女主宣言

上一篇 kubernetes持久化存储Ceph RBD 介绍了Ceph RBD在kubernetes中的使用，本篇将会介绍Cephfs在kubernetes中的使用。本文最先发布于 opsdev，转载已获取作者授权。

PS：丰富的一线技术、多元化的表现形式，尽在“HULK一线技术杂谈”，点关注哦！

Kubernetes volume

熟悉kubernetes volume的同学应该了解，kubernetes 对volume的提供支持“静态PV”和“动态PV”两种方式。

• 静态PV

集群管理员创建一些PV，之后便可用于PVC消费。

• 动态PV

相比静态PV而言，动态PV无需管理员手动创建PV，PV的操作是由一个叫StorageClass的控制器创建。对于Cephfs volume来说，截止到kubernetes 1.10版本并没有直接提供Cephfs的StorageClass。

虽然官方并没有直接提供对Cephfs StorageClass的支持，但是社区给出了类似的解决方案 external-storage/ cephfs，后面我们会使用到。

1

静态PV

Ceph RBD 和 secret 的创建详见此链接：

https://www.opsdev.cn/post/Ceph-RBD.html

编辑 Cephfs PV 对象文件 cephfs-pv.yaml:

apiVersion: v1

kind: PersistentVolume

metadata:

name: cephfs-pv

spec:

capacity:

storage: 1Gi

accessModes:

- ReadWriteMany

cephfs:

monitors:

- 192.168.0.3:6789

user: kube

secretRef:

name: secret-for-cephfs

readOnly: false

persistentVolumeReclaimPolicy: Recycle

创建 PV:

$ kubectl create -f cephfs-pv.yaml -n cephfs

persistentvolume "cephfs-pv" created

$ kubectl get pv -n cephfs

创建PVC

$ vim cephfs-pv-claim.yaml

apiVersion: v1

kind: PersistentVolumeClaim

metadata:

name: cephfs-pv-claim

namespace: cephfs

spec:

accessModes:

- ReadWriteMany

resources:

requests:

storage: 1Gi

在 deployment 中使用 PV:

metadata:

name: cephfs-pvc

namespace: cephfs

spec:

replicas: 2

template:

metadata:

labels:

app: cephfs-pvc

spec:

containers:

- name: nginx

image: busybox:latest

volumeMounts:

- name: cephfs-pv

mountPath: /data/cephfs

readOnly: false

volumes:

- name: cephfs

persistentVolumeClaim:

claimName: cephfs-pv-claim

这样，在同一个deployment中的2个pod容器内都可以读写同一个cephfs volume了。

2

动态PV

对于规模不大的容器平台而言，静态PV方式就可以满足需求；但是当容器规模很大时，你不知道用户什么时候创建PV，因此动态PV方式就非常有用了。下面我们看下如何基于 external-storage/cephfs 来实现动态PV。

部署 cephfs-provisioner

cephfs-provisioner 是 kubernetes 官方社区提供的Cephfs的StorageClass支持。用于动态的调用后端存储Cephfs创建PV。

cephfs-provisoner 的实现机制如图所示：

它主要是包含两部分：

• cephfs-provisoner.go

是cephfs-provisoner（cephfs的StorageClass）的核心，主要是 watch kubernetes中 PVC 资源的CURD事件，然后以命令行方式调用 cephfs_provisor.py脚本创建PV。

• cephfs_provisoner.py

python 脚本实现的与cephfs交互的命令行工具。cephfs-provisoner 对cephfs端volume的创建都是通过该脚本实现。里面封装了volume的增删改查等功能。

创建 StorageClass

#kubectl create -f class.yaml

# kubectl get sc -n cephfsNAME      PROVISIONER       AGEcephfs    ceph.com/cephfs   33d

基于RBAC授权方式启动cephfs-provisioner

# kubectl create -f  *

# kubectl get deploy -n cephfs

这样动态创建PV的环境就准备好了。

动态PV方式，无需再手动创建PV，只需创建PVC，cephfs-provisoner会自动的为该PVC在后端cephfs存储上创建对应的PV。

kind: PersistentVolumeClaim

apiVersion: v1

metadata:

name: pvc-1

annotations:

volume.beta.kubernetes.io/storage-class: "cephfs"

spec:

accessModes:

- ReadWriteMany

resources:

requests:

storage: 1Gi

此时，我们创建PVC后，会看到同时会自动创建并绑定上一个PV。

至此，基于 cephfs 的动态PV方式就介绍完了。

cephfs-provisoner的坑

在使用 cephfs-provisoner 与公司 cephfs 对接的时候遇到了一些坑，在这里一并说一下。

• 路径问题

在 cephfs_provisioner/ cephfs_provisioner.py 的实现中，默认在cephfs中创建的根目录名是”kubernetes“，所有后续创建的卷都在cephfs端的 /kubernetes/ 一级目录下 ，代码实现中以VOlUME_GROUP="kubernetes"定义。 因此，如果你不想在 cephfs 中以该名字命名，需要修改VOLUME_GROUP值。

另外，它的二级目录也是固定的为/kubernetes/volumes，二级目录是python-cephfs模块中由DEFAULT_VOL_PREFIX变量定义：

POOL_PREFIX = "fsvolume_"

DEFAULT_VOL_PREFIX = "/volumes"

DEFAULT_NS_PREFIX = "fsvolumens_"

因此，要定制化在cephfs端的一级和二级目录，需要修改这两个地方。

• 权限问题

这里遇到两个权限问题：

1. 挂载权限问题

默认python-cephfs模块在连接cephfs挂载时是mount的根目录”/“。

而根目录只有admin用户才有权限进行挂载，所以这个地方除了admin用户外，没办法使用其它用户。但是，我们在使用cephfs时，为了安全，管理员是不会给我们admin用户使用的，所以这个地方肯定是接受不了的。为此，我们定制修改了libcephfs2和python-cephfs的源码，增加了connect_with_path方法，允许指定挂载的目录，这样我们只要在挂载时不使用根目录即可。

2. 读写权限问题

在 cephfs_provisoner.py 的实现中，默认添加了对 cephfs namespace的支持，因此在对volume授权时会添加对namespace 相关的权限设置。因为，我们使用的ceph版本luminous没有对namespace进行支持，所以，在使用时产生了创建的volume挂载到pod内后没有读写权限"input/output error"的问题。 此时，你在cephfs端查看卷的读写权限时，你可以看到目录读写权限都是问号。于是我们修改了这部分逻辑，去掉了 namespace 相关的部分。

相关代码请点击文末原文链接查看。

HULK一线技术杂谈

由360云平台团队打造的技术分享公众号，内容涉及云计算、数据库、大数据、监控、泛前端、自动化测试等众多技术领域，通过夯实的技术积累和丰富的一线实战经验，为你带来最有料的技术分享