文档建议反馈控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

将docker socket与Kubernetes运行器绑定并共享卷

将Docker Socket与Kubernetes运行器绑定并共享卷是一个常见的需求,用于在Kubernetes集群中执行容器化任务。以下是这个过程的基础概念、优势、类型、应用场景以及可能遇到的问题和解决方法。

基础概念

  1. Docker Socket: Docker守护进程监听的Unix域套接字,允许客户端与其进行通信。
  2. Kubernetes运行器: Kubernetes集群中的节点,负责运行Pods。
  3. 共享卷: 在Kubernetes中,卷是一种持久化存储机制,可以在Pods之间共享数据。

优势

  • 灵活性: 允许在Kubernetes集群中直接运行Docker命令,便于开发和调试。
  • 资源隔离: 通过Kubernetes的资源管理功能,可以更好地控制Docker容器的资源使用。
  • 可扩展性: 利用Kubernetes的自动扩展功能,可以根据需求动态调整Docker容器的数量。

类型

  • 绑定挂载: 将主机上的Docker Socket挂载到Kubernetes Pod中。
  • 共享卷: 使用Kubernetes的卷机制,在Pods之间共享数据。

应用场景

  • CI/CD管道: 在持续集成和持续部署流程中,直接在Kubernetes集群中构建和测试Docker镜像。
  • 开发和调试: 开发人员可以在Kubernetes环境中直接运行和调试Docker容器。
  • 多容器应用: 需要在多个容器之间共享数据和状态的场景。

示例代码

绑定Docker Socket

代码语言:txt
复制
apiVersion: v1
kind: Pod
metadata:
  name: docker-pod
spec:
  containers:
  - name: docker-container
    image: docker:dind
    securityContext:
      privileged: true
    volumeMounts:
    - name: docker-socket
      mountPath: /var/run/docker.sock
  volumes:
  - name: docker-socket
    hostPath:
      path: /var/run/docker.sock

共享卷

代码语言:txt
复制
apiVersion: v1
kind: Pod
metadata:
  name: shared-volume-pod
spec:
  containers:
  - name: container1
    image: nginx
    volumeMounts:
    - name: shared-data
      mountPath: /data
  - name: container2
    image: busybox
    command: ["sh", "-c"]
    args:
    - >
      while true;
      do
        echo $(date) >> /data/shared.log;
        sleep 1;
      done
    volumeMounts:
    - name: shared-data
      mountPath: /data
  volumes:
  - name: shared-data
    emptyDir: {}

可能遇到的问题和解决方法

问题1: 权限问题

原因: Docker守护进程需要root权限,绑定挂载后可能导致权限不足。

解决方法: 在Pod中设置privileged: true,并确保Kubernetes节点上的Docker守护进程允许远程访问。

代码语言:txt
复制
securityContext:
  privileged: true

问题2: 网络问题

原因: Docker守护进程和Kubernetes Pod之间的网络通信可能出现问题。

解决方法: 确保Docker守护进程监听的套接字路径正确,并且在Kubernetes节点上正确配置网络策略。

问题3: 数据持久化问题

原因: 使用emptyDir卷时,数据在Pod删除后会被清除。

解决方法: 使用持久卷(Persistent Volume)和持久卷声明(Persistent Volume Claim)来实现数据的持久化存储。

代码语言:txt
复制
apiVersion: v1
kind: PersistentVolume
metadata:
  name: task-pv-volume
spec:
  storageClassName: manual
  capacity:
    storage: 10Gi
  accessModes:
    - ReadWriteOnce
  hostPath:
    path: "/mnt/data"
---
apiVersion: v1
kind: PersistentVolumeClaim
metadata:
  name: task-pv-claim
spec:
  storageClassName: manual
  accessModes:
    - ReadWriteOnce
  resources:
    requests:
      storage: 3Gi

通过以上步骤,你可以成功地将Docker Socket与Kubernetes运行器绑定并共享卷,从而在Kubernetes集群中高效地管理和运行Docker容器。

相关搜索:与luigi docker服务器共享卷运行docker映像时使用挂载绑定与卷的优缺点在本地运行Kubernetes并连接到远程Docker服务器在运行时将文件复制并拆分到docker绑定挂载中将共享卷挂载到Kubernetes集群,以便所有用户都可以访问相同的存储空间并共享文件如何在cakephp 3.0中将文件shell作为cron作业与服务器Docker一起运行?metacitymetafilemetalkitmetatype
相关搜索:
页面内容是否对你有帮助?
有帮助
没帮助

相关·内容

浅入kubernetes(2):Kubernetes 的组成

在 Kubernetes 中,容器不直接在集群节点上运行,而是将一个或多个容器封装在一个 Pod 中。Pod 中的所有应用程序共享相同的资源和本地网络,从而简化了 Pod 中应用程序之间的通讯。...独特之处在于它们是集群外部的,可以将持久卷挂载到集群,而不需要将它们与特定节点、容器或 pod 关联。 持久卷可以是本地的,也可以是基于云的,并且是 DevOps 和 IT 的专业领域。...在 Docker 中,我们可以使用以下命令管理卷 # 创建自定义容器卷 docker volume create {卷名称} # 查看所有容器卷 docker volume ls # 查看指定容器卷的详细信息...docker volume inspect {卷名称} 我们可以在运行容器时,使用 -v 映射主机目录,或者映射容器卷到容器中。...一旦 Pod 被创建,Kubernetes 会将它们分配给集群中的一个或多个 Node ,并确保运行的副本 Node 的正确数量。

67140

Kubernetes中的Volume介绍

csi 卷类型是一种 in-tree 的 CSI 卷插件,用于 Pod 与在同一节点上运行的外部 CSI 卷驱动程序交互。...重要提示:您必须配置 FC SAN 区域划分,并预先将这些 LUN(卷)分配并屏蔽到目标 WWN,以便 Kubernetes 主机可以访问它们。 参考 FC 示例获取详细信息。...例如,hostPath 的用途如下: 运行需要访问 Docker 内部的容器;使用 /var/lib/docker 的 hostPath 在容器中运行 cAdvisor;使用 /dev/cgroups...延迟卷绑定可确保卷绑定决策也可以使用任何其他节点约束(例如节点资源需求,节点选择器,pod 亲和性和 pod 反亲和性)进行评估。 有关 local 卷类型的详细信息,请参见本地持久化存储用户指南。...portworxVolume portworxVolume 是一个与 Kubernetes 一起,以超融合模式运行的弹性块存储层。

2.2K20

    • 典型容器存储项目揭密:Flocker,Portworx和VSAN

    Kubernetes底层支持Docker的容器运行引擎,为了不绑定在特定的容器技术上,Kubernetes没有使用Docker的Volume机制,而是重新制定了自己的通用数据卷插件规范,以配合不同的容器运行时来使用...下文介绍的Flocker也是这种模式的开源容器卷管理器,它提供了在集群中管理和编排容器数据卷的方案,并依靠后端的共享块存储提供数据卷跨主机的能力。...Flocker Agent安装在集群的每个节点上,负责确保每个节点上的本地状态符合系统期待的状态,如果发现本地状态和期待状态不符,Flocker Agent将采取必要的纠正措施,使得节点上的数据卷与集群系统的配置实现最终一致性...Flocker Plugin也部署在每个节点上,主要以插件形式与Docker、Kubernetes等容器平台的集成,不仅让容器可以使用Flocker提供的数据卷,还能够支持容器的迁移。...这种包含计算和存储能力的超融合集群,具有很强的扩展能力,适合云原生应用运行(参见开源云控制平面:光子控制器)。

    2.9K20

    细述Kubernetes和Docker容器的存储方式

    这意味着各种存储设备只要满足接口API的标准,就可以接入Docker容器的运行平台中。...Kubernetes底层支持Docker的容器运行引擎,为了不绑定在特定的容器技术上,Kubernetes没有使用Docker的Volume机制,而是重新制定了自己的通用数据卷插件规范,以配合不同的容器运行时来使用...下文介绍的Flocker也是这种模式的开源容器卷管理器,它提供了在集群中管理和编排容器数据卷的方案,并依靠后端的共享块存储提供数据卷跨主机的能力。...Flocker Agent安装在集群的每个节点上,负责确保每个节点上的本地状态符合系统期待的状态,如果发现本地状态和期待状态不符,Flocker Agent将采取必要的纠正措施,使得节点上的数据卷与集群系统的配置实现最终一致性...Flocker Plugin也部署在每个节点上,主要以插件形式与Docker、Kubernetes等容器平台的集成,不仅让容器可以使用Flocker提供的数据卷,还能够支持容器的迁移。

    1.2K00

    Kubernetes(k8s)-PV&PVC介绍

    这种方式可以提供容器之间的文件共享,但在集群中迁移时会受到限制。实际就是和Docker的-v是一样的效果。...CSI 允许用户在 Kubernetes 中使用多种不同的存储后端,并提供了更大的灵活性和可扩展性。与之相对应的还CNI网络存储接口和CRI容器运行时。...空目录卷(EmptyDir):将一个空目录挂载到容器中,适用于需要在容器之间共享临时数据的情况,删除或者重建会丢失数据。...PV可以与具体的存储提供商进行绑定,如本地存储、云存储或网络存储等。 一旦PV被创建并绑定到某个存储提供商,它就可以被动态地分配给Pod进行使用。...一旦PVC被创建,Kubernetes控制器会根据PVC的需求自动匹配和绑定可用的PV资源。当PVC与PV绑定后,应用可以将PVC挂载到Pod中,并在容器内使用该存储资源。

    11110

    Pod 的存储之volume

    其次,在Pod 中同时运行多个容器时,这些容器之间通常需要共享文件。Kubernetes 中的 Volume 抽象就很好的解决了这些问题。...背景 ​Kubernetes 中的卷有明确的寿命,与封装它的 Pod 相同。所以,卷的生命比 Pod 中的所有容器都长,当这个容器重启时数据仍然得以保存。当然,当 Pod 不再存在时,卷也将不复存在。...hostPath 的用途如下: 运行需要访问 Docker 内部的容器;使用 /var/lib/docker 的 hostPath。...DirectoryOrCreate 如果在给定的路径上没有任何东西存在,那么将根据需要在那里创建一个空目录,权限设置为 0755,与 Kubelet 具有相同的组和所有权。...当 Kubernetes 按照计划添加资源感知调度时,将无法考虑 hostPath 使用的资源。 ​在底层主机上创建的文件或目录只能由 root 写入。

    64620

    本地Docker部署Neko虚拟浏览器并实现远程与好友共享网页协同办公

    前言本文主要介绍如何在本地 Linux 系统使用 Docker 部署 Neko 虚拟浏览器,并结合 cpolar 内网穿透工具轻松实现与好友异地共享浏览器页面,一起在线观看视频或是协同办公,无需公网 IP...也不用域名与云服务器。...关于 nekoNeko是一个基于 Docker 的虚拟浏览器,它使用 WebRTC 技术提供服务,可以让我们在安全隔离的环境中访问互联网、浏览网页、运行应用程序。...如果有长期使用 Neko 浏览器与好友远程网页看视频聊天,或者异地访问与使用其他本地部署的服务的需求,但又不想每天重新配置公网地址,还想让公网地址好看又好记并体验更多功能与更快的带宽,那我推荐大家选择使用固定的二级子域名方式来配置公网地址...以上就是如何在 Linux Ubuntu 系统 Docker 本地安装 Neko 浏览器并实现异地远程访问的全部过程,感谢观看!

    20610

    k8s 知识总结

    status docker cri-docker.socket cri-docker搭建 k8s 集群初始化 master:# 初始化 masterkubeadm init --kubernetes-version...服务发现与负载均衡:容器是动态创建,故需要有名字服务和负载均衡。概念Pod(容器组)是调度的基本单元,用于存放一组容器及容器的共享资源。共享资源包括:存储、网络(主机名、IP地址)等。...PersistentVolume(PV,持久卷):是对实际物理存储系统的抽象。是物理集群层面的资源,不属于任何命名空间。PV 有多种存储方式,如临时目录、主机目录、共享目录。...PersistentVolumeClaim(PVC,持久卷声明):是用户对存储请求的抽象。PVC 与 PV 的关系类似于接口与实现类的关系。请求信息包含存储大小、访问模式等。...PVC 会绑定和消耗 PV。PVC 必须与 Pod 在同一命名空间下才可以被指定使用。DaemonSet确保在每一个节点上都运行一个 Pod。用于部署守护进程,如监控或日志收集器。

    42710

    Kubernetes 之数据存储

    其次,在 Pod 中同时运行多个容器时,这些容器之间通常需要共享文件。Kubernetes 中的 Volume 抽象就很好的解决了这些问题。...首先,当容器崩溃时,kubelet 将重新启动容器,但是写入容器的文件将会丢失,容器将会以镜像的初始状态重新开始;第二,在通过一个 Pod 中一起运行的容器,通常需要共享容器之间一些文件。...Kubernetes 通过存储卷解决上述的两个问题。 在 Docker 有存储卷的概念卷,但 Docker 中存储卷只是磁盘的或另一个容器中的目录,并没有对其生命周期进行管理。...Kubernetes 的存储卷有自己的生命周期,它的生命周期与使用的它 Pod 生命周期一致。...资源绑定:在用户定义好 PVC 后,系统将根据 PVC 对存储资源的请求(存储空间和访问模式)在已存在的 PV 中选择一个满足 PVC 要求的 PV,一旦找到,就将 PV 与用户定义的 PVC 进行绑定

    2.3K20

    Kubernetes 存储概念之Volumes介绍

    Kubernetes的Volume解决了这两个问题 背景 在Docker中也有一个Volume(卷)的概念 ,尽管它有点松散,管理也不太好。...Docker的卷只是磁盘、其它容器中的一个目录,功能也比较有限。 Kubernetes支持多种类型的卷。pod可以同时使用任意数量、类型的卷。...例如,一些hostPath 的用途如下: 运行需要访问 Docker 内部的容器;使用 hostPath: /var/lib/docker 在容器中运行 cAdvisor;使用 hostPath: /sys...与移除Pod时会擦除的emptyDir不同,nfs卷的内容会被保留,而卷只是卸载。这意味着NFS卷可以预先填充数据,并且数据可以在pod之间共享。NFS可以由多个写入程序同时加载。...注意:必须先让自己的NFS服务器运行并导出共享,然后才能使用它。

    2.1K30

    Kubernetes 漫游:Controller Manager

    将 Kubernetes 集群与云平台的资源进行关联,如将 Deployment 资源中的 Pod 与虚拟机进行关联。 监控云资源的状态,并将其与 Kubernetes 资源的状态保持一致。...Scheduler 绑定 Pod: Scheduler 选择一个合适的节点并将 Pod 与之绑定。 API Server 更新 etcd: Scheduler 将绑定信息写回 etcd。...CRI 在没有 CRI(Container Runtime Interface) 之前,Kubernetes 与 Docker 容器运行时是紧密耦合的。...: 容器运行时标准化:CRI 提供了一种标准方式,使得不同的容器运行时(如 Docker、containerd、CRI-O 等)能够与 Kubernetes 进行交互。...使用的存储供应器是 AWS EBS (kubernetes.io/aws-ebs)。 参数 type: gp2 指定了使用 AWS 的通用型 SSD 卷。

    27410

    Kubernetes | 存储 - Storage

    首先,当容器崩溃时,kubelet 会重启它,但是容器中的文件将丢失——容器以干净的状态(镜像最初的状态)重新启动。其次,在 Pod 中同时运行多个容器时,这些容器之间通常需要共享文件。...Kubernetes 中的 Volume 抽象就很好的解决了这些问题。 背景 Kubernetes 中的卷有明确的寿命 —— 与封装它的 Pod 相同。...hostPath 的用途如下: 运行需要访问 Docker 内部的容器;使用 /var/lib/docker 的 hostPath。...绑定 master 中的控制环路监视新的 PVC,寻找匹配的 PV(如果可能),并将它们绑定在一起。如果为新的 PVC 动态调配 PV,则该环路将始终将该 PV 绑定到 PVC。...—该卷的自动回收失败,命令行会显示绑定到 PV 的 PVC 的名称 持久化演示说明 - NFS Ⅰ、安装 NFS 服务器 yum install -y nfs-common nfs-utils rpcbind

    86130

    Kubernetes(k8s)-基本概念

    Controller Manager:负责管理和运行集群中的控制器。控制器用于监控集群的状态,并根据预期状态与实际状态的差异进行调整。...Node 上运行着以下几个核心组件: Kubelet:是 Kubernetes Agent,负责与 Master 节点通信并管理 Node 上的容器操作。...Pod 具有以下特点: 调度单元:Pod 是 Kubernetes 中最小的调度单元,调度器将一个 Pod 分配给一个可用的节点来运行。...共享网络和存储:Pod 中的容器共享同一个网络命名空间和存储卷。它们可以通过 localhost 直接通信,并共享数据。 生命周期:Pod 具有自己的生命周期,可以创建、启动、停止和删除。...选择器标签:ReplicaSet 使用选择器来标识所管理的 Pod。通过选择器,ReplicaSet 可以选择一组符合条件的 Pod,并对它们进行管理。

    15510

    玩转企业云计算平台系列(十三):Openstack 容器管理服务 Zun

    1、Nova Docker驱动程序 该解决方案将容器作为VM运行。添加Nova Docker驱动程序以执行与常规VM类似的操作,以启动、停止或创建Docker容器。...Cinder卷可以是租户中现有的或新创建的卷。每个卷都将绑定到容器文件系统路径,并且将保留该路径下存储的数据。...无服务器方法允许用户按需运行容器,而无需事先创建或管理自己的集群。 Zun将使用Kubernetes作为业务流程层,Kubernetes将使用OpenStack Zun提供“无服务器”容器。...Zun通过与OpenStack Cinder集成解决了这个问题。创建容器时,用户可以选择将Cinder卷装入容器。Cinder卷可以是租户中的现有卷或新创建的卷。...将来,可以将Kubernetes连接到无服务器技术,以便可以跳过配置Kubernetes节点集群并按需启动Kubernetes Pod的步骤。

    60010

    Kubernetes-存储卷Volume

    首先,当容器崩溃时,kubelet将重新启动容器,但是写入容器的文件将会丢失,容器将会以镜像的初始状态重新开始;第二,在通过一个Pod中一起运行的容器,通常需要共享容器之间一些文件。...Kubernetes通过存储卷解决上述的两个问题。 在Docker有存储卷的概念卷,但Docker中存储卷只是磁盘的或另一个容器中的目录,并没有对其生命周期进行管理。...Kubernetes的存储卷有自己的生命周期,它的生命周期与使用的它Pod生命周期一致。因此,相比于在Pod中运行的容器来说,存储卷的存在时间会比的其中的任何容器都长,并且在容器重新启动时会保留数据。...DirectoryOrCreate 如果path指定目录不存在,则会在宿主机上创建一个新的目录,并设置目录权限为0755,此目录与kubelet拥有一样的组和拥有者。...需要注意的是:在使用nfs存储卷之前,必须已正确部署和运行NFS服务器,并已经设置了共享目录。

    4.9K40

    k8s之PV、PVC、StorageClass详解

    导读 上一篇写了共享存储的概述以及一个简单的案例演示。这一篇就写一下PV和PVC。 PV是对底层网络共享存储的抽象,将共享存储定义为一种“资源”,比如Node也是容器应用可以消费的资源。...在启用动态供应模式的情况下,一旦用户删除了PVC,与之绑定的PV也将根据其默认的回收策略“Delete”被删除。...如果资源供应使用的是动态模式,则系统在为PVC找到合适的StorageClass后,将自动创建一个PV并完成与PVC的绑定。...,设置副本数为1,保证为一种存储插件只运行一个控制器实例。...(Unix Domain Socket,UDS),并使用gPRC协议进行通信,sidecar容器通过socket调用CSI Driver容器的CSI接口,CSI Driver容器负责具体的存储卷操作。

    13.7K22

    《Docker极简教程》--Docker容器--Docker容器的创建和使用

    日志收集:多个日志容器可以将日志数据写入同一个数据卷,然后由另一个容器将日志数据收集和处理。 共享数据卷是 Docker 中实现容器间数据共享和持久化存储的重要机制。...通过共享数据卷,你可以更灵活地设计和管理容器化应用程序,并实现数据的持久化存储和共享。...Docker CLI 与 Kubernetes Kubernetes 提供了一个命令行工具 kubectl,用于与集群进行交互。...容器存储卷 Kubernetes 提供了各种类型的存储卷(Volume)来管理容器的持久化存储需求。这些存储卷可以与 Docker 容器一起使用,以提供持久化存储和数据共享。...Kubernetes 与 Docker 容器紧密整合,通过 Kubernetes 可以更轻松地管理和运行 Docker 容器化应用程序,并提供了许多高级功能和工具来简化容器编排、自动化部署和管理容器化应用程序

    10.7K00

    理解OpenShfit(5):从 Docker Volume 到 OpenShift Persistent Volume

    Docker 提供三种方式将宿主机文件或文件夹挂载到容器中: volume(卷):卷保存在宿主机上由Docker 管理的文件系统中,通常在 /var/lib/docker/volumes/ 目录下。...本质上,都是存储插件将存储的卷挂载到Docker宿主机上的某个目录,然后Docker 将目录在挂载给容器。 ?...动态卷供给能让集群管理员不必进行预先创建存储卷,而是随着用户需求进行创建。 绑定:用户在部署容器应用时会定义PVC,其中会声明所需的存储资源的特性,如大小和访问方式。...K8S 的一个控制器(controller)会负责在PV 资源池中寻找匹配的PV,并将PVC与目标PV 进行对接。这是PV和PVC的状态将变成 Bound,即绑定状态。...它暴露Gluster Volume 操作的REST API,并通过 SSH 来运行 Glusterfs 命令,完成各种卷相关的操作,比如创建,映射等。

    1.5K10

    k8s(5)-kubernetes存储系统Volume和PV

    它和Docker的存储卷类似,使用的是Pod所在K8S节点的本地目录。...第二种类型是跨节点存储卷,这种存储卷不和某个具体的K8S节点绑定,而是独立于K8S节点存在的,整个存储集群和K8S集群是两个集群,相互独立。...1、当容器崩溃 时,kubelet 会重启它,但是容器中的文件将丢失——容器以干净的状态(镜像最初的状态)重新启动。 2、在 Pod 中同时运行多个容器时,这些容器之间通常需要共享文件。...2、emptyDir 的应用场景 暂存空间,例如用于基于磁盘的合并排序 用作长时间计算崩溃恢复时的检查点 Web服务器容器提供数据时,保存内容管理器容器提取的文件 Pod 中的所有容器都可以共享 Volume...hostPath 的用途如下: 运行需要访问 Docker 内部的容器;使用  /var/lib/docker  的   hostPath 在容器中运行 cAdvisor;使用  /dev/cgroups

    1.4K10

    7-Kubernetes入门基础之存储Volume介绍

    在Kubernrtes中我们可以采用ConfigMap控制器创建共享应用配置,亦可采用Kubernetes中的volume(卷)在一个Pod内多个Container之间进行文件共享; Q: K8s 与...1) K8S 的 Volume (卷) 定义在Pod之上被同一个Pod内的多个容器挂载到具体文件之下便于文件的共享; 2) K8S 的 Volume (卷) 与 Pod 的生命周期相同(持久卷除外),即...首先当容器崩溃时kubelet会重启它,但是容器中的文件将丢失,容器以干净的状态(镜像最初的状态)重新启动。其次,在Pod 中同时运行多个容器时,这些容器之间通常需要共享文件。...docker中使用的 -v 宿主机目录:容器挂载目录, 使用其的好处是可以与任何存储进行对接使用; hostPath 与 emptyDir 比较 (1) emptyDir 直接将目录或者文件写在Container...-1" deleted Tips : Deployment 中只有在副本数为1的运行时候此种方式持久化是没有没有问题的因为一把情况下它会运行在初次运行的节点之上,但是如果多个副本数则需要下面的PVC持久化卷才能进行数据的持久化与一致性

    1.4K22
    点击加载更多

    扫码

    添加站长 进交流群

    领取专属 10元无门槛券

    手把手带您无忧上云

    扫码加入开发者社群

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2025 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号 | 京公网安备号11010802020287

      领券