摘要:
基于角色的访问控制:RBAC RBAC(Role-Based Access Control,基于角色的访问控制)是一种新型、灵活且使用广泛的访问控制机制,它将权限授予 "角色"(role)之上。 一、RBAC授权插件 RBAC 是一种操作授权机制,用于界定 "谁"(subject)能够或不能够 "操 阅读全文
摘要:
X.509数字证书认证 Kubernetes 支持的 HTTPS 客户端证书认证、token 认证及 HTTP basic 认证几种认证方式中,基于 SSL/TLS 协议的客户端证书认证以其安全性高且易于实现等特性,而成为主要使用的认证方式之一。 SSL/TLS 最常见的使用场景是将 X.509 证 阅读全文
摘要:
服务帐号管理与应用(ServiceAccount) 运行过程中,Pod 资源里的容器进程在某些场景需要调用 Kubernetes API 或其他类型的服务,而这些服务通常需要认证客户端身份,如调度器、Pod控制器或节点控制器,甚至是获取启动容器的镜像访问的私有仓库 Harbor 服务等。 服务帐号就 阅读全文
摘要:
访问控制 在用户租户的系统上,认证和授权都是两个必不可少的功能。认证用于身份鉴别,授权是用于实现权限分派。 Kubernetes 以插件化方式实现了这两种功能,且分别存在多种可用的插件。 API Server 是 Kubernetes 集群系统的唯一网关入口,像 kube-controller-ma 阅读全文
摘要:
StatefulSet控制器——案例:etcd集群 Kubernetes 的所有对象都需要持久化存储于 etcd 存储系统中,以确保系统重启或故障恢复后能将它们予以还原。 一、创建 Service 资源 StatefulSet 资源依赖于 Headless Service 为各 Pod 资源提供名称 阅读全文
摘要:
Pod 常见状态 一、Pod 状态(第一阶段) 1)Pending Pod已经被创建,但还没有完成调度,或者说有一个或多个镜像正处于从远程仓库下载的过程。处在这个阶段的 Pod 可能正在写数据到 etcd 中、调度、pull镜像或启动容器。 2)Running 该 Pod 已经绑定到了一个节点上,P 阅读全文
摘要:
金丝雀部署 StatefulSet 控制器的资源 一、金丝雀部署 将处于暂存状态的更新操作的 partition 定位于 Pod 资源的最大索引号,即可放出一只金丝雀,由其测试第一轮的更新操作,在确认无误后通过修改 partition 属性的值更新其他的 Pod 对象是一种更为稳妥的更新操作。 St 阅读全文
摘要:
StatefulSet资源升级 自 Kubernetes 1.7 版本起,StatefulSet 资源支持自动更新机制,其更新策略由 spec.updateStrategy 字段定义,默认为 RollingUpdate,即滚动更新。 一、滚动更新操作 滚动更新 StatefulSet 控制器的 Po 阅读全文
摘要:
StatefulSet资源扩缩容 StatefulSet 资源的扩缩容与 Deployment 资源相似,即通过修改资源的副本数来改动其目标 Pod 资源数量。 对 StatefulSet 资源来说,kubectl scale 和 kubectl path 命令均可实现此功能,也可以使用 kubec 阅读全文
摘要:
StatefulSet控制器 应用程序存在 "有状态" 和 "无状态" 两种类别。Kubernetes 系统中,Deployment、ReplicaSet 和 DaemonSet 等常用于管理无状态应用,但实际情况,应用本身是分布式的集群,也有不少有状态的应用,下面我们聊聊 "有状态" 应用的管理。 阅读全文