遙測和安全代理
2. Kubernetes 用kubeadm進行管理
  1. Kubernetes 使用kubeadm進行證書管理
  2. Kubernetes 配置cgroup驅動
  3. Kubernetes 重新配置kubeadm集群
  4. Kubernetes 升級kubeadm集群
  5. Kubernetes 添加Windows節(jié)點
  6. Kubernetes 升級Windows節(jié)點
3. Kubernetes 手動生成證書
4. Kubernetes 管理內存，CPU和API資源
  1. Kubernetes 為命名空間配置默認的內存請求和限制
  2. Kubernetes 為命名空間配置默認的CPU請求和限制
  3. Kubernetes 配置命名空間的最小和最大內存約束
  4. Kubernetes 為命名空間配置CPU最小和最大約束
  5. Kubernetes 為命名空間配置內存和CPU配額
  6. Kubernetes 配置命名空間下Pod配額
5. Kubernetes 安裝網絡策略驅動
  1. Kubernetes 使用Antrea提供NetworkPolicy
  2. Kubernetes 使用Calico提供NetworkPolicy
  3. Kubernetes 使用Cilium提供NetworkPolicy
  4. Kubernetes 使用kube-router提供NetworkPolicy
  5. Kubernetes 使用Romana提供NetworkPolicy
  6. Kubernetes 使用Weave Net提供NetworkPolicy
6. Kubernetes IP Masquerade Agent用戶指南
7. Kubernetes 云管理控制器
8. Kubernetes 驗證簽名的容器鏡像
9. Kubernetes 運行 etcd 集群
10. Kubernetes 為系統(tǒng)守護進程預留計算資源
11. Kubernetes 為節(jié)點發(fā)布擴展資源
12. Kubernetes 以非root用戶身份運行Kubernetes節(jié)點組件
13. Kubernetes 使用CoreDNS進行服務發(fā)現
14. Kubernetes 使用KMS驅動進行數據加密
15. Kubernetes 使用Kubernetes API訪問集群
16. Kubernetes 使用NUMA感知的內存管理器
17. Kubernetes 保護集群
18. Kubernetes 關鍵插件Pod的調度保證
19. Kubernetes 升級集群
20. Kubernetes 名字空間演練
21. Kubernetes 啟用/禁用Kubernetes API
22. Kubernetes 在Kubernetes集群中使用NodeLocal DNSCache
23. Kubernetes 在Kubernetes集群中使用sysctl
24. Kubernetes 在運行中的集群上重新配置節(jié)點的kubelet
25. Kubernetes 在集群中使用級聯(lián)刪除
26. Kubernetes 聲明網絡策略
27. Kubernetes 安全地清空一個節(jié)點
28. Kubernetes 開發(fā)云控制器管理器
29. Kubernetes 開啟服務拓撲
30. Kubernetes 控制節(jié)點上的CPU管理策略
31. Kubernetes 控制節(jié)點上的拓撲管理策略
32. Kubernetes 改變默認StorageClass
33. Kubernetes 更改PersistentVolume的回收策略
34. Kubernetes 自動擴縮集群DNS服務
35. Kubernetes 自定義DNS服務
36. Kubernetes 調試DNS問題
37. Kubernetes 遷移多副本的控制面以使用云控制器管理器
38. Kubernetes 通過名字空間共享集群
39. Kubernetes 通過配置文件設置Kubelet參數
40. Kubernetes 配置API對象配額
41. Kubernetes 限制存儲消耗
42. Kubernetes 靜態(tài)加密Secret數據
Kubernetes 配置Pods和容器
1. Kubernetes 為容器和Pod分配內存資源
2. Kubernetes 為Windows Pod和容器配置GMSA
3. Kubernetes 為Windows的Pod和容器配置RunAsUserName
4. Kubernetes 為容器和Pods分配CPU資源
5. Kubernetes 創(chuàng)建Windows HostProcess Pod
6. Kubernetes 配置Pod的服務質量
7. Kubernetes 為容器分派擴展資源
8. Kubernetes 配置Pod以使用卷進行存儲
9. Kubernetes 配置Pod以使用PersistentVolume作為存儲
10. Kubernetes 配置Pod使用投射卷作存儲
11. Kubernetes 為Pod或容器配置安全上下文
12. Kubernetes 為Pod配置服務賬戶
13. Kubernetes 從私有倉庫拉取鏡像
14. Kubernetes 配置存活、就緒和啟動探測器
15. Kubernetes 將Pod分配給節(jié)點
16. Kubernetes 用節(jié)點親和性把Pods分配到節(jié)點
17. Kubernetes 配置Pod初始化
18. Kubernetes 為容器的生命周期事件設置處理函數
19. Kubernetes 配置Pod使用ConfigMap
20. Kubernetes 在Pod中的容器之間共享進程命名空間
21. Kubernetes 創(chuàng)建靜態(tài)Pod
22. Kubernetes 將Docker Compose文件轉換為Kubernetes資源
23. Kubernetes 從PodSecurityPolicy遷移到內置的PodSecurity準入控制器
24. Kubernetes 使用名字空間標簽來實施Pod安全性標準
25. Kubernetes 通過配置內置準入控制器實施Pod安全標準
Kubernetes 管理Kubernetes對象
1. Kubernetes 使用配置文件對Kubernetes對象進行聲明式管理
2. Kubernetes 使用Kustomize對Kubernetes對象進行聲明式管理
3. Kubernetes 使用指令式命令管理Kubernetes對象
4. Kubernetes 使用配置文件對Kubernetes對象進行命令式管理
5. Kubernetes 使用kubectl patch更新API對象
Kubernetes 管理Secrets
1. Kubernetes 使用kubectl管理Secret
2. Kubernetes 使用配置文件管理Secret
3. Kubernetes 使用Kustomize管理Secret
Kubernetes 給應用注入數據
1. Kubernetes 為容器設置啟動時要執(zhí)行的命令和參數
2. Kubernetes 為容器設置環(huán)境變量
3. Kubernetes 定義相互依賴的環(huán)境變量
4. Kubernetes 通過環(huán)境變量將Pod信息呈現給容器
5. Kubernetes 通過文件將Pod信息呈現給容器
6. Kubernetes 使用Secret安全地分發(fā)憑證
Kubernetes 運行應用
1. Kubernetes 使用Deployment運行一個無狀態(tài)應用
2. Kubernetes 運行一個單實例有狀態(tài)應用
3. Kubernetes 運行一個有狀態(tài)的應用程序
4. Kubernetes 刪除StatefulSet
5. Kubernetes 強制刪除StatefulSet中的Pods
6. Kubernetes Pod水平自動擴縮
7. Kubernetes HorizontalPodAutoscaler演練
8. Kubernetes 為應用程序設置干擾預算（Disruption Budget）
9. Kubernetes 從Pod中訪問Kubernetes API
10. Kubernetes 擴縮StatefulSet
Kubernetes 運行Jobs
1. Kubernetes 使用CronJob運行自動化任務
2. Kubernetes 使用工作隊列進行粗粒度并行處理
3. Kubernetes 使用工作隊列進行精細的并行處理
4. Kubernetes 使用索引作業(yè)完成靜態(tài)工作分配下的并行處理
5. Kubernetes 使用展開的方式進行并行處理
Kubernetes 訪問集群中的應用程序
1. Kubernetes 部署和訪問Kubernetes儀表板（Dashboard）
2. Kubernetes 訪問集群
3. Kubernetes 使用端口轉發(fā)來訪問集群中的應用
4. Kubernetes 使用服務來訪問集群中的應用
5. Kubernetes 使用Service把前端連接到后端
6. Kubernetes 創(chuàng)建外部負載均衡器
7. Kubernetes 列出集群中所有運行容器的鏡像
8. Kubernetes 在Minikube環(huán)境中使用NGINX Ingress控制器配置Ingress
9. Kubernetes 為集群配置DNS
10. Kubernetes 同Pod內的容器使用共享卷通信
11. Kubernetes 訪問集群上運行的服務
12. Kubernetes 配置對多集群的訪問
Kubernetes 擴展Kubernetes
1. Kubernetes 使用自定義資源
  1. Kubernetes 使用CustomResourceDefinition擴展Kubernetes API
  2. Kubernetes CustomResourceDefinition的版本
2. Kubernetes 配置聚合層
3. Kubernetes 安裝一個擴展的API server
4. Kubernetes 配置多個調度器
5. Kubernetes 使用HTTP代理訪問Kubernetes API
6. Kubernetes 使用SOCKS5代理訪問Kubernetes API
7. Kubernetes 設置Konnectivity服務
Kubernetes TLS
1. Kubernetes 為kubelet配置證書輪換
2. Kubernetes 手動輪換CA證書
3. Kubernetes 管理集群中的TLS認證
Kubernetes 管理集群守護進程
1. Kubernetes 對DaemonSet執(zhí)行滾動更新
2. Kubernetes 對DaemonSet執(zhí)行回滾
Kubernetes 安裝服務目錄
1. Kubernetes 使用Helm安裝Service Catalog
2. Kubernetes 使用SC安裝服務目錄
Kubernetes 網絡
1. Kubernetes 使用HostAliases向Pod /etc/hosts文件添加條目
2. Kubernetes 驗證IPv4/IPv6雙協(xié)議棧
Kubernetes 任務
1. Kubernetes 調度GPUs
2. Kubernetes 管理巨頁（HugePages）
3. Kubernetes 配置kubelet鏡像憑據提供程序
4. Kubernetes 用插件擴展kubectl
Kubernetes 安全
1. Kubernetes 使用AppArmor限制容器對資源的訪問
2. Kubernetes 在集群級別應用Pod安全標準
3. Kubernetes 在名字空間級別應用Pod安全標準
4. Kubernetes 使用seccomp限制容器的系統(tǒng)調用
Kubernetes 無狀態(tài)應用程序
1. Kubernetes 公開外部IP地址以訪問集群中應用程序
2. Kubernetes 示例：使用Redis部署PHP留言板應用程序
Kubernetes 有狀態(tài)的應用
1. Kubernetes StatefulSet基礎
2. Kubernetes 示例：使用Persistent Volumes部署WordPress和MySQL
3. Kubernetes 示例：使用StatefulSet部署Cassandra
4. Kubernetes 運行ZooKeeper，一個分布式協(xié)調系統(tǒng)
Kubernetes Service
1. Kubernetes 使用源IP

閱讀(1.2k) 書簽贊(0) 我要糾錯

Kubernetes 使用Kustomize對Kubernetes對象進行聲明式管理

2022-06-11 15:51 更新

使用 Kustomize 對 Kubernetes 對象進行聲明式管理

Kustomize 是一個獨立的工具，用來通過 kustomization 文件定制 Kubernetes 對象。

從 1.14 版本開始，kubectl 也開始支持使用 kustomization 文件來管理 Kubernetes 對象。要查看包含 kustomization 文件的目錄中的資源，執(zhí)行下面的命令：

kubectl kustomize <kustomization_directory>

要應用這些資源，使用參數 --kustomize 或 -k 標志來執(zhí)行 kubectl apply：

kubectl apply -k <kustomization_directory>

在開始之前

安裝 kubectl。

你必須擁有一個 Kubernetes 的集群，同時你的 Kubernetes 集群必須帶有 kubectl 命令行工具。建議在至少有兩個節(jié)點的集群上運行本教程，且這些節(jié)點不作為控制平面主機。如果你還沒有集群，你可以通過 Minikube 構建一個你自己的集群，或者你可以使用下面任意一個 Kubernetes 工具構建：

Katacoda
玩轉 Kubernetes

要檢查版本，請輸入 ?kubectl version?。

Kustomize 概述

Kustomize 是一個用來定制 Kubernetes 配置的工具。它提供以下功能特性來管理應用配置文件：

從其他來源生成資源
為資源設置貫穿性（Cross-Cutting）字段
組織和定制資源集合

生成資源

ConfigMap 和 Secret 包含其他 Kubernetes 對象（如 Pod）所需要的配置或敏感數據。 ConfigMap 或 Secret 中數據的來源往往是集群外部，例如某個 ?.properties? 文件或者 SSH 密鑰文件。 Kustomize 提供 ?secretGenerator ?和 ?configMapGenerator?，可以基于文件或字面值來生成 Secret 和 ConfigMap。

configMapGenerator

要基于文件來生成 ConfigMap，可以在 ?configMapGenerator ?的 ?files ?列表中添加表項。下面是一個根據 ?.properties? 文件中的數據條目來生成 ConfigMap 的示例：

# 生成一個  application.properties 文件
cat <<EOF >application.properties
FOO=Bar
EOF

cat <<EOF >./kustomization.yaml
configMapGenerator:
- name: example-configmap-1
  files:
  - application.properties
EOF

所生成的 ConfigMap 可以使用下面的命令來檢查：

kubectl kustomize ./

所生成的 ConfigMap 為：

apiVersion: v1
data:
  application.properties: |
        FOO=Bar
kind: ConfigMap
metadata:
  name: example-configmap-1-8mbdf7882g

要從 env 文件生成 ConfigMap，請在 ?configMapGenerator ?中的 ?envs ?列表中添加一個條目。這也可以用于通過省略 ?=? 和值來設置本地環(huán)境變量的值。

建議謹慎使用本地環(huán)境變量填充功能 —— 用補丁覆蓋通常更易于維護。當無法輕松預測變量的值時，從環(huán)境中設置值可能很有用，例如 git SHA。

下面是一個用來自 ?.env? 文件的數據生成 ConfigMap 的例子：

# 創(chuàng)建一個 .env 文件
# BAZ 將使用本地環(huán)境變量 $BAZ 的取值填充
cat <<EOF >.env
FOO=Bar
BAZ
EOF

cat <<EOF >./kustomization.yaml
configMapGenerator:
- name: example-configmap-1
  envs:
  - .env
EOF

可以使用以下命令檢查生成的 ConfigMap：

BAZ=Qux kubectl kustomize ./

生成的 ConfigMap 為：

apiVersion: v1
data:
  BAZ: Qux
  FOO: Bar
kind: ConfigMap
metadata:
  name: example-configmap-1-892ghb99c8

Note: ?.env? 文件中的每個變量在生成的 ConfigMap 中成為一個單獨的鍵。這與之前的示例不同，前一個示例將一個名為 ?.properties? 的文件（及其所有條目）嵌入到同一個鍵的值中。

ConfigMap 也可基于字面的鍵值偶對來生成。要基于鍵值偶對來生成 ConfigMap，在 ?configMapGenerator ?的 ?literals ?列表中添加表項。下面是一個例子，展示如何使用鍵值偶對中的數據條目來生成 ConfigMap 對象：

cat <<EOF >./kustomization.yaml
configMapGenerator:
- name: example-configmap-2
  literals:
  - FOO=Bar
EOF

可以用下面的命令檢查所生成的 ConfigMap：

kubectl kustomize ./

所生成的 ConfigMap 為：

apiVersion: v1
data:
  FOO: Bar
kind: ConfigMap
metadata:
  name: example-configmap-2-g2hdhfc6tk

要在 Deployment 中使用生成的 ConfigMap，使用 configMapGenerator 的名稱對其進行引用。 Kustomize 將自動使用生成的名稱替換該名稱。

這是使用生成的 ConfigMap 的 deployment 示例：

# 創(chuàng)建一個 application.properties 文件
cat <<EOF >application.properties
FOO=Bar
EOF

cat <<EOF >deployment.yaml
apiVersion: apps/v1
kind: Deployment
metadata:
  name: my-app
  labels:
    app: my-app
spec:
  selector:
    matchLabels:
      app: my-app
  template:
    metadata:
      labels:
        app: my-app
    spec:
      containers:
      - name: app
        image: my-app
        volumeMounts:
        - name: config
          mountPath: /config
      volumes:
      - name: config
        configMap:
          name: example-configmap-1
EOF

cat <<EOF >./kustomization.yaml
resources:
- deployment.yaml
configMapGenerator:
- name: example-configmap-1
  files:
  - application.properties
EOF

生成 ConfigMap 和 Deployment：

kubectl kustomize ./

生成的 Deployment 將通過名稱引用生成的 ConfigMap：

apiVersion: v1
data:
  application.properties: |
        FOO=Bar
kind: ConfigMap
metadata:
  name: example-configmap-1-g4hk9g2ff8
---
apiVersion: apps/v1
kind: Deployment
metadata:
  labels:
    app: my-app
  name: my-app
spec:
  selector:
    matchLabels:
      app: my-app
  template:
    metadata:
      labels:
        app: my-app
    spec:
      containers:
      - image: my-app
        name: app
        volumeMounts:
        - mountPath: /config
          name: config
      volumes:
      - configMap:
          name: example-configmap-1-g4hk9g2ff8
        name: config

secretGenerator

你可以基于文件或者鍵值偶對來生成 Secret。要使用文件內容來生成 Secret，在 ?secretGenerator ?下面的 ?files ?列表中添加表項。下面是一個根據文件中數據來生成 Secret 對象的示例：

# 創(chuàng)建一個 password.txt 文件
cat <<EOF >./password.txt
username=admin
password=secret
EOF

cat <<EOF >./kustomization.yaml
secretGenerator:
- name: example-secret-1
  files:
  - password.txt
EOF

所生成的 Secret 如下：

apiVersion: v1
data:
  password.txt: dXNlcm5hbWU9YWRtaW4KcGFzc3dvcmQ9c2VjcmV0Cg==
kind: Secret
metadata:
  name: example-secret-1-t2kt65hgtb
type: Opaque

要基于鍵值偶對字面值生成 Secret，先要在 ?secretGenerator ?的 ?literals ?列表中添加表項。下面是基于鍵值偶對中數據條目來生成 Secret 的示例：

cat <<EOF >./kustomization.yaml
secretGenerator:
- name: example-secret-2
  literals:
  - username=admin
  - password=secret
EOF

所生成的 Secret 如下：

apiVersion: v1
data:
  password: c2VjcmV0
  username: YWRtaW4=
kind: Secret
metadata:
  name: example-secret-2-t52t6g96d8
type: Opaque

與 ConfigMaps 一樣，生成的 Secrets 可以通過引用 secretGenerator 的名稱在部署中使用：

# 創(chuàng)建一個 password.txt 文件
cat <<EOF >./password.txt
username=admin
password=secret
EOF

cat <<EOF >deployment.yaml
apiVersion: apps/v1
kind: Deployment
metadata:
  name: my-app
  labels:
    app: my-app
spec:
  selector:
    matchLabels:
      app: my-app
  template:
    metadata:
      labels:
        app: my-app
    spec:
      containers:
      - name: app
        image: my-app
        volumeMounts:
        - name: password
          mountPath: /secrets
      volumes:
      - name: password
        secret:
          secretName: example-secret-1
EOF

cat <<EOF >./kustomization.yaml
resources:
- deployment.yaml
secretGenerator:
- name: example-secret-1
  files:
  - password.txt
EOF

generatorOptions

所生成的 ConfigMap 和 Secret 都會包含內容哈希值后綴。這是為了確保內容發(fā)生變化時，所生成的是新的 ConfigMap 或 Secret。要禁止自動添加后綴的行為，用戶可以使用 ?generatorOptions?。除此以外，為生成的 ConfigMap 和 Secret 指定貫穿性選項也是可以的。

cat <<EOF >./kustomization.yaml
configMapGenerator:
- name: example-configmap-3
  literals:
  - FOO=Bar
generatorOptions:
  disableNameSuffixHash: true
  labels:
    type: generated
  annotations:
    note: generated
EOF

運行 ?kubectl kustomize ./? 來查看所生成的 ConfigMap：

apiVersion: v1
data:
  FOO: Bar
kind: ConfigMap
metadata:
  annotations:
    note: generated
  labels:
    type: generated
  name: example-configmap-3

設置貫穿性字段

在項目中為所有 Kubernetes 對象設置貫穿性字段是一種常見操作。貫穿性字段的一些使用場景如下：

為所有資源設置相同的名字空間
為所有對象添加相同的前綴或后綴
為對象添加相同的標簽集合
為對象添加相同的注解集合

下面是一個例子：

# 創(chuàng)建一個 deployment.yaml
cat <<EOF >./deployment.yaml
apiVersion: apps/v1
kind: Deployment
metadata:
  name: nginx-deployment
  labels:
    app: nginx
spec:
  selector:
    matchLabels:
      app: nginx
  template:
    metadata:
      labels:
        app: nginx
    spec:
      containers:
      - name: nginx
        image: nginx
EOF

cat <<EOF >./kustomization.yaml
namespace: my-namespace
namePrefix: dev-
nameSuffix: "-001"
commonLabels:
  app: bingo
commonAnnotations:
  oncallPager: 800-555-1212
resources:
- deployment.yaml
EOF

執(zhí)行 ?kubectl kustomize ./? 查看這些字段都被設置到 Deployment 資源上：

apiVersion: apps/v1
kind: Deployment
metadata:
  annotations:
    oncallPager: 800-555-1212
  labels:
    app: bingo
  name: dev-nginx-deployment-001
  namespace: my-namespace
spec:
  selector:
    matchLabels:
      app: bingo
  template:
    metadata:
      annotations:
        oncallPager: 800-555-1212
      labels:
        app: bingo
    spec:
      containers:
      - image: nginx
        name: nginx

組織和定制資源

一種常見的做法是在項目中構造資源集合并將其放到同一個文件或目錄中管理。 Kustomize 提供基于不同文件來組織資源并向其應用補丁或者其他定制的能力。

組織

Kustomize 支持組合不同的資源。?kustomization.yaml? 文件的 ?resources ?字段定義配置中要包含的資源列表。你可以將 ?resources ?列表中的路徑設置為資源配置文件的路徑。下面是由 Deployment 和 Service 構成的 NGINX 應用的示例：

# 創(chuàng)建 deployment.yaml 文件
cat <<EOF > deployment.yaml
apiVersion: apps/v1
kind: Deployment
metadata:
  name: my-nginx
spec:
  selector:
    matchLabels:
      run: my-nginx
  replicas: 2
  template:
    metadata:
      labels:
        run: my-nginx
    spec:
      containers:
      - name: my-nginx
        image: nginx
        ports:
        - containerPort: 80
EOF

# 創(chuàng)建 service.yaml 文件
cat <<EOF > service.yaml
apiVersion: v1
kind: Service
metadata:
  name: my-nginx
  labels:
    run: my-nginx
spec:
  ports:
  - port: 80
    protocol: TCP
  selector:
    run: my-nginx
EOF

# 創(chuàng)建 kustomization.yaml 來組織以上兩個資源
cat <<EOF >./kustomization.yaml
resources:
- deployment.yaml
- service.yaml
EOF

?kubectl kustomize ./? 所得到的資源中既包含 Deployment 也包含 Service 對象。

定制

補丁文件（Patches）可以用來對資源執(zhí)行不同的定制。 Kustomize 通過 ?patchesStrategicMerge ?和 ?patchesJson6902 ?支持不同的打補丁機制。?patchesStrategicMerge ?的內容是一個文件路徑的列表，其中每個文件都應可解析為策略性合并補?。⊿trategic Merge Patch）。補丁文件中的名稱必須與已經加載的資源的名稱匹配。建議構造規(guī)模較小的、僅做一件事情的補丁。例如，構造一個補丁來增加 Deployment 的副本個數；構造另外一個補丁來設置內存限制。

# 創(chuàng)建 deployment.yaml 文件
cat <<EOF > deployment.yaml
apiVersion: apps/v1
kind: Deployment
metadata:
  name: my-nginx
spec:
  selector:
    matchLabels:
      run: my-nginx
  replicas: 2
  template:
    metadata:
      labels:
        run: my-nginx
    spec:
      containers:
      - name: my-nginx
        image: nginx
        ports:
        - containerPort: 80
EOF

# 生成一個補丁 increase_replicas.yaml
cat <<EOF > increase_replicas.yaml
apiVersion: apps/v1
kind: Deployment
metadata:
  name: my-nginx
spec:
  replicas: 3
EOF

# 生成另一個補丁 set_memory.yaml
cat <<EOF > set_memory.yaml
apiVersion: apps/v1
kind: Deployment
metadata:
  name: my-nginx
spec:
  template:
    spec:
      containers:
      - name: my-nginx
        resources:
          limits:
            memory: 512Mi
EOF

cat <<EOF >./kustomization.yaml
resources:
- deployment.yaml
patchesStrategicMerge:
- increase_replicas.yaml
- set_memory.yaml
EOF

執(zhí)行 ?kubectl kustomize ./? 來查看 Deployment：

apiVersion: apps/v1
kind: Deployment
metadata:
  name: my-nginx
spec:
  replicas: 3
  selector:
    matchLabels:
      run: my-nginx
  template:
    metadata:
      labels:
        run: my-nginx
    spec:
      containers:
      - image: nginx
        name: my-nginx
        ports:
        - containerPort: 80
        resources:
          limits:
            memory: 512Mi

并非所有資源或者字段都支持策略性合并補丁。為了支持對任何資源的任何字段進行修改， Kustomize 提供通過 ?patchesJson6902 ?來應用 JSON 補丁的能力。為了給 JSON 補丁找到正確的資源，需要在 ?kustomization.yaml? 文件中指定資源的組（group）、版本（version）、類別（kind）和名稱（name）。例如，為某 Deployment 對象增加副本個數的操作也可以通過 ?patchesJson6902 ?來完成：

# 創(chuàng)建一個 deployment.yaml 文件
cat <<EOF > deployment.yaml
apiVersion: apps/v1
kind: Deployment
metadata:
  name: my-nginx
spec:
  selector:
    matchLabels:
      run: my-nginx
  replicas: 2
  template:
    metadata:
      labels:
        run: my-nginx
    spec:
      containers:
      - name: my-nginx
        image: nginx
        ports:
        - containerPort: 80
EOF

# 創(chuàng)建一個 JSON 補丁文件
cat <<EOF > patch.yaml
- op: replace
  path: /spec/replicas
  value: 3
EOF

# 創(chuàng)建一個 kustomization.yaml
cat <<EOF >./kustomization.yaml
resources:
- deployment.yaml

patchesJson6902:
- target:
    group: apps
    version: v1
    kind: Deployment
    name: my-nginx
  path: patch.yaml
EOF

執(zhí)行 ?kubectl kustomize ./? 以查看 ?replicas ?字段被更新：

apiVersion: apps/v1
kind: Deployment
metadata:
  name: my-nginx
spec:
  replicas: 3
  selector:
    matchLabels:
      run: my-nginx
  template:
    metadata:
      labels:
        run: my-nginx
    spec:
      containers:
      - image: nginx
        name: my-nginx
        ports:
        - containerPort: 80

除了補丁之外，Kustomize 還提供定制容器鏡像或者將其他對象的字段值注入到容器中的能力，并且不需要創(chuàng)建補丁。例如，你可以通過在 ?kustomization.yaml? 文件的 ?images ?字段設置新的鏡像來更改容器中使用的鏡像。

cat <<EOF > deployment.yaml
apiVersion: apps/v1
kind: Deployment
metadata:
  name: my-nginx
spec:
  selector:
    matchLabels:
      run: my-nginx
  replicas: 2
  template:
    metadata:
      labels:
        run: my-nginx
    spec:
      containers:
      - name: my-nginx
        image: nginx
        ports:
        - containerPort: 80
EOF

cat <<EOF >./kustomization.yaml
resources:
- deployment.yaml
images:
- name: nginx
  newName: my.image.registry/nginx
  newTag: 1.4.0
EOF

執(zhí)行 ?kubectl kustomize ./? 以查看所使用的鏡像已被更新：

apiVersion: apps/v1
kind: Deployment
metadata:
  name: my-nginx
spec:
  replicas: 2
  selector:
    matchLabels:
      run: my-nginx
  template:
    metadata:
      labels:
        run: my-nginx
    spec:
      containers:
      - image: my.image.registry/nginx:1.4.0
        name: my-nginx
        ports:
        - containerPort: 80

有些時候，Pod 中運行的應用可能需要使用來自其他對象的配置值。例如，某 Deployment 對象的 Pod 需要從環(huán)境變量或命令行參數中讀取讀取 Service 的名稱。由于在 ?kustomization.yaml? 文件中添加 ?namePrefix ?或 ?nameSuffix ?時 Service 名稱可能發(fā)生變化，建議不要在命令參數中硬編碼 Service 名稱。對于這種使用場景，Kustomize 可以通過 ?vars ?將 Service 名稱注入到容器中。

# 創(chuàng)建一個 deployment.yaml 文件（引用此處的文檔分隔符）
cat <<'EOF' > deployment.yaml
apiVersion: apps/v1
kind: Deployment
metadata:
  name: my-nginx
spec:
  selector:
    matchLabels:
      run: my-nginx
  replicas: 2
  template:
    metadata:
      labels:
        run: my-nginx
    spec:
      containers:
      - name: my-nginx
        image: nginx
        command: ["start", "--host", "$(MY_SERVICE_NAME)"]
EOF

# 創(chuàng)建一個 service.yaml 文件
cat <<EOF > service.yaml
apiVersion: v1
kind: Service
metadata:
  name: my-nginx
  labels:
    run: my-nginx
spec:
  ports:
  - port: 80
    protocol: TCP
  selector:
    run: my-nginx
EOF

cat <<EOF >./kustomization.yaml
namePrefix: dev-
nameSuffix: "-001"

resources:
- deployment.yaml
- service.yaml

vars:
- name: MY_SERVICE_NAME
  objref:
    kind: Service
    name: my-nginx
    apiVersion: v1
EOF

執(zhí)行 ?kubectl kustomize ./? 以查看注入到容器中的 Service 名稱是 ?dev-my-nginx-001?：

apiVersion: apps/v1
kind: Deployment
metadata:
  name: dev-my-nginx-001
spec:
  replicas: 2
  selector:
    matchLabels:
      run: my-nginx
  template:
    metadata:
      labels:
        run: my-nginx
    spec:
      containers:
      - command:
        - start
        - --host
        - dev-my-nginx-001
        image: nginx
        name: my-nginx

基準（Bases）與覆蓋（Overlays）

Kustomize 中有基準（bases）和覆蓋（overlays）的概念區(qū)分。基準是包含 ?kustomization.yaml? 文件的一個目錄，其中包含一組資源及其相關的定制。基準可以是本地目錄或者來自遠程倉庫的目錄，只要其中存在 ?kustomization.yaml? 文件即可。覆蓋也是一個目錄，其中包含將其他 kustomization 目錄當做 ?bases ?來引用的 ?kustomization.yaml? 文件。基準不了解覆蓋的存在，且可被多個覆蓋所使用。覆蓋則可以有多個基準，且可針對所有基準中的資源執(zhí)行組織操作，還可以在其上執(zhí)行定制。

# 創(chuàng)建一個包含基準的目錄 
mkdir base
# 創(chuàng)建 base/deployment.yaml
cat <<EOF > base/deployment.yaml
apiVersion: apps/v1
kind: Deployment
metadata:
  name: my-nginx
spec:
  selector:
    matchLabels:
      run: my-nginx
  replicas: 2
  template:
    metadata:
      labels:
        run: my-nginx
    spec:
      containers:
      - name: my-nginx
        image: nginx
EOF

# 創(chuàng)建 base/service.yaml 文件
cat <<EOF > base/service.yaml
apiVersion: v1
kind: Service
metadata:
  name: my-nginx
  labels:
    run: my-nginx
spec:
  ports:
  - port: 80
    protocol: TCP
  selector:
    run: my-nginx
EOF

# 創(chuàng)建 base/kustomization.yaml
cat <<EOF > base/kustomization.yaml
resources:
- deployment.yaml
- service.yaml
EOF

此基準可在多個覆蓋中使用。你可以在不同的覆蓋中添加不同的 ?namePrefix ?或其他貫穿性字段。下面是兩個使用同一基準的覆蓋：

mkdir dev
cat <<EOF > dev/kustomization.yaml
bases:
- ../base
namePrefix: dev-
EOF

mkdir prod
cat <<EOF > prod/kustomization.yaml
bases:
- ../base
namePrefix: prod-
EOF

如何使用 Kustomize 來應用、查看和刪除對象

在 ?kubectl ?命令中使用 ?--kustomize? 或 ?-k? 參數來識別被 ?kustomization.yaml? 所管理的資源。注意 ?-k? 要指向一個 kustomization 目錄。例如：

kubectl apply -k <kustomization 目錄>/

假定使用下面的 ?kustomization.yaml?，

# 創(chuàng)建 deployment.yaml 文件
cat <<EOF > deployment.yaml
apiVersion: apps/v1
kind: Deployment
metadata:
  name: my-nginx
spec:
  selector:
    matchLabels:
      run: my-nginx
  replicas: 2
  template:
    metadata:
      labels:
        run: my-nginx
    spec:
      containers:
      - name: my-nginx
        image: nginx
        ports:
        - containerPort: 80
EOF

# 創(chuàng)建 kustomization.yaml
cat <<EOF >./kustomization.yaml
namePrefix: dev-
commonLabels:
  app: my-nginx
resources:
- deployment.yaml
EOF

執(zhí)行下面的命令來應用 Deployment 對象 ?dev-my-nginx?：

kubectl apply -k ./

deployment.apps/dev-my-nginx created

運行下面的命令之一來查看 Deployment 對象 ?dev-my-nginx?：

kubectl get -k ./

kubectl describe -k ./

執(zhí)行下面的命令來比較 Deployment 對象 ?dev-my-nginx? 與清單被應用之后集群將處于的狀態(tài)：

kubectl diff -k ./

執(zhí)行下面的命令刪除 Deployment 對象 ?dev-my-nginx?：

kubectl delete -k ./

deployment.apps "dev-my-nginx" deleted

Kustomize 功能特性列表

字段	類型	解釋
namespace	string	為所有資源添加名字空間
namePrefix	string	此字段的值將被添加到所有資源名稱前面
nameSuffix	string	此字段的值將被添加到所有資源名稱后面
commonLabels	map[string]string	要添加到所有資源和選擇算符的標簽
commonAnnotations	map[string]string	要添加到所有資源的注解
resources	[]string	列表中的每個條目都必須能夠解析為現有的資源配置文件
configMapGenerator	[]ConfigMapArgs	列表中的每個條目都會生成一個 ConfigMap
secretGenerator	[]SecretArgs	列表中的每個條目都會生成一個 Secret
generatorOptions	GeneratorOptions	更改所有 ConfigMap 和 Secret 生成器的行為
bases	[]string	列表中每個條目都應能解析為一個包含 kustomization.yaml 文件的目錄
patchesStrategicMerge	[]string	列表中每個條目都能解析為某 Kubernetes 對象的策略性合并補丁
patchesJson6902	[]Patch	列表中每個條目都能解析為一個 Kubernetes 對象和一個 JSON 補丁
vars	[]Var	每個條目用來從某資源的字段來析取文字
images	[]Image	每個條目都用來更改鏡像的名稱、標記與/或摘要，不必生成補丁
configurations	[]string	列表中每個條目都應能解析為一個包含 Kustomize 轉換器配置的文件
crds	[]string	列表中每個條目都應能夠解析為 Kubernetes 類別的 OpenAPI 定義文件

以上內容是否對您有幫助：

← Kubernetes 使用配置文件對Kubernetes對象進行聲明式管理

Kubernetes 使用指令式命令管理Kubernetes對象 →

寫筆記

我要補充