1 Kubelet运行机制
- Kubenetes集群中的每个Node节点都会启动一个Kubelet服务进程用于处理Master下发到该节点的任务,管理Pod及其中的容器
- Kubelet进程在API Server上注册信息,定期向Master节点汇报Node资源情况,并通过cAdvise监控容器和节点资源
1.1 节点管理
- Kubelet进程在启动时设置参数
--register-node=true设置向APIServer主动注册节点信息 - 当设置非自动注册时,需要配置Node的资源信息以及给Kubelet指定API Server位置
- Kubelet启动参数
--api-server //设置api server位置
--kubeconfig //设置访问api server的证书
--cloud-provider //如何从云服务读取相关元数据
--node-status-update-frequency //向api server报告的间隔时间,默认10s
1.2 Pod管理
- 非API Server方式创建的Pod称为Static Pod,Kubelet将Static Pod状态汇报给API Server,而后API Server为该Static Pod创建一个Mirror Pod与其相匹配
- Kubelet监听etcd中所有对Pod的操作
- Kubelet读取到创建和修改Pod任务处理:
- 为该Pod创建一个数据目录
- 从API Server读取该Pod清单
- 为该Pod挂载外部卷(Extenal Volume)
- 下载Pod用到的Secret
- 检查已经运行在节点中的Pod,如果Pod没有容器或Pause容器没有启动则停止Pod中所有容器进程。如果Pod中有需要删除的容器则删除
- 用Pause镜像为每个Pod创建一个容器,其用于接管Pod中所有其他容器的网络
- 为Pod中的每个容器做如下处理:
- 校验容器的hash值
- 如果容器被中止且容器没有指定restartPolicy则不做任何处理
- 调用Docker Client下载容器镜像,运行容器
1.3 容器健康检查
- LivenessProbe探针用于判断容器是否健康,如果不健康则Kubelet将删除该容器并根据重启策略进行处理,实现方式有:
- ExecAction:在容器内部执行一个命令如果命令退出状态码为0则容器健康
- TCPSocketAction:通过容器IP和端口执行TCP检测
- HTTPGetAction:通过容器IP和端口及路径调用HTTP Get方法,判断响应的状态码
- Readiness探针用于判断容器是否启动完成,且准备接受请求。如果检测失败则Pod状态将被修改,Endpoint Controller将从Service的Endpoint中删除包含该容器所在Pod的条目
2 安全机制原理
集群的安全性必须考虑如下几个目标:
- 保证容器与其所在宿主机的隔离
- 限制容器给基础设施及其他容器带来的消极影响的能力
- 最小权限原则——合理限制所有组件的权限
- 明确组件间边界的划分
- 划分普通用户和管理员用户
- 在必要时允许将管理员权限赋给普通用户
- 允许拥有Secret数据(Keys,Certs,Passwords)的应用在集群中运行
2.1 Authentication认证
Kubelet对API的调用使用如下方式:
- CA,使用HTTPS方式,在API Server启动参数
--client_ca_file=SOMEFILE设定CA的认证授权文件 - Token,通过API Server启动参数
--token_auth_file=SOMEFILE指定存储Token的文件。Token文件格式为一个包含三列的CSV文件,该文件第一列为Token,第二列为用户名,第三列为用户UID。同时访问时HTTP请求头中的Authorization域必须包含Bearer SOMETOKEN指定该用户的Token - HTTP Base,通过API Server启动参数
--basic_auth_file=SOMEFILE指定存储用户和密码的基本认证文件。该文件为CSV文件,第一列为密码,第二列为用户名,第三列为UID。HTTP请求头中的Authorization域必须包含Basic BASE64ENCODEDUSER:PASSWORD即base64加密后的用户名和密码
2.2 Authorization授权
- 授权(Authorization)是认证(Authentication)后的一个独立步骤,作用于API Server主要端口的所有HTTP访问
- 授权流程通过访问策略比较请求上下文属性,通过API访问资源之前必须通过访问策略进行校验,配置如下:
--authorization_mode=AlwaysDeny //表示拒绝所有请求
--authorization_mode=AlwaysAllow //接受所有请求
--authorization_mode=ABAC //使用用户配置的授权策略去管理访问API Server的请求,ABAC(Attribute-Based Access Control)基于属性的访问控制
-
Kubernetes中HTTP请求包含如下4个能被授权进程识别的属性:
- 用户名
- 是否是只读请求(REST中的GET操作均为只读)
- 被访问的是哪一类资源
- 被访问对象所属Namespace
-
如果请求中不带对应的某个属性则默认零值
-
选择ABAC模式则需要在API Server启动时设置
--authorization_polic_file=SOMEFIME指定授权策略的JSON文件,文件的每一行为一个JSON的Map对象且不包含List,主要包含以下属性:- user(用户名),字符串类型
- readonly,布尔型,为true时表示只接受GET访问
- resource,字符串来自于URL的资源
- namespace,字符串表明该策略允许访问的某个Namespace
-
授权文件中一个未设置的属性表示匹配HTTP请求中该属性的任何值
-
对请求的4个属性和授权文件的策略对象逐个匹配,如果至少有一个策略对象被匹配上则该请求被授权通过
2.3 Admission Control准入控制
用于拦截所有经过认证和鉴权后的访问API Server请求的可插入代码,这些插件运行在API Server进程中,每个Admission Control插件按照配置顺序执行,如果其中任意一个插件拒绝该请求,则API Server将拒绝请求
- 配置API Server启动参数
admission_control,该参数中加入需要的插件列表,逗号隔开
2.4 Secret私密凭据
主要作用是保管私密数据,如密码、OAuth Token、SSH Keys等,将这些私密信息放在Secret对象比直接放入Pod或Docker Image中要安全。
- 如果Pod指定了Service Account则该Pod自动添加包含凭证信息的Secrets,用于访问API Server和下载Image
apiVersion: v1
kind: Secret
metadata:
name: mysecret
type: Opaque
data: //全部是Base64编码值
password: 123 //Base64编码值
username: 123
-
Secret被使用的方式:
- 在创建Pod时通过为Pod指定Service Account来自动使用该Secret
- 通过挂载Secret到Pod,spec.volumes.secret指定
- 在创建Pod时,指定Pod的spec.ImagePullSecret来引用
-
目前Secret只支持API Server创建
-
在使用Mount方式挂载Secret时,容器中Secret的data域中的各个key值作为目录中的文件,value值被Base64编码后存储在相应的文件中
-
通过API Server创建Pod时不会校验引用的Secret是否存在,只有当Pod被调度时将试着去获取Secret,如果此时获取不到则将按一定时间间隔定期重试,并发送一个Event解释Pod没启动的原因
-
Secret包括Opaque、ServiceAccount和Dockercfg三种类型
2.5 Service Account
Service Account是多个Secret的集合,包含普通Secret用于访问API Server和imagePullSecret用于下载容器镜像
apiVersion: v1
kind: ServiceAccount
metadata:
name: myserviceaccount
secrets:
- kind: Secret
name: secret1
apiVersion: v1
- kind: Secret
name: secret2
apiVersion: v1
imagePullSecrets:
- name: secret1
- 如果创建Pod时没指定ServiceAccount则将在对应Namespace中制定一个名为default的ServiceAccount
