摘要:
k8s-CI/CD介绍 1. 持续集成/持续交付概述 **持续集成(Continuous Integration,CI):**代码合并、构建、部署、测试都在一起,不断地执行这个过程,并对结果反馈。 **持续部署(ContinuousDeployment,CD):**部署到测试环境、预生产环境、生产环 阅读全文
摘要:
k8s-网络策略案例 1. k8s-网络策略案例 案例1:拒绝其他命名空间Pod访问 案例2:同一个命名空间下应用之间限制访问 案例3:只允许指定命名空间中的应用访问 附:准备环境快捷命令 kubectl run busybox --image=busybox -n test -- sleep 12 阅读全文
摘要:
k8s-网络示例 1. K8s-网络示例 官网参考地址:https://kubernetes.io/zh/docs/concepts/services-networking/network-policies/ 示例配置: apiVersion: networking.k8s.io/v1 kind: 阅读全文
摘要:
k8s-案例为指定用户授权访问不同命名空间权限 1. 示例 示例:为zhangsan用户授权default命名空间Pod读取权限 用K8S CA签发客户端证书 生成kubeconfig授权文件 创建RBAC权限策略 安装cfssl证书生成工具 [root@k8s-master rbac]# vim 阅读全文
摘要:
k8s-网络策略概述 1. K8s-网络策略概述 默认情况下,Kubernetes 集群网络没任何网络限制,Pod 可以与任何其他Pod 通信,在某些场景下就需要进行网络控制,减少网络攻击面,提高安全性,这就会用到网络策略。 网络策略(Network Policy):是一个K8s资源,用于限制Pod 阅读全文
摘要:
k8s-RBAC介绍 1. k8s-RBAC介绍 RBAC(Role-Based Access Control,基于角色的访问控制),允许通过Kubernetes API动态配置策略。 角色 Role:授权特定命名空间的访问权限 ClusterRole:授权所有命名空间的访问权限 角色绑定 Role 阅读全文
摘要:
k8s-安全框架 1. k8s-安全框架 K8S安全控制框架主要由下面3个阶段进行控制,每一个阶段都支持插件方式,通过API Server配置来启用插件。 Authentication(鉴权) Authorization(授权) Admission Control(准入控制) 客户端要想访问k8s集 阅读全文
摘要:
1. 鉴权(Authentication) 客户端要想访问K8s集群API Server,一般需要证书、Token或者用户名+密码;如果Pod访问,需要ServiceAccount 三种客户端身份认证: HTTPS 证书认证:基于CA证书签名的数字证书认证 HTTP Token认证:通过一个Toke 阅读全文
摘要:
k8s-StatefulSet控制器-独立存储 1. StatefulSet控制器-独立存储 独享存储:StatefulSet的存储卷使用VolumeClaimTemplate创建,称为卷申请模板,当StatefulSet使用VolumeClaimTemplate创建一个PersistentVolu 阅读全文
摘要:
k8s-statefulSet控制器-网络标识 1. k8s-statefulSet控制器-网络标识 稳定的网络标识:使用Headless Service(相比普通Service只是将spec.clusterIP定义为None)来维护Pod网络身份,会为每个Pod分配一个数字编号并且按照编号顺序部署 阅读全文
摘要:
k8s-statefulSet控制器概述 1. statefulSet控制器概述 StatefulSet控制器用于部署有状态应用,满足一些有状态应用的需求: Pod有序的部署、扩容、删除和停止 Pod分配一个稳定的且唯一的网络标识 Pod分配一个独享的存储 阅读全文
摘要:
k8s-无状态与有状态应用 1. 无状态与有状态应用 Deployment控制器设计原则:管理的所有Pod一模一样,提供同一个服务,也不考虑在哪台Node运行,可随意扩容和缩容。这种应用称为“无状态”,例如Web服务 在实际的场景中,并不能满足所有应用,尤其是分布式应用,会部署多个实例,这些实例之间 阅读全文