随笔分类 - Kubernetes
摘要:引用来源:https://landscape.cncf.io/card-mode?category=container-runtime&grouping=category 除了dockder外,还有containerd、cri-o等 下图列举了一些常见的container runtime
阅读全文
摘要:使得当在集群内内部运行时,使用ServiceAccount,在集群外部时使用~/.kube/config中的配置,则可以采用如下的方式: var config *rest.Config var kubeConfig *string if home := homeDir(); home != "" {
阅读全文
摘要:摘录自:https://github.com/kubernetes/community/blob/master/contributors/devel/sig-architecture/api-conventions.md#http-status-codes The following HTTP st
阅读全文
摘要:kube-system命名空间 在k8s中,每个命名空间下,都会有一个default serviceAccount,这是ServiceAccount准入控制器所设置的,kube-system命名空间也不例外;并且如果一个 Pod 没有声明 serviceAccountName,Kubernetes
阅读全文
摘要:方式1:可以直接到kube-system中,查看各个组件的POD YAML定义文件(kubeadm方式安装) 方式2:到目录下/etc/kubernetes/manifests查看组件的定义文件(kubeadm方式安装) 方式3:通过pgrep命令,如 查看kubelet $ tr \\0 '\n'
阅读全文
摘要:通过kubectl访问集群过程中是如何通过认证和授权过程的,以及在默认开启了RABC时,它使用了什么样的角色和角色绑定呢? 首先,我们查看下~/.kube/config文件,找到默认使用的用户 apiVersion: v1 clusters: - cluster: certificate-autho
阅读全文
摘要:创建认证信息 首先假设你装好了openssl (没装执行 sudo yum install openssl openssl-devel) 1、创建一个文件夹叫做 openssl-cert/ $ mkdir -p ~/openssl-cert && cd ~/openssl-cert 2、执行 生成k
阅读全文
摘要:当检查Kubernetes集群的节点时,在节点上执行命令docker ps,用户可能会注意到一些被称为pause的容器,例如: $ docker ps CONTAINER ID IMAGE COMMAND ... ... 3b45e983c859 gcr.io/google_containers/p
阅读全文
摘要:1)安装containerd 参考:https://kubernetes.io/zh-cn/docs/setup/production-environment/container-runtimes/#install-and-configure-prerequisites 转发 IPv4 并让 ipt
阅读全文
摘要:最近发现了两款比较好的在线kubernetes操练环境,killercoda和play-with-k8s。尽管手头上已经有了ECS、虚拟机,不过这两款在线环境胜在方便快捷。让我们体验下吧! https://killercoda.com/playgrounds/scenario/kubernetes
阅读全文
摘要:如果你按照下面的方式运行了一个ubuntu容器,你将会发现一段时间后,容器退出了,为什么会发生这种情况? 这是因为,不像virtual machine,containers无意于托管os operation system,containers意图于运行指定的任务或进程,如托管一个web server
阅读全文
摘要:在kubernetes中,除了可以使用kubectl工具来操作集群外,还可以直接使用API来操作集群。 如:通过API查看kubernetes版本信息: 访问POD: kubernetes API Resources space kube-apiserver 主要通过对外提供 API 的方式与其他组
阅读全文
摘要:有两种类型的准入控制器,validating admission controller和mutating admission controller,前面一种对于请求只执行验证而不发生修改,后面一种会修改请求。 validating admission controller 它对于请求执行验证操作,验
阅读全文
摘要:当我们调用kubectl来创建POD时,会经过认证环节。它使用~/.kube/config中配置的证书来完成认证: 在该认证过程中,它识别哪个用户发送了该请求,并确保该用户是有效的。 然后就进入到了授权环节,此时检查用户是否具有操作某个资源的权限: 我们知道这个过程是基于RABC来完成的。此时如果该
阅读全文
摘要:在kubernetes中有多种不同的授权机制,如node authorization、attribute base authorization、rule base authorization and webhook 配置多种授权方式 当你配置了多种授权模式时,按照顺序,你的请求只会被其中一个所授权,
阅读全文
摘要:在本章节中,我们将学习,如何在集群中,查看证书信息。 在你加入到一个新的团队,帮助管理他们的业务环境,你是团队的管理员,你被告知环境内有多个认证问题。 因此你请求在整个集群中,对于所有的证书执行检查,你应该怎样做? 首先,最重要是知道集群如何启动的? 对于部署kubernetes集群而言,有多种解决
阅读全文
摘要:(1)用户创建了key (2)然后使用该key,生成证书签名请求,附带上自己的名字 (3)然后,发送该请求到管理员 (4)管理员使用一个key,创建证书签名请求对象 (5)证书签名请求对象,像创建其他kubernetes对象那样,使用mainfest文件: spec.groups指定了用户应属的组,
阅读全文
摘要:在前面的学习中,我们知道Kubernetes由一系列的节点和各种组件构成。它们有像管理员那样的用户,对集群进行管理操作,也有像developers的用户,执行测试和部署应用,也有很多终端用户访问部署在集群内的应用。 下面我们将学习,如何实现集群安全,通过使得集群内部组件之间的访问安全,和如何使得访问
阅读全文
摘要:在kubernetes中,有两种类型的账号,用户账号和服务账号; 用户账号被用户所使用,服务账号被机器所使用; 用户账号能够被管理员用作管理集群,或被开发人员用来在集群中部署应用; 服务账号能够被应用用来访问集群,如prometheus使用服务账号pull kuberneters api for p
阅读全文
摘要:kube config文件结构 访问kubernetes的API 等价于在kubectl中这样来书写: 当然每次这样来写显然太麻烦,可以将认证放入到kube config文件中: kube config文件构成:cluster、contexts和users 典型的config文件格式为: conte
阅读全文
