摘要: 什么是service account? 顾名思义,相对于user account(比如:kubectl访问APIServer时用的就是user account),service account就是Pod中的Process用于访问Kubernetes API的account,它为Pod中的Proces 阅读全文
posted @ 2019-05-14 22:46 Normanlin 阅读(2285) 评论(0) 推荐(0) 编辑
摘要: pod使用一种称为SA的机制,正常用户和serviceaccount都可以属于一个或多个组。组可以一次给多个用户赋予权限,而不是必须单独给用户赋予权限。 API服务器要求客户端在服务器上执行操作之前对自己进行身份验证,POD是通过发送/var/run/secrets/kubernetes.io/se 阅读全文
posted @ 2019-05-14 20:34 Normanlin 阅读(355) 评论(0) 推荐(0) 编辑
摘要: 阅读全文
posted @ 2019-05-14 17:24 Normanlin 阅读(191) 评论(0) 推荐(0) 编辑
摘要: 和service相关的任何事情都由每个节点上运行的kube-proxy进程处理 除了监控API对service的更改,kube-proxy也监控对Endpoint对象的更改。 kube-proxy必须监听所有EP对象,因为EP对象在每次新创建或删除pod是都会发生变更。 阅读全文
posted @ 2019-05-14 17:23 Normanlin 阅读(222) 评论(0) 推荐(0) 编辑
摘要: kubernetes集群分为俩部分: kubernetes控制平面 工作节点 控制平面的组件: etcd分布式持久化存储 API服务器 调度器 控制器管理器 这些组件用来存储,管理集群状态。但他们不是运行应用的容器。 工作节点上的组件: kubelet kube-proxy docker 附加组件: 阅读全文
posted @ 2019-05-14 16:46 Normanlin 阅读(440) 评论(0) 推荐(0) 编辑