随笔分类 - k8s
kubernetes
摘要:k8s secret secret 存放一些敏感数据,但是不想被别人知道具体内容,如:密码,token,密钥等敏感信息; 把POD想要访问的数据加密后存储在etcd中,然后可以通过Pod的容器挂载volume的方式或者环境变量等方式访问secret里的信息; secret 有些像ConfigMap,
阅读全文
摘要:简介: 集群管理员为命名空间分配一个或多个出口 IP 地址,或分配给命名空间中的特定 pod。 出口 IP 地址功能可确保来自一个或多个命名空间中的一个或多个 pod 的流量具有集群网络之外的服务具有一致的源 IP 地址; 出口 IP 地址作为额外 IP 地址在节点的主网络接口中使用,且必须与节点的
阅读全文
摘要:EgressFirewall 简介 EgressFirewall功能使群集管理员能够限制项目中pod可以访问的外部主机,即:只对POD出到外网流量进行限制; EgressFirewall对象规则适用于与EgressFirewall对象共享命名空间的所有pod,即:egressfirewall 对象规
阅读全文
摘要:创建POD kubectl create deployment pod-clusterip --image=nginx --replicas=2 deployment.apps/pod-clusterip created 创建Service kubectl create service cluste
阅读全文
摘要:服务(Service) 将运行在一组 Pods 上的应用程序公开为网络服务的抽象方法。 Kubernetes 中 Service 的一个关键目标是让你无需修改现有应用程序就能使用不熟悉的服务发现机制。 你可以在 Pod 中运行代码,无需顾虑这是为云原生世界设计的代码,还是为已容器化的老应用程序设计的
阅读全文
摘要:网络策略 在 IP 地址或端口层面(OSI 第 3 层或第 4 层)控制网络流量,为集群中特定应用使用 Kubernetes 网络策略(NetworkPolicy); Pod 可以通信的 Pod 是通过如下三个标识符的组合来辩识的: 其他被允许的 Pods(例外:Pod 无法阻塞对自身的访问) 被允
阅读全文
摘要:Projected Volume 的secret 与configmap 在 Kubernetes 中,有几种特殊的 Volume,它们存在的意义不是为了存放容器里的数据,也不是用来进行容器和宿主机之间的数据交换,是为容器提供预先定义好的数据; kubernetes 支持的 Projected Vol
阅读全文
摘要:k8s label 简介 Label以key/value键值对的形式附加到任何对象上,如Pod,Service,Node, RC(ReplicationController)/RS(ReplicaSet)等; 同一个资源是可以拥有多个标签的,比如我们的Pod-A,既可以拥有app=tomcat,也可
阅读全文
