摘要:
默认的scheduler的调度过程:1.预选策略:从所有节点当中选择基本符合选择条件的节点。2.优选函数:在众多符合基本条件的节点中使用优选函数,计算节点各自的得分,通过比较进行排序。3.从最高得分的节点中随机选择出一个作为Pod运行的节点。可以通过自己的预设来影响预选、优选过程,从而实现符合我们期 阅读全文
摘要:
scheduler调度过程: Predicate(预选)-->Priority(优选)-->Select(选定)调度方式: 1.节点亲和性调度(NodeAffinity)使用nodeSelector完成这类调度。 2.Pod亲和性和反亲和性调度(PodAffinity、PodUnAffinity)。 阅读全文
摘要:
Kubernetes能够把集群中不同Node节点上的Pod连接起来,并且默认情况下,每个Pod之间是可以相互访问的。但在某些场景中,不同的Pod不应该互通,这个时候就需要进行访问控制。亲测:在kubernetes集群中,默认可以设定NetworkPolicy资源,但是必须安装支持网络策略的插件,否则 阅读全文
摘要:
flannel的网络插件配置 Kubernetes网络通信需要解决以下问题: (1)容器间通信:同一个Pod内的多个容器间的通信,lo (2)Pod通信:Pod IP <-直达-> Pod IP (3)Pod与Service通信:Pod IP <--> Cluster IP (4)Service与集 阅读全文
摘要:
k8s的webUI管理界面可以更好更直观更便捷的让我们去管理我们的k8s集群。 我们知道,由于某些原因我们无法直接拉取dashboard的镜像,但是国内有些人已经将镜像下载到dockerhub中可以给我们使用 在GitHub官网中获取dashboard的资源清单:https://github.com 阅读全文
摘要:
kubernetes的API Server常用的授权插件有: Node、ABAC、RBAC、Webhook我们重点说一下RBAC的访问控制逻辑RBAC(Role base access control)基于角色的访问控制涉及到的资源类型: Role #角色,基于名称空间下的资源 RoleBindin 阅读全文
摘要:
自定义证书使用kubectl认证接入API Serverkubeconfig是API Server的客户端连入API Server时使用的认证格式的客户端配置文件。使用kubectl config view查看其配置 创建、删除集群\用户\上下文列表kubectl config (set-clust 阅读全文
摘要:
k8s的认证: 与API server通信的客户端大致有两类: 1.集群客户端工具(kubectl、kubeadm、kubelet等) 2.集群内pod. 任何客户端访问k8s时的过程: 1.认证:任何客户端访问k8s,首先需要通过k8s的认证;认证通过是说明所用账号只是k8s的合法用户; 2.授权 阅读全文
摘要:
secret相对于configMap,功能上是相似的但是secret是以其他编码方式去记录配置信息的,但是也可以被解读,只不过有技术门槛,不是那么容易就被解读。使用base64可以解码:echo ******** | base64 -d********是kubectl describe secret 阅读全文
摘要:
pod中两种特殊类型的存储卷:secret,configMap pod.spec.volumes.secret pod.spec.volumes.configMap多数情况下,这两个存储卷不是给pod做存储空间来用的,而是给我们的管理员或者用户提供了从集群外部向pod内部的应用注入配置信息的方式。 阅读全文