随笔分类 - k8s
摘要:imagePolicyWebhook imagePolicyWebhook是一个评估image的准入控制器。需要启动一个https的服务来执行该动作 【功能实践】 为webhook 生成ssl 证书 生成server.csr 和 server-key.pem cat <<EOF | cfssl ge
阅读全文
摘要:在 Kubernetes 中,审计(Audit)和事件(Event)是两种不同的日志记录机制,它们各自有不同的用途和特性: 审计(Audit): 目的:审计日志主要用于记录和监控集群中发生的安全相关事件,如用户操作、API 请求、权限变更等。审计日志有助于满足合规性要求,进行安全审计和事后分析。 内
阅读全文
摘要:AppArmor 【简介】 apparmor 是linux内核安全功能,可用于限制容器对资源的使用。 例如:容器使用linux内核能力,容器使用网络能力,容器对文件系统读写权限 等。 apparmor一条规则称为一个profile。profile可以 enforcing 或 complain模式运行
阅读全文
摘要:APIServer 请求认证流程 graph LR A[authrization] B[authtication] C[admission] D[audit] A -->|认证| B -->|鉴权| C -->|准入控制| D -.->|审计|C 审计日志 按照时间顺序记录了每个用户操作记录,并可以
阅读全文
摘要:### downwardAPI > 把pod和containers 的信息挂载到容器中 通过变量传递 **fieldRef** | | 可用字段 | 注释 | | | | | | node级别 | `spec.nodeName` | | | | `status.hostIP` | | | pod级别
阅读全文
摘要:k8s Events 有两种方法可以查看 K8s 中的事件: kubectl describe pod kubectl get events 5 款强大的 Kubernetes Events 收集与检索工具 - 知乎 (zhihu.com) 5 款强大的 Kubernetes Events 收集与检
阅读全文
摘要:cri container runtime interface --> docker containerd oci open container interfac 实现了cri 与操作系统的联动 cni container network interface csi container storag
阅读全文
摘要:查看名称空间 curl -s 127.0.0.1:8001/api/v1/namespaces/ |jq .items[].metadata.name curl -s 127.0.0.1:8001/api/v1/namespaces/default|jq .metadata.name 查看pod c
阅读全文
摘要:# [CoreDNS](https://coredns.io/manual/toc/) coredns 是使用go语言实现的DNS,他不同于其他dns服务(例如bind),他是灵活的(flexible)大部分功能通过插件完成。 开源协议Apache2.0 ### 安装 ```bash wget ht
阅读全文
摘要:secret Secret 类似于 ConfigMap 但专门用于保存机密数据。每个 Secret 的尺寸最多为 1MiB,不可以在静态 Pod 中使用 ConfigMap 或 Secret。 类型 Kubernetes 提供若干种内置的类型,用于一些常见的使用场景。 针对这些类型,Kubernet
阅读全文
摘要:静态pod 静态pod是有kubelet直接管理的,kube-apiserver 可以看到静态pod,但是无法管理静态pod 静态pod始终绑定到特定节点 静态 Pod 的 spec 不能引用其他 API 对象 创建静态pod 第一步:创建一个目录文件 mkdir -p /etc/kubernete
阅读全文
摘要:问题1 [root@ceph ~]# kubectl get cs Warning: v1 ComponentStatus is deprecated in v1.19+ NAME STATUS MESSAGE ERROR controller-manager Unhealthy Get "http
阅读全文
摘要:zookeeper 总览 zookeeper 快速开始 zookeeper 管理员手册 dockerfile FROM 1209233066/jre:1.8.0_281 LABEL Name=zookeeper Version=3.4.13 ADD https://archive.apache.or
阅读全文
摘要:Ceph 同时提供块块存储、cephfs给k8s使用,在k8s各节点安装ceph客户端工具ceph-common 试验步骤 1.创建存储池 ceph osd pool create kubernetes 32 32 2.为存储池开启rbd功能 ceph osd pool application en
阅读全文
摘要:目录emptyDirhostPath nfspv 和 pvcStorageClass 类型 特性 configMap secret downWardAPI emptyDir hostPath nfs pvc 存储资源实现pod间数据的共享和持久化 emptyDir emptyDir,容器启动时在/v
阅读全文
摘要:目录安装kubectlkubectl runkubectl 自定义插件KubeCM 安装kubectl kubectl 版本和集群版本之间的差异必须在一个小版本号内。 例如:v1.32 版本的客户端能与 v1.31、 v1.32 和 v1.33 版本的控制面通信 安装 curl -LO https:
阅读全文
摘要:https://landscape.cncf.io/
阅读全文
摘要:Apollo 架构图 组件 名称 功能说明 接口服务对象 Portal 提供Web界面供用户管理配置 配置管理员 AdminService 提供配置管理接口 Portal ConfigService 提供配置获取接口 Apollo客户端程序 Eureka Config Service和Admin S
阅读全文
摘要:网络策略基于ip和端口控制流量(OSI 第 3 层或第 4 层)),NetworkPolicy 适用于一端或两端与 Pod 的连接,与其他连接无关。 需要依赖cni 网络插件,calico 通过自定义k8s 资源支持网络策略 配置文件 第一步:配置文件结构 字段 释义 举例 apiversion a
阅读全文
摘要:Ingress ingress-nginx 部署ingress-nginx 控制器 kubectl apply -f https://raw.githubusercontent.com/kubernetes/ingress-nginx/controller-v1.0.4/deploy/static/
阅读全文
