摘要:
k8s-安全框架 1. k8s-安全框架 K8S安全控制框架主要由下面3个阶段进行控制,每一个阶段都支持插件方式,通过API Server配置来启用插件。 Authentication(鉴权) Authorization(授权) Admission Control(准入控制) 客户端要想访问k8s集 阅读全文
摘要:
1. 鉴权(Authentication) 客户端要想访问K8s集群API Server,一般需要证书、Token或者用户名+密码;如果Pod访问,需要ServiceAccount 三种客户端身份认证: HTTPS 证书认证:基于CA证书签名的数字证书认证 HTTP Token认证:通过一个Toke 阅读全文
摘要:
k8s-StatefulSet控制器-独立存储 1. StatefulSet控制器-独立存储 独享存储:StatefulSet的存储卷使用VolumeClaimTemplate创建,称为卷申请模板,当StatefulSet使用VolumeClaimTemplate创建一个PersistentVolu 阅读全文
摘要:
k8s-statefulSet控制器-网络标识 1. k8s-statefulSet控制器-网络标识 稳定的网络标识:使用Headless Service(相比普通Service只是将spec.clusterIP定义为None)来维护Pod网络身份,会为每个Pod分配一个数字编号并且按照编号顺序部署 阅读全文
摘要:
k8s-statefulSet控制器概述 1. statefulSet控制器概述 StatefulSet控制器用于部署有状态应用,满足一些有状态应用的需求: Pod有序的部署、扩容、删除和停止 Pod分配一个稳定的且唯一的网络标识 Pod分配一个独享的存储 阅读全文
摘要:
k8s-无状态与有状态应用 1. 无状态与有状态应用 Deployment控制器设计原则:管理的所有Pod一模一样,提供同一个服务,也不考虑在哪台Node运行,可随意扩容和缩容。这种应用称为“无状态”,例如Web服务 在实际的场景中,并不能满足所有应用,尤其是分布式应用,会部署多个实例,这些实例之间 阅读全文