运维老司机都在用的 K8s 技巧：subPath 实战指南，效率翻倍！-脚本在线

AI智能体脚本智能办公脚本自动化游戏脚本浏览器自动化脚本服务器脚本

运维老司机都在用的 K8s 技巧：subPath 实战指南，效率翻倍！

作者：互联网

2026-03-24

AI模型库

在 Kubernetes 日常运维中，你是否遇到过这样的场景：

想把一个 ConfigMap 中的单个配置文件挂到容器里，结果整个目录被覆盖？
多个服务共用一个 PVC，但数据混在一起，互相干扰？
修改了 Secret 内容，却发现容器里的文件根本没更新？

这些问题的背后，很可能是因为你忽略了 Kubernetes 中一个看似简单却极其关键的功能——subPath。

今天，我们就来彻底讲清楚：subPath 是什么、怎么工作、什么时候该用、又有哪些坑要避开。文末还有真实生产环境中的最佳实践建议，运维老手也值得收藏！

1. 工作原理：K8s 是如何实现 subPath 的？

Kubelet 负责挂载逻辑，subPath 的处理完全由 Kubelet 在节点上完成。当 Pod 被调度到某个节点后，Kubelet 会为每个容器准备其所需的挂载点。

首先挂载整个 Volume 到节点上的一个临时目录(例如：/var/lib/kubelet/pods//volumes//)
然后对指定的 subPath 创建一个 bind mount

# 这是一个类比，kubelet 实际是通过 Go 代码调用系统调用实现的
mount --bind /host_volume_path/nginx.conf /var/lib/kubelet/.../<container-rootfs>/etc/nginx/nginx.conf1.
2.

2. 使用场景

避免覆盖：如果挂载路径是一个已存在的目录，则目录下的内容不会被覆盖。直接将configMap/Secret挂载在容器的路径，会覆盖掉容器路径下原有的文件，使用subpath选定configMap/Secret的指定的key-value挂载在容器中，则不会覆盖掉原目录下的其他文件。
文件隔离：pod中含有多个容器共用一个日志volume，不同容器日志路径挂载的到不同的子目录，而不是根路径。

3. 案例一：避免覆盖

nginx镜像的/etc/nginx/conf.d/目录下已经有default.conf文件。目前业务想要不变default.conf配置下，新增一个配置文件(例如web-api.conf)。

(1) 创建ConfigMap

apiVersion: v1
kind:ConfigMap
metadata:
name:nginx-config
namespace:default
data:
web-api.conf:|+
    server {
        listen       8080;
        listen  [::]:8080;
        server_name  localhost;
    
        location/{
            root   /usr/share/nginx/html;
            indexindex.htmlindex.htm;
        }
    
        error_page   500502503504/50x.html;
        location=/50x.html{
            root   /usr/share/nginx/html;
        }
    }1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.

(2) 部署nginx业务使用对应的cm

apiVersion: apps/v1
kind:Deployment
metadata:
name:nginx
spec:
selector:
    matchLabels:
      app:nginx
template:
    metadata:
      labels:
        app:nginx
    spec:
      containers:
      -image:core.jiaxzeng.com/library/nginx:1.27-alpine3.20
        name:client
        volumeMounts:
        -name:config
          mountPath:/etc/nginx/conf.d/web-api.conf
          subPath:web-api.conf
      volumes:
      -name:config
        configMap:
          name: nginx-config1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.

Tip：不支持自动更新（对于 ConfigMap/Secret）：这是一个关键点。当 ConfigMap 或 Secret 更新时，Kubernetes 会将整个卷更新到宿主机上的新版本。但是，由于 subPath 是早期创建的一个独立的绑定挂载，它不会自动指向新版本卷中的文件。因此，使用 subPath 挂载的 ConfigMap/Secret 不会自动更新。

(3) 查看容器内挂载路径

(4) 在Pod所在节点上使用 inspect 查看容器挂载信息

4. 案例二：文件隔离

无状态多副本的业务日志需要落在主机目录(nfs)上。这就会面临一个问题，程序都是统一往一个文件写(即没办法区分那个pod的日志)。可以通过subPath方式来实现文件隔离

(1) 创建pvc

apiVersion: v1
kind:PersistentVolume
metadata:
name:client-data-pv
spec:
accessModes:["ReadWriteOnce"]
capacity:
    storage:5Gi
local:
    path:/data/test-local-pv
nodeAffinity:
    required:
      nodeSelectorTerms:
      -matchExpressions:
        -key:kubernetes.io/hostname
          operator:In
          values:["k8s-node02"]

---
apiVersion:v1
kind:PersistentVolumeClaim
metadata:
name:client-data-pvc
spec:
accessModes:["ReadWriteOnce"]
resources:
    requests:
      storage:5Gi
volumeMode: Filesystem1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.

(2) 部署业务使用对应pvc

apiVersion: apps/v1
kind:Deployment
metadata:
name:simple
spec:
replicas:2
selector:
    matchLabels:
      app:simple
template:
    metadata:
      labels:
        app:simple
    spec:
      containers:
      -args:
        --c
        -/etc/simple/config.yaml
        env:
        -name:POD_NAME
          valueFrom:
            fieldRef:
              apiVersion:v1
              fieldPath:metadata.name
        image:core.jiaxzeng.com/jiaxzeng/simple:v1.4.3
        imagePullPolicy:Always
        name:simple
        volumeMounts:
        -mountPath:/etc/simple
          name:config
        -name:logs
          mountPath:/app/logs
          subPathExpr:$(POD_NAME)/logs
      imagePullSecrets:
      -name:harbor-admin-secret
      volumes:
      -configMap:
          defaultMode:420
          name:simple
        name:config
      -name:logs
        persistentVolumeClaim:
          claimName: client-data-pvc1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.
41.
42.
43.

(3) 在容器内查看

Tip：只有当前pod的日志。

(4) 在宿主机查看

Tip：所有副本的日志都存在

5. 结语

Kubernetes 的 subPath 是一个强大而实用的功能，它在保持容器镜像完整性的同时，实现了对 Volume 内容的精细控制。合理使用 subPath，可以显著提升配置管理的灵活性和数据隔离的安全性。然而，运维人员也需清楚其局限性，尤其是在配置热更新和路径依赖方面。在实际生产环境中，建议结合具体业务需求权衡是否使用 subPath，并在测试环境中充分验证。