随笔分类 - Docker
摘要:Kubernetes RBAC授权普通用户对命名空间访问权限 官方文档:https://www.cnblogs.com/xiangsikai/p/11413970.html
阅读全文
摘要:Kubernetes 安全框架 API 认证三关 • 访问K8S集群的资源需要过三关:认证、鉴权、准入控制• 普通用户若要安全访问集群API Server,往往需要证书、Token 或者用户名+密码;Pod访问,需要ServiceAccount• K8S安全控制框架主要由下面3个阶段进行控制,每一个
阅读全文
摘要:Kubernetes configMap(配置文件存储) 官方文档:https://kubernetes.io/docs/tasks/configure-pod-container/configure-pod-configmap/ 与Secret类似,区别在于ConfigMap保存的是不需要加密配置
阅读全文
摘要:Kubernetes Secret(机密存储) 官方文档:https://kubernetes.io/docs/concepts/configuration/secret/ 加密数据并存放Etcd中,让Pod的容器以挂载Volume方式访问。 应用场景:凭据 通过文本文件创建用户密码 1、创建用户名
阅读全文
摘要:Kubernetes 动态PV使用 Kubernetes支持动态供给的存储插件:https://kubernetes.io/docs/concepts/storage/storage-classes/ Dynamic Provisioning机制工作的核心在于StorageClass的API对象。
阅读全文
摘要:Kubernetes 静态PV使用 Kubernetes支持持久卷的存储插件:https://kubernetes.io/docs/concepts/storage/persistent-volumes/ 缺点:手动创建pv比较繁琐、不适合大工程 优点:小规模使用方便灵活 1、创建pvc yaml文
阅读全文
摘要:Kubernetes PV与PVC的关系 PersistenVolume(PV):对存储资源创建和使用的抽象,使得存储作为集群中的资源管理,分为有静态与动态。PersistentVolumeClaim(PVC):让用户不需要关心具体的Volume实现细节 PV:提供者、提供存储容量PVC:消费者、消
阅读全文
摘要:Kubernetes Job与CronJob(离线业务) Job Job分为普通任务(Job) 一次性执行 应用场景:离线数据处理,视频解码等业务 官方文档:https://kubernetes.io/docs/concepts/workloads/controllers/jobs-run-to-c
阅读全文
摘要:Kubernetes DaemonSet(部署守护进程) • 在每一个Node上运行一个Pod• 新加入的Node也同样会自动运行一个Pod 应用场景:Agent 官方文档:https://kubernetes.io/docs/concepts/workloads/controllers/daemo
阅读全文
摘要:Kubernetes SatefulSet(有状态应用部署) • 部署有状态应用• 解决Pod独立生命周期,保持Pod启动顺序和唯一性1. 稳定,唯一的网络标识符,持久存储2. 有序,优雅的部署和扩展、删除和终止3. 有序,滚动更新 应用场景:数据库 说明 常规的serviceservice:一组p
阅读全文
摘要:Kubernetes Deployment(部署无状态应用) Pod与controllers的关系 • controllers:在集群上管理和运行容器的对象 • 通过label-selector相关联 • Pod通过控制器实现应用的运维,如伸缩,升级等 Deployment • 部署无状态应用 •
阅读全文
摘要:Kubernetes 有状态与无状态介绍 无状态:deployment - 认为所有pod都是一样的,不具备与其他实例有不同的关系。 - 没有顺序的要求。 - 不用考虑再哪个Node运行。 - 随意扩容缩容。 有状态:SatefulSet - 集群节点之间的关系。 - 数据不完全一致。 - 实例之间
阅读全文
摘要:Kubernetes Ingress 部署 Pod与Ingress的关系• 通过service相关联• 通过Ingress Controller实现Pod的负载均衡- 支持TCP/UDP 4层和HTTP 7层 Ingress Controller访问流程用户访问 --> Ingress Contro
阅读全文
摘要:Kubernetes 部署集群内部DNS服务 部署官网:https://github.com/kubernetes/kubernetes/tree/master/cluster/addons/dns/coredns 为服务提供名称域名的访问。 - DNS服务监视Kubernetes API,为每一个
阅读全文
摘要:Kubernetes service 代理模式 底层流量转发与负载均衡实现:• Iptables(默认)• IPVS IPVS 了解代理模式之IPVS工作原理LVS 基于 IPVS内核调度模块实现的负载均衡。 # 查看路由对应关系 , 需要先下载ipvsadm工具ipvsadm -ln 注:内核态处
阅读全文
摘要:Kubernetes service 三种类型 • ClusterIP:默认,分配一个集群内部可以访问的虚拟IP(VIP)• NodePort:在每个Node上分配一个端口作为外部访问入口• LoadBalancer:工作在特定的Cloud Provider上,例如Google Cloud,AWS,
阅读全文
摘要:Kubernetes service 使用定义 介绍说明 • 防止Pod失联• 定义一组Pod的访问策略• 支持ClusterIP,NodePort以及LoadBalancer三种类型• Service的底层实现主要有Iptables和IPVS二种网络模式 Pod与Service的关系 • 通过la
阅读全文
摘要:Kubernetes Pod 调度约束 可以将pod调度到指定的节点Node内 默认:根据节点资源利用率等分配Node节点。 nodeName用于将Pod调度到指定的Node名称上 nodeSelector用于将Pod调度到匹配Label的Node上 工作流程K8s通过watch实现组件工作。1、管
阅读全文
摘要:Kubernetes Pod 资源限制 官方文档:https://kubernetes.io/docs/concepts/configuration/manage-compute-resources-container/ Pod和Container的资源请求和限制:• spec.containers
阅读全文
