Python Helm chart 的 Python 服务打包实践

python服务需先构建容器镜像再集成到helm chart中，通过values.yaml配置镜像、envfrom注入配置、可配置pythoncommand适配环境，并设置合理readinessprobe避免升级中断。

Python 服务怎么塞进 Helm chart？别直接打包整个项目

Python 服务不能像 Java 那样丢个 jar 进容器就完事——Helm chart 本身不处理语言级构建，它只管部署。真正要塞进去的，是已经构建好的、能独立运行的容器镜像。

常见错误是把 requirements.txt 和源码一股脑扔进 templates/ 下，指望 Helm 在集群里 pip install；这不仅慢、不可复现，还会因节点环境差异导致 ImportError 或 ModuleNotFoundError。

• 先用 Dockerfile 构建出带依赖、可执行的镜像（推荐多阶段构建，base 镜像用 python:3.11-slim 而非 python:3.11）
• Helm chart 的 values.yaml 里只配置镜像名和 tag：image: my-registry.example.com/myapp:v1.2.3
• 确保 CI 流水线在推镜像后才更新 values.yaml 中的 image.tag，避免 Helm upgrade 时拉到旧镜像

configmap / secret 怎么安全传 Python 配置？别硬编码进 Dockerfile

Python 应用启动时需要数据库地址、API 密钥等，但把这些写死在 Dockerfile 或 settings.py 里，既违反 12-factor 原则，又让镜像无法复用。

Helm 的 configmap 和 secret 是标准解法，但 Python 进程得“知道去哪读”。常见误区是让应用从文件读取后手动解析，结果碰到权限、路径、热加载等问题。

立即学习“Python免费学习笔记（深入）”；

• 用 envFrom 将 ConfigMap/Secret 直接注入为环境变量，Python 用 os.getenv("DB_URL") 读取 —— 简单、可靠、无需改代码逻辑
• Secret 文件挂载时默认权限是 0644，但某些 Python 库（如 pydantic-settings）会拒绝读取非 0600 的密钥文件；要么在 securityContext 中设 fsGroup: 2001，要么改用环境变量方式
• 不要在 values.yaml 里明文写 secretKeyRef 的 key 名；用 {{ include "myapp.fullname" . }}-config 这类模板函数生成 name，避免命名冲突

如何让 Helm 支持不同环境的 Python 启动命令？别只靠一个 command

开发环境用 uvicorn main:app --reload，生产环境必须关掉 --reload 并加 --workers 4；硬编码在 deployment.yaml 的 command 字段里，会导致一套 chart 无法跨环境复用。

Helm 的 values.yaml 必须暴露可配置入口，但 Python 启动逻辑本身又不宜过度参数化（比如把 --host、--port 全拆成 value 字段）。

• 在 values.yaml 定义 pythonCommand：默认值为 ["gunicorn", "-w", "4", "--bind", "0.0.0.0:8000", "main:app"]，开发环境覆盖为

  ["uvicorn", "main:app", "--host", "0.0.0.0", "--port", "8000"]</li> <li>模板中用 <code>{{ toYaml .Values.pythonCommand | nindent 10 }}

  注入到 containers[].command，注意缩进必须对齐 YAML 结构

• 避免在 command 里写 shell 语法（如 sh -c "exec python ..."），kubernetes 不调用 shell 解析，会导致 exec format error

升级时 Python 服务中断？检查 readinessProbe 的触发时机

Helm upgrade 默认滚动更新，但 Python 应用如果没配好就绪探针，新 Pod 可能在 uvicorn 还没 bind 到端口时就被标记 ready，流量切过去就 502。

更隐蔽的问题是：django/flask 默认不暴露健康端点，有人图省事用 httpGet 去打 /，结果首页加载慢或带 DB 查询，反而把就绪判断拖垮。

• 在应用里加轻量健康端点，例如 fastapi 的 @app.get("/healthz") 只 return {“status”: “ok”}，不查 DB、不读文件
• readinessProbe 的 initialDelaySeconds 设为 5–10 秒（给 Python 解释器和框架初始化留时间），periodSeconds 不要低于 3 秒，避免高频探测压垮小规格 Pod
• 不要复用 livenessProbe 的配置——就绪探针失败应暂停流量，存活探针失败才重启容器；两者阈值和路径建议分开定义

最常被跳过的一步：本地用 helm template 渲染出 YAML 后，手动检查 readinessProbe.httpGet.path 是否真对应你应用里写的路由。路径拼错、大小写不一致、漏了前缀，都会让探针永远 404。