随笔分类 - 黄嘉波-笔记汇总 / Kubernetes:
摘要:在 Kubernetes(k8S)中,CSI(Container Storage Interface)模型是一种标准化接口,用于容器编排系统与外部存储系统的交互。CSI 的设计目的是允许第三方存储提供商开发符合标准的插件,使得这些存储解决方案能够无缝集成到 Kubernetes 集群中,为 Pod
阅读全文
摘要:在 Kubernetes (k8S) 中,支持多种存储供应模式以满足不同场景下的持久化存储需求。主要的存储供应模式包括: 静态供应(Manual Provisioning) 在这种模式下,集群管理员手动创建 PersistentVolume (PV) 资源,并配置其具体的存储类型、大小和访问模式。然
阅读全文
摘要:在 Kubernetes (k8S) 中,PersistentVolume (PV) 的生命周期内包含以下几个关键阶段: Available(可用): PV 在这个阶段被创建并添加到集群中,它具有特定的存储容量、访问模式和持久化策略。在这个状态下,PV 是未被任何 PersistentVolumeC
阅读全文
摘要:在 Kubernetes (k8S) 中,PersistentVolume (PV) 和 PersistentVolumeClaim (PVC) 的使用涉及以下步骤: 创建 PersistentVolume (PV) 定义 PV: 首先,集群管理员需要创建一个或多个 PersistentVolume
阅读全文
摘要:在Kubernetes(k8s)中,数据持久化是通过Volume机制来实现的。以下是一些常见的数据持久化方式: PersistentVolume (PV) 和 PersistentVolumeClaim (PVC): PV 是集群管理员配置的存储资源,而 PVC 是用户或应用程序请求存储资源的方式。
阅读全文
摘要:在Kubernetes(k8s)中,共享存储的作用至关重要,特别是对于有状态应用或需要持久化数据的应用。共享存储机制允许不同节点上的Pod访问和共享同一份数据,即使当Pod由于任何原因重新调度到集群中的其他节点时,也能继续使用相同的数据集。具体作用包括: 数据持久化: 共享存储服务提供了一种方法,使
阅读全文
摘要:在Kubernetes(k8S)中,Calico 是一个流行的网络和网络安全解决方案,它为容器提供了强大的三层网络模型。Calico 的实现原理主要包括以下几个关键点: BGP 路由协议: Calico 使用 Border Gateway Protocol (BGP) 在集群内传播路由信息。每个运行
阅读全文
摘要:在Kubernetes(k8s)中,Flannel 是一个常用的网络插件,其主要作用是为集群中的每个节点提供覆盖网络(Overlay Network),从而实现跨主机Pod之间的相互通信。具体来说: IP分配与管理: Flannel 通过与 Kubernetes API Server 或独立的 et
阅读全文
摘要:在Kubernetes(k8S)中,网络策略(NetworkPolicy)原理是基于标签选择器(label selectors)和规则定义来实现Pod之间的网络通信控制。其核心原理可以概括为: 定义范围: Kubernetes NetworkPolicy资源应用于特定的命名空间。 每个策略通过pod
阅读全文
摘要:在Kubernetes(k8s)中,网络策略(NetworkPolicy)是一种资源对象,用于管理集群内部的网络通信规则。它允许管理员定义哪些Pod可以与哪些其他Pod进行通信,从而实现更细粒度的网络访问控制。 具体来说: 网络策略规范(NetworkPolicy spec):定义了在一个命名空间内
阅读全文
摘要:在 Kubernetes (k8s) 中,CNI(Container Network Interface)模型是一个标准化的接口规范,用于在容器创建时配置和管理其网络连接。CNI模型的核心概念包括: 插件化设计: CNI 是一个由 Cloud Native Computing Foundation
阅读全文
摘要:在 Kubernetes(k8s)中,网络模型是集群内容器间以及容器与外部世界通信的基础架构。Kubernetes 网络模型的核心目标是在多个节点上的容器之间创建一个扁平、统一且可预测的网络空间,确保任意两个 Pod(Pod 是 k8s 中运行容器的基本单元)能够直接通过各自的 IP 地址相互通信,
阅读全文
摘要:PodSecurityPolicy (PSP) 在 Kubernetes 中能够实现以下的安全策略: 运行时用户和组限制: 确保容器以非 root 用户身份运行,或者限制容器可以使用的用户或组ID范围。 容器能力控制: 允许或禁止特定的 Linux 容器能力(capabilities),从而限制容器
阅读全文
摘要:PodSecurityPolicy(PSP)是 Kubernetes 中的一个集群级别的安全机制,它允许管理员为集群中的 Pod 定义和实施一组详细的准入控制策略。通过PodSecurityPolicy,集群管理员可以精细地控制哪些类型的Pod可以被创建或运行在集群内,以防止不安全的容器配置和潜在的
阅读全文
摘要:在Kubernetes (k8s) 中,Secret 是一种资源对象,用于存储敏感信息(如密码、密钥、凭证等),并以安全的方式将其注入到 Pod 中的容器。以下是 Kubernetes Secret 的几种主要使用方式: 通过 --from-literal 创建 Secret: 在命令行中创建 Se
阅读全文
摘要:在Kubernetes(k8S)中,Secret是一种用于存储和管理敏感信息的对象资源类型。它的主要作用是: 安全存储:将密码、API密钥、TLS证书、SSH密钥等敏感数据以加密形式存储在集群内部,而不是直接暴露在配置文件或容器镜像中。 保密传输:当Secret被挂载到Pod时,虽然数据是以明文形式
阅读全文
摘要:在Kubernetes(k8S)中,Role-Based Access Control(RBAC)是一种强大的权限管理和访问控制机制。它允许集群管理员细粒度地控制用户、组或服务账户对Kubernetes API资源的访问权限。 特点和优势: 细粒度授权: RBAC提供了一种基于角色的灵活授权模式,可
阅读全文
摘要:在Kubernetes(k8s)中,准入控制机制(Admission Control)是一个关键的安全和策略执行层。它位于API Server层级,在接收到对集群资源的创建、更新或删除请求后、但实际操作存储在etcd中的数据之前的一个环节。 准入控制器是一系列插件式的组件,它们会对发送到API Se
阅读全文
摘要:在Kubernetes (k8s) 中,确保集群的安全性需要从多个层面进行考虑和实施措施。以下是一些关键的策略和实践: 网络安全: 网络策略(Network Policies):定义Pod间的网络通信规则,控制进出Pod的流量。 防火墙与访问控制:配置节点防火墙限制对集群节点不必要的外部访问,仅允许
阅读全文
摘要:在Kubernetes集群中,kubelet是工作节点上的核心服务,它负责确保Pods及其容器按照预期的状态运行。为了实现这一目标,kubelet依赖于内置的cAdvisor组件来进行资源监控。cAdvisor(Container Advisor)是一个开源的容器监控工具,它集成在kubelet内部
阅读全文