作者: Takafumi Takahashi (Hitachi Vantara)
译者: Michael Yao (DaoCloud)
上个月发布的 Kubernetes v1.26 引入了一个 Alpha 特性,允许你在源数据属于不同的名字空间时为
PersistentVolumeClaim 指定数据源。启用这个新特性后,你在新 PersistentVolumeClaim 的
dataSourceRef
字段中指定名字空间。一旦 Kubernetes 发现访问权限正常,新的 PersistentVolume
就可以从其他名字空间中指定的存储源填充其数据。在 Kubernetes v1.26 之前,如果集群已启用了
AnyVolumeDataSource
特性,你可能已经从相同的名字空间中的数据源制备新卷。
但这仅适用于同一名字空间中的数据源,因此用户无法基于一个名字空间中的数据源使用另一个名字空间中的声明来制备
PersistentVolume。为了解决这个问题,Kubernetes v1.26 在 PersistentVolumeClaim API 的
dataSourceRef
字段中添加了一个新的 Alpha namespace
字段。
工作原理
一旦 csi-provisioner 发现数据源是使用具有非空名字空间名称的 dataSourceRef
指定的,
它就会检查由 PersistentVolumeClaim 的 .spec.dataSourceRef.namespace
字段指定的名字空间内所授予的所有引用,以便确定可以访问数据源。
如果有 ReferenceGrant 允许访问,则 csi-provisioner 会基于数据源来制备卷。
试用
使用跨名字空间卷制备时以下事项是必需的:
- 为 kube-apiserver 和 kube-controller-manager 启用
AnyVolumeDataSource
和
CrossNamespaceVolumeDataSource
特性门控 - 为特定的
VolumeSnapShot
控制器安装 CRD - 安装 CSI Provisioner 控制器并启用
CrossNamespaceVolumeDataSource
特性门控 - 安装 CSI 驱动程序
- 为 ReferenceGrants 安装 CRD
完整演练
要查看其工作方式,你可以安装样例并进行试用。
此样例使用 prod 名字空间中的 VolumeSnapshot 在 dev 名字空间中创建 PVC。
这是一个简单的例子。想要在真实世界中使用,你可能要用更复杂的方法。
这个例子的假设
- 部署你的 Kubernetes 集群时启用
AnyVolumeDataSource
和CrossNamespaceVolumeDataSource
特性门控 - 有两个名字空间:dev 和 prod
- CSI 驱动程序被部署
- 在 prod 名字空间中存在一个名为
new-snapshot-demo
的 VolumeSnapshot - ReferenceGrant CRD(源于 Gateway API 项目)已被部署
为 CSI Provisioner 授予 ReferenceGrants 读取权限
仅当 CSI 驱动程序具有 CrossNamespaceVolumeDataSource
控制器功能时才需要访问 ReferenceGrants。
对于此示例,外部制备器对于 referencegrants
(API 组 gateway.networking.k8s.io
)需要
get、list 和 watch 权限。
- apiGroups: ["gateway.networking.k8s.io"]
resources: ["referencegrants"]
verbs: ["get", "list", "watch"]
为 CSI Provisioner 启用 CrossNamespaceVolumeDataSource 特性门控
将 --feature-gates=CrossNamespaceVolumeDataSource=true
添加到 csi-provisioner 命令行。
例如,使用此清单片段重新定义容器:
- args:
- -v=5
- --csi-address=/csi/csi.sock
- --feature-gates=Topology=true
- --feature-gates=CrossNamespaceVolumeDataSource=true
image: csi-provisioner:latest
imagePullPolicy: IfNotPresent
name: csi-provisioner
创建 ReferenceGrant
以下是 ReferenceGrant 示例的清单。
apiVersion: gateway.networking.k8s.io/v1beta1
kind: ReferenceGrant
metadata:
name: allow-prod-pvc
namespace: prod
spec:
from:
- group: ""
kind: PersistentVolumeClaim
namespace: dev
to:
- group: snapshot.storage.k8s.io
kind: VolumeSnapshot
name: new-snapshot-demo
通过使用跨名字空间数据源创建 PersistentVolumeClaim
Kubernetes 在 dev 上创建 PersistentVolumeClaim,CSI 驱动程序从 prod 上的快照填充在
dev 上使用的 PersistentVolume。
apiVersion: v1
kind: PersistentVolumeClaim
metadata:
name: example-pvc
namespace: dev
spec:
storageClassName: example
accessModes:
- ReadWriteOnce
resources:
requests:
storage: 1Gi
dataSourceRef:
apiGroup: snapshot.storage.k8s.io
kind: VolumeSnapshot
name: new-snapshot-demo
namespace: prod
volumeMode: Filesystem
怎样了解更多
增强提案
Provision volumes from cross-namespace snapshots
包含了此特性的历史和技术实现的大量细节。
若想参与,请加入
Kubernetes 存储特别兴趣小组 (SIG)
帮助我们增强此特性。SIG 内有许多好点子,我们很高兴能有更多!
致谢
制作出色的软件需要优秀的团队。
特别感谢以下人员对 CrossNamespaceVolumeDataSouce 特性的深刻见解、周密考量和宝贵贡献:
- Michelle Au (msau42)
- Xing Yang (xing-yang)
- Masaki Kimura (mkimuram)
- Tim Hockin (thockin)
- Ben Swartzlander (bswartz)
- Rob Scott (robscott)
- John Griffith (j-griffith)
- Michael Henriksen (mhenriks)
- Mustafa Elbehery (Elbehery)
很高兴与大家一起工作。