通过动态存储卷使用对象存储

约束与限制

• 使用对象存储时，挂载点不支持修改属组和权限。
• 使用PVC挂载对象存储时，负载每挂载一个对象存储卷，后端会产生一个常驻进程。当负载使用对象存储数过多或大量读写对象存储文件时，常驻进程会占用大量内存，为保证负载稳定运行，建议负载使用的对象存储卷数量不超过其申请的内存GiB数量，如负载的申请的内存规格为4GiB，则建议其使用的对象存储数不超过4。
• 安全容器不支持使用对象存储。
• 挂载普通桶时不支持硬链接（Hard Link）。

• OBS限制单用户创建100个桶，当动态创建的PVC数量较多时，容易导致桶数量超过限制，OBS桶无法创建。此种场景下建议直接调用OBS的API或SDK使用OBS，不在工作负载中挂载OBS桶。

通过控制台自动创建对象存储

1. 登录CCE控制台，单击集群名称进入集群。
2. 动态创建存储卷声明和存储卷。
   1. 在左侧导航栏选择“存储”，在右侧选择“存储卷声明”页签。单击右上角“创建存储卷声明 PVC”，在弹出的窗口中填写存储卷声明参数。

      参数	描述
      存储卷声明类型	本文中选择“对象存储”。
      PVC名称	输入PVC的名称，同一命名空间下的PVC名称需唯一。
      创建方式	无可用底层存储的场景下，可选择“动态创建”，通过控制台级联创建存储卷声明PVC、存储卷PV和底层存储。 已有底层存储的场景下，根据是否已经创建PV可选择“新建存储卷”或“已有存储卷”，静态创建PVC，具体操作请参见通过静态存储卷使用已有对象存储。 本文中选择“动态创建”。
      存储类	对象存储对应的默认存储类为csi-obs。 您可以自建存储类并配置回收策略和绑定模式，具体操作请参见通过控制台创建StorageClass。
      存储卷名称前缀（可选）	集群版本为v1.23.14-r0、v1.25.9-r0、v1.27.6-r0、v1.28.4-r0及以上时支持，且集群中需安装2.4.15及以上版本的Everest插件。 定义自动创建的底层存储名称，实际创建的底层存储名称为“存储卷名称前缀”与“PVC UID”的拼接组合，如果不填写该参数，默认前缀为“pvc”。 例如，存储卷名称前缀设置为“test”，则实际创建的底层存储名称test-{uid}。
      实例类型	并行文件系统：一种对象存储服务提供的高性能文件系统，提供毫秒级别访问时延，以及TB/s级别带宽和百万级别的IOPS。 对象桶：OBS对象存储提供高可靠、高性能、高安全、低成本的数据存储能力，无文件数量限制、容量限制。
      对象存储类型	选择“对象桶”时，支持选择以下类别： 标准存储：适用于有大量热点文件或小文件，且需要频繁访问（平均一个月多次）并快速获取数据的业务场景。 低频访问存储：适用于不频繁访问（平均一年少于12次），但需要快速获取数据的业务场景。
      数据冗余存储策略	集群中Everest版本要求2.4.14及以上。 多AZ存储：数据冗余存储至多个可用区（AZ），可靠性更高，但采用相对较高计费标准。关于计费详情请参见价格计算器。 单AZ存储：数据仅存储在单个可用区（AZ），成本更低。
      访问模式	对象存储类型的存储卷仅支持ReadWriteMany，表示存储卷可以被多个节点以读写方式挂载，详情请参见存储卷访问模式。
      访问密钥(AK/SK)	自定义密钥：如果您需要为不同OBS存储分配不同的用户权限时，可通过选择不同的Secret实现更灵活的权限控制 （推荐使用）。具体使用请参见对象存储卷挂载设置自定义访问密钥（AK/SK）。 仅支持选择带有 secret.kubernetes.io/used-by = csi 标签的密钥，密钥类型为cfe/secure-opaque。如果无可用密钥，可单击“创建密钥”进行创建： 名称：请输入密钥名称。 命名空间：密钥所在的命名空间。 访问密钥（AK/SK）：上传.csv格式的密钥文件，详情请参见获取访问密钥。
      企业项目	仅支持default、集群所在企业项目或存储类指定的企业项目。

   2. 单击“创建”，将同时为您创建存储卷声明和存储卷。

      您可以在左侧导航栏中选择“存储”，在“存储卷声明”和“存储卷”页签下查看已经创建的存储卷声明和存储卷。

3. 创建应用。
   1. 在左侧导航栏中选择“工作负载”，在右侧选择“无状态负载”页签。
   2. 单击页面右上角“创建工作负载”，在“容器配置”中选择“数据存储”页签，并单击“添加存储卷 > 已有存储卷声明 (PVC)”。
      本文主要为您介绍存储卷的挂载使用，如表1，其他参数详情请参见工作负载。

      表1 存储卷挂载

      参数	参数说明
      存储卷声明（PVC）	选择已有的对象存储卷。
      挂载路径	请输入挂载路径，如：/tmp。 数据存储挂载到容器上的路径。请不要挂载在系统目录下，如“/”、“/var/run”等，会导致容器异常。建议挂载在空目录下，若目录不为空，请确保目录下无影响容器启动的文件，否则文件会被替换，导致容器启动异常，工作负载创建失败。 须知： 挂载高危目录的情况下 ，建议使用低权限账号启动，否则可能会造成宿主机高危文件被破坏。
      子路径	请输入存储卷的子路径，将存储卷中的某个路径挂载至容器，可以实现在单一Pod中使用同一个存储卷的不同文件夹。如：tmp，表示容器中挂载路径下的数据会存储在存储卷的tmp文件夹中。不填写时默认为根路径。
      权限	只读：只能读容器路径中的数据卷。 读写：可修改容器路径中的数据卷，容器迁移时新写入的数据不会随之迁移，会造成数据丢失。

      本例中将该存储卷挂载到容器中/data路径下，在该路径下生成的容器数据会存储到对象存储中。

      

   3. 其余信息都配置完成后，单击“创建工作负载”。

      工作负载创建成功后，容器挂载目录下的数据将会持久化保持，您可以参考验证数据持久化及共享性中的步骤进行验证。

使用kubectl自动创建对象存储

1. 使用kubectl连接集群。
2. 使用StorageClass动态创建PVC及PV。
   1. 创建pvc-obs-auto.yaml文件。

      apiVersion: v1
      kind: PersistentVolumeClaim
      metadata:
        name: pvc-obs-auto
        namespace: default
        annotations:
          everest.io/obs-volume-type: STANDARD    # 对象存储类型
          csi.storage.k8s.io/fstype: obsfs        # 实例类型
          csi.storage.k8s.io/node-publish-secret-name: <your_secret_name>       # 自定义密钥的名称
          csi.storage.k8s.io/node-publish-secret-namespace: <your_namespace>    # 自定义密钥的命名空间
          everest.io/enterprise-project-id: <your_project_id>     # 可选字段，企业项目ID，如果指定企业项目，则创建PVC时也需要指定相同的企业项目，否则PVC无法绑定PV。
          everest.io/csi.obs-az-redundancy: 'true'   # 可选字段，指定对象存储为多AZ存储
          everest.io/csi.volume-name-prefix: test  # 可选字段，定义自动创建的底层存储名称前缀
      spec:
        accessModes:
          - ReadWriteMany             # 对象存储必须为ReadWriteMany
        resources:
          requests:
            storage: 1Gi             # 对象存储大小
        storageClassName: csi-obs    # StorageClass类型为对象存储

      表2 关键参数说明

      参数	是否必选	描述
      everest.io/obs-volume-type	是	对象存储类型。 fsType设置为s3fs时，支持STANDARD（标准桶）、WARM（低频访问桶）。 fsType设置为obsfs时，该字段不起作用。
      csi.storage.k8s.io/fstype	是	实例类型，支持“obsfs”与“s3fs”。 obsfs：并行文件系统。 s3fs：对象桶。
      csi.storage.k8s.io/node-publish-secret-name	否	自定义密钥的名称。 如果您需要为不同OBS存储分配不同的用户权限时，可通过选择不同的Secret实现更灵活的权限控制 （推荐使用）。具体使用请参见对象存储卷挂载设置自定义访问密钥（AK/SK）。
      csi.storage.k8s.io/node-publish-secret-namespace	否	自定义密钥的命名空间。
      everest.io/enterprise-project-id	否	对象存储的项目ID。 获取方法：在企业项目管理控制台，单击要对接的企业项目名称，复制企业项目ID值即可。
      everest.io/csi.obs-az-redundancy	否	设置为true，表示将对象存储数据冗余存储至多个可用区（AZ），可靠性更高，但采用相对较高计费标准。关于计费详情请参见价格计算器。 集群中Everest版本要求2.4.14及以上。
      everest.io/csi.volume-name-prefix	否	可选字段，集群版本为v1.23.14-r0、v1.25.9-r0、v1.27.6-r0、v1.28.4-r0及以上时支持，且集群中需安装2.4.15及以上版本的Everest插件。 定义自动创建的底层存储名称，实际创建的底层存储名称为“存储卷名称前缀”与“PVC UID”的拼接组合，如果不填写该参数，默认前缀为“pvc”。 取值范围：参数值长度为1~26，且必须是小写字母、数字、中划线，不能以中划线开头或结尾。 例如，存储卷名称前缀设置为“test”，则实际创建的底层存储名称test-{uid}。
      storage	是	PVC申请容量，单位为Gi。 对对象存储来说，此处仅为校验需要（不能为空和0），设置的大小不起作用，此处设定为固定值1Gi。
      storageClassName	是	存储类名称，对象存储对应的存储类名称为csi-obs。

   2. 执行以下命令，创建PVC。

      kubectl apply -f pvc-obs-auto.yaml

3. 创建应用。
   1. 创建web-demo.yaml文件，本示例中将对象存储挂载至/data路径。

      apiVersion: apps/v1
      kind: Deployment
      metadata:
        name: web-demo
        namespace: default
      spec:
        replicas: 2
        selector:
          matchLabels:
            app: web-demo
        template:
          metadata:
            labels:
              app: web-demo
          spec:
            containers:
            - name: container-1
              image: nginx:latest
              volumeMounts:
              - name: pvc-obs-volume    #卷名称，需与volumes字段中的卷名称对应
                mountPath: /data  #存储卷挂载的位置
            imagePullSecrets:
              - name: default-secret
            volumes:
              - name: pvc-obs-volume    #卷名称，可自定义
                persistentVolumeClaim:
                  claimName: pvc-obs-auto    #已创建的PVC名称

   2. 执行以下命令，创建一个挂载对象存储的应用。

      kubectl apply -f web-demo.yaml

      工作负载创建成功后，您可以尝试验证数据持久化及共享性。

验证数据持久化及共享性

1. 查看部署的应用及文件。
   1. 执行以下命令，查看已创建的Pod。

      kubectl get pod | grep web-demo

      预期输出如下：

      web-demo-846b489584-mjhm9   1/1     Running   0             46s
      web-demo-846b489584-wvv5s   1/1     Running   0             46s

   2. 依次执行以下命令，查看Pod的/data路径下的文件。

      kubectl exec web-demo-846b489584-mjhm9 -- ls /data
      kubectl exec web-demo-846b489584-wvv5s -- ls /data

      两个Pod均无返回结果，说明/data路径下无文件。

2. 执行以下命令，在/data路径下创建static文件。

   kubectl exec web-demo-846b489584-mjhm9 --  touch /data/static

3. 执行以下命令，查看/data路径下的文件。

   kubectl exec web-demo-846b489584-mjhm9 -- ls /data

   预期输出如下：

   static

4. 验证数据持久化
   1. 执行以下命令，删除名称为web-demo-846b489584-mjhm9的Pod。

      kubectl delete pod web-demo-846b489584-mjhm9

      预期输出如下：

      pod "web-demo-846b489584-mjhm9" deleted

      删除后，Deployment控制器会自动重新创建一个副本。

   2. 执行以下命令，查看已创建的Pod。

      kubectl get pod | grep web-demo

      预期输出如下，web-demo-846b489584-d4d4j为新建的Pod：

      web-demo-846b489584-d4d4j   1/1     Running   0             110s
      web-demo-846b489584-wvv5s    1/1     Running   0             7m50s

   3. 执行以下命令，验证新建的Pod中/data路径下的文件是否更改。

      kubectl exec web-demo-846b489584-d4d4j -- ls /data

      预期输出如下：

      static

      static文件仍然存在，则说明数据可持久化保存。

5. 验证数据共享性
   1. 执行以下命令，查看已创建的Pod。

      kubectl get pod | grep web-demo

      预期输出如下：

      web-demo-846b489584-d4d4j   1/1     Running   0             7m
      web-demo-846b489584-wvv5s   1/1     Running   0             13m

   2. 执行以下命令，在任意一个Pod的/data路径下创建share文件。本例中选择名为web-demo-846b489584-d4d4j的Pod。

      kubectl exec web-demo-846b489584-d4d4j --  touch /data/share

      并查看该Pod中/data路径下的文件。

      kubectl exec web-demo-846b489584-d4d4j -- ls /data

      预期输出如下：

      share
      static

   3. 由于写入share文件的操作未在名为web-demo-846b489584-wvv5s的Pod中执行，在该Pod中查看/data路径下是否存在文件以验证数据共享性。

      kubectl exec web-demo-846b489584-wvv5s -- ls /data

      预期输出如下：

      share
      static

      如果在任意一个Pod中的/data路径下创建文件，其他Pod下的/data路径下均存在此文件，则说明两个Pod共享一个存储卷。

相关操作