外贸英文网站建设,wordpress 如何删除主题,佛山网站制作系统,网站后缀有什么区别一 service管理
1 概述
容器化带来的问题
自动调度#xff1a;在 Pod 创建之前#xff0c;用户无法预知 Pod 所在的节点#xff0c;以及 Pod的IP 地址一个已经存在的 Pod 在运行过程中#xff0c;如果出现故障#xff0c;Pod也会在新的节点使用新的IP 进行部署应用程…一 service管理
1 概述
容器化带来的问题
自动调度在 Pod 创建之前用户无法预知 Pod 所在的节点以及 Pod的IP 地址一个已经存在的 Pod 在运行过程中如果出现故障Pod也会在新的节点使用新的IP 进行部署应用程序访问服务的时候地址也不能经常变换多个相同的 Pod 如何访问他们上面的服务
Service 就是解决这些问题的方法
2 服务的自动感知
服务会创建一个 clusterIP 这个地址对应资源地址不管pod 如何变化服务总能找到对应的 Pod且clusterIP保持不变
3 服务的负载均衡
如果服务后端对应多个 Pod则会通过 IPTables/LVS 规则将访问的请求最终映射到 Pod 的容器内部自动在多个容器间实现负载均衡
4 服务的自动发现
服务创建时会自动在内部 DNS 上注册域名
域名服务名称.名称空间.svc.cluster.local
二 clusterIP 服务
1 概述
默认的 ServiceType通过集群的内部 IP 暴露服务选择该值时服务只能够在集群内部访问。 2 创建服务
# 资源对象模板
[rootmaster ~]# kubectl create service clusterip mysvc --tcp80:80 --dry-runclient -o yaml
[rootmaster ~]# vim mysvc.yaml
---
kind: Service # 资源对象类型
apiVersion: v1 # 版本
metadata: # 元数据name: mysvc # 资源对象名称
spec: # 详细信息type: ClusterIP # 服务类型selector: # 选择算符app: web # Pod标签ports: # 端口- protocol: TCP # 协议port: 80 # 监听的端口targetPort: 80 # 后端服务端口********************************************
selector: app: web # 引用标签
********************************************
3 域名自动注册
[rootmaster ~]# kubectl apply -f mysvc.yaml
service/mysvc created
[rootmaster ~]# kubectl get service
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
kubernetes ClusterIP 10.245.0.1 none 443/TCP 2d18h
mysvc ClusterIP 10.245.5.18 none 80/TCP 8s
4 解析域名
# 安装工具软件包
[rootmaster ~]# dnf install -y bind-utils
# 查看 DNS 服务地址
[rootmaster ~]# kubectl -n kube-system get service kube-dns
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
kube-dns ClusterIP 10.245.0.10 none 53/UDP,53/TCP,9153/TCP 3d10h
# 域名解析测试
[rootmaster ~]# host mysvc.default.svc.cluster.local 10.245.0.10
Using domain server:
Name: 10.245.0.10
Address: 10.245.0.10#53
Aliases: mysvc.default.svc.cluster.local has address 10.245.5.18
5 创建后端应用
[rootmaster ~]# vim myweb.yaml
---
kind: Pod
apiVersion: v1
metadata:name: web1labels:app: web # 服务靠标签寻找后端,定义标签
spec:containers:- name: apacheimage: myos:httpd
6 服务自动感知
[rootmaster ~]# kubectl apply -f myweb.yaml
pod/web1 created
[rootmaster ~]# curl http://10.245.5.18
Welcome to The Apache.
7 服务的负载均衡
[rootmaster ~]# sed s,web1,web2, myweb.yaml |kubectl apply -f -
pod/web2 created
[rootmaster ~]# sed s,web1,web3, myweb.yaml |kubectl apply -f -
pod/web3 created
[rootmaster ~]# curl -s http://10.245.5.18/info.php |grep php_host
php_host: web1
[rootmaster ~]# curl -s http://10.245.5.18/info.php |grep php_host
php_host: web2
[rootmaster ~]# curl -s http://10.245.5.18/info.php |grep php_host
php_host: web3
8 服务的工作原理
-kube-proxy是在所有节点上运行的代理。可以实现简单的数据转发可以设置更新 IPTables/LVS 规则在服务创建时还提供服务地址DNS自动注册与服务发现功能 9 使用服务固定IP
ClusterIP 是随机分配的如果想使用固定IP可以自定义但 IP 的范围必须符合服务的 CIDR
[rootmaster ~]# vim mysvc.yaml
---
kind: Service
apiVersion: v1
metadata:name: mysvc
spec:type: ClusterIPclusterIP: 10.245.1.80 # 可以设置 ClusterIP固定IPselector:app: webports:- protocol: TCPport: 80targetPort: 80 [rootmaster ~]# kubectl delete service mysvc
service mysvc deleted
[rootmaster ~]# kubectl apply -f mysvc.yaml
service/mysvc created
[rootmaster ~]# kubectl get service
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
kubernetes ClusterIP 10.245.0.1 none 443/TCP 2d18h
mysvc ClusterIP 10.245.1.80 none 80/TCP 65s
端口别名
[rootmaster ~]# kubectl delete pod --all
pod web1 deleted
pod web2 deleted
pod web3 deleted
[rootmaster ~]# vim mysvc.yaml
---
kind: Service
apiVersion: v1
metadata:name: mysvc
spec:type: ClusterIPclusterIP: 10.245.1.80selector:app: webports:- protocol: TCPport: 80targetPort: myhttp # 使用别名查找后端服务端口[rootmaster ~]# kubectl apply -f mysvc.yaml
service/mysvc configured[rootmaster ~]# vim myweb.yaml
---
kind: Pod
apiVersion: v1
metadata:name: web1labels:app: web
spec:containers:- name: apacheimage: myos:httpdports: # 配置端口规范- name: myhttp # 端口别名protocol: TCP # 协议containerPort: 80 # 端口号[rootmaster ~]# kubectl apply -f myweb.yaml
pod/web1 created
[rootmaster ~]# curl http://10.245.1.80
Welcome to The Apache.
10 服务排错
服务 web123 的使用 web1作为后端提供 Cluster IP 服务
---
kind: Service
apiVersion: v1
metadata:name: web123
spec:type: ClusterIPclusterIP: 192.168.1.88selector:app: apacheports:- protocol: TCPport: 80targetPort: web
三 对外发布应用
1 发布服务
clusterIP 服务可以解决集群内应用互访的问题但外部的应用无法访问集群内的资源某些应用需要访问集群内的资源我们就需要对外发布服务
2 服务类型
clusterIP默认类型可以实现 Pod的自动感知与负载均衡是最核心的服务类型但 clusterIP 不能对外发布服务如果想对外发布服务可以使用 NodePort 或 IngressNodePort使用基于端口映射(默认值:30000-32767)的方式对外发布服务可以发布任意服务 (四层)Ingress使用Ingress 控制器(一般由 Nginx 或 HAProxy 构成)用来发布 http、https 服务 (七层)
四 nodePort 服务 对外发布服务
[rootmaster ~]# cp -a mysvc.yaml mysvc1.yaml
[rootmaster ~]# vim mysvc1.yaml
---
kind: Service
apiVersion: v1
metadata:name: mysvc1
spec:type: NodePort # 服务类型selector:app: webports:- protocol: TCPport: 80nodePort: 30080 # 映射端口号targetPort: myhttp[rootmaster ~]# kubectl apply -f mysvc1.yaml
service/mysvc configured
[rootmaster ~]# kubectl get service
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
kubernetes ClusterIP 10.245.0.1 none 443/TCP 5d18h
mysvc ClusterIP 10.245.1.80 none 80/TCP 17m
mysvc1 NodePort 10.245.1.88 none 80:30080/TCP 7s[rootmaster ~]# curl http://node-0001:30080
Welcome to The Apache.
[rootmaster ~]# curl http://node-0002:30080
Welcome to The Apache.
[rootmaster ~]# curl http://node-0003:30080
Welcome to The Apache.
[rootmaster ~]# curl http://node-0004:30080
Welcome to The Apache.
[rootmaster ~]# curl http://node-0005:30080
Welcome to The Apache.
五 Ingress 服务
1 概述
Ingress 公开从集群外部到集群内服务的 HTTP 和 HTTPS路由。流量路由由 Ingress 资源上定义的规则控制。
Ingress 控制器通常由负载均衡器来实现 (Nginx、HAProxy) 2 安装控制器
安装Ingress 控制器
Ingress 服务由规则 控制器组成规则负责制定策略控制器负责执行如果没有控制器单独设置规则无效
获取控制器镜像及资源文件的地址: https://github.com/kubernetes/ingress-nginx
# 导入镜像到私有仓库
[rootmaster ~]# cd plugins/ingress
[rootmaster ingress]# docker load -i ingress.tar.xz
[rootmaster ingress]# docker images|while read i t _;do[[ ${t} TAG ]] continue[[ ${i} ~ ^harbor:443/. ]] continuedocker tag ${i}:${t} harbor:443/plugins/${i##*/}:${t}docker push harbor:443/plugins/${i##*/}:${t}docker rmi ${i}:${t} harbor:443/plugins/${i##*/}:${t}
done# 安装控制器
[rootmaster ingress]# sed -ri s,^(\s*image: )(.*/)?(.).*,\1harbor:443/plugins/\3, deploy.yaml
458: image: harbor:443/plugins/controller:v1.5.1
565: image: harbor:443/plugins/kube-webhook-certgen:v20220916-gd32f8c343
614: image: harbor:443/plugins/kube-webhook-certgen:v20220916-gd32f8c343[rootmaster ingress]# kubectl apply -f deploy.yaml# 通过标签指定在那台机器上发布应用
[rootmaster ingress]# kubectl label nodes node-0001 ingress-readytrue
node/node-0001 labeled
[rootmaster ingress]# kubectl -n ingress-nginx get pods
NAME READY STATUS RESTARTS AGE
ingress-nginx-admission-create--1-lm52c 0/1 Completed 0 29s
ingress-nginx-admission-patch--1-sj2lz 0/1 Completed 0 29s
ingress-nginx-controller-5664857866-tql24 1/1 Running 0 29s
3 验证后端服务
[rootmaster ~]# kubectl get pods,services
NAME READY STATUS RESTARTS AGE
pod/web1 1/1 Running 0 35mNAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
service/kubernetes ClusterIP 10.245.0.1 none 443/TCP 31h
service/mysvc ClusterIP 10.245.1.80 none 80/TCP 34m
service/mysvc1 NodePort 10.245.1.88 none 80:30080/TCP 8s[rootmaster ~]# curl http://10.245.1.80
Welcome to The Apache.
4 配置 ingress 规则对外发布服务
[rootmaster ~]# kubectl get ingressclasses.networking.k8s.io
NAME CONTROLLER PARAMETERS AGE
nginx k8s.io/ingress-nginx none 5m7s# 资源对象模板
[rootmaster ~]# kubectl create ingress mying --classnginx --rulensd.tedu.cn/*mysvc:80 --dry-runclient -o yaml
[rootmaster ~]# vim mying.yaml
---
kind: Ingress # 资源对象类型
apiVersion: networking.k8s.io/v1 # 资源对象版本
metadata: # 元数据name: mying # 资源对象名称
spec: # 资源对象定义ingressClassName: nginx # 使用的类的名称rules: # ingress 规则定义- host: nsd.tedu.cn # 域名定义没有可以不写http: # 协议paths: # 访问的路径定义- backend: # 后端服务service: # 服务声明name: mysvc # 服务名称port: # 端口号声明number: 80 # 访问服务的端口号path: / # 访问的 url 路径pathType: Prefix # 路径的类型Exact、Prefix# 发布服务
[rootmaster ~]# kubectl apply -f mying.yaml
ingress.networking.k8s.io/mying created
[rootmaster ~]# kubectl get ingress
NAME CLASS HOSTS ADDRESS PORTS AGE
mying nginx nsd.tedu.cn 192.168.1.51 80 70s# 访问验证
[rootmaster ~]# curl -H Host: nsd.tedu.cn http://192.168.1.51
Welcome to The Apache.
六 web管理插件
Dashboard
1 概述
Dashboard 是基于网页的 Kubernetes 用户界面
Dashboard 同时展示了 Kubernetes集群中的资源状态信息和所有报错信息
你可以使用 Dashboard 将应用部署到集群中也可以对容器应用排错还能管理集群资源。例如你可以对应用弹性伸缩、发起滚动升级、重启等等
Dashboard 官网地址https://github.com/ kubernetes/dashboard
2 安装Dashboard
[rootmaster ~]# cd plugins/dashboard
[rootmaster dashboard]# docker load -i dashboard.tar.xz
[rootmaster dashboard]# docker images|while read i t _;do[[ ${t} TAG ]] continue[[ ${i} ~ ^harbor:443/. ]] continuedocker tag ${i}:${t} harbor:443/plugins/${i##*/}:${t}docker push harbor:443/plugins/${i##*/}:${t}docker rmi ${i}:${t} harbor:443/plugins/${i##*/}:${t}
done
[rootmaster dashboard]# sed -ri s,^(\s*image: )(.*/)?(.),\1harbor:443/plugins/\3, recommended.yaml
193: image: harbor:443/plugins/dashboard:v2.7.0
278: image: harbor:443/plugins/metrics-scraper:v1.0.8
[rootmaster dashboard]# kubectl apply -f recommended.yaml
[rootmaster dashboard]# kubectl -n kubernetes-dashboard get pods
NAME READY STATUS RESTARTS AGE
dashboard-metrics-scraper-66f6f56b59-b42ng 1/1 Running 0 67s
kubernetes-dashboard-65ff57f4cf-lwtsk 1/1 Running 0 67s
3 发布Dashboard服务
# 查看服务状态
[rootmaster dashboard]# kubectl -n kubernetes-dashboard get service
NAME TYPE CLUSTER-IP PORT(S) AGE
dashboard-metrics-scraper ClusterIP 10.245.205.236 8000/TCP 1m50s
kubernetes-dashboard ClusterIP 10.245.215.40 443/TCP 1m51s
# 获取服务资源对象文件
[rootmaster dashboard]# sed -n 30,45p recommended.yaml dashboard-svc.yaml
[rootmaster dashboard]# vim dashboard-svc.yaml
---
kind: Service
apiVersion: v1
metadata:labels:k8s-app: kubernetes-dashboardname: kubernetes-dashboardnamespace: kubernetes-dashboard
spec:type: NodePortports:- port: 443nodePort: 30443targetPort: 8443selector:k8s-app: kubernetes-dashboard[rootmaster dashboard]# kubectl apply -f dashboard-svc.yaml
service/kubernetes-dashboard configured
[rootmaster dashboard]# kubectl -n kubernetes-dashboard get service
NAME TYPE CLUSTER-IP PORT(S) AGE
dashboard-metrics-scraper ClusterIP 10.245.205.236 8000/TCP 5m50s
kubernetes-dashboard NodePort 10.245.215.40 443:30443/TCP 5m51s
通过浏览器访问 Dashboard 登录页面 七 服务账号与权限
1 用户概述
1 用户认证
所有 Kubernetes 集群都有两类用户:由 Kubernetes 管理的服务账号和普通用户。
普通用户是以证书或秘钥形式签发主要用途是认证和鉴权集群中并不包含用来代表普通用户账号的对象普通用户的信息无法调用和查询。
服务账号是 Kubernetes API 所管理的用户。它们被绑定到特定的名字空间与一组 Seret 凭据相关联供 Pod 调用以获得相应的授权。
2 创建 ServiceAccount 服务账号
# 资源对象模板
[rootmaster ~]# kubectl -n kubernetes-dashboard create serviceaccount kube-admin --dry-runclient -o yaml
[rootmaster ~]# vim admin-user.yaml
---
kind: ServiceAccount
apiVersion: v1 # 版本
metadata: # 资源对象类型name: kube-admin # ServiceAccountnamespace: kubernetes-dashboard # 名称空间[rootmaster ~]# kubectl apply -f admin-user.yaml
serviceaccount/kube-admin created
[rootmaster ~]# kubectl -n kubernetes-dashboard get serviceaccounts
NAME SECRETS AGE
default 0 16m
kube-admin 0 11s
kubernetes-dashboard 0 16m
3 获取用户token
[rootmaster ~]# kubectl -n kubernetes-dashboard create token kube-admin
Base64 编码的令牌数据 2 权限管理
1 角色与鉴权
如果想访问和管理 kubernetes 集群就要对身份以及权限做验证kubernetes 支持的鉴权模块有 Node、RBAC、ABAC、Webhook AP
Node:一种特殊用途的鉴权模式专门对 kubelet 发出的请求进行鉴权。RBAC:是一种基于组织中用户的角色来控制资源使用的方法ABAC:基于属性的访问控制是一种通过将用户属性与权限组合在一起像用户授权的方法Webhook是一个HTTP回调
2 普通角色授权
# 查询当前集群使用的鉴权方法
[rootmaster ~]# kubectl cluster-info dump |grep authorization-mode--authorization-modeNode,RBAC,# 资源对象模板
[rootmaster ~]# kubectl -n default create role myrole --resourcepods --verbget,list --dry-runclient -o yaml
[rootmaster ~]# kubectl -n default create rolebinding kube-admin-role --rolemyrole --serviceaccountkubernetes-dashboard:kube-admin --dry-runclient -o yaml
[rootmaster ~]# vim myrole.yaml
---
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:name: myrolenamespace: default
rules:
- apiGroups:- resources:- podsverbs:- get- list---
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata: name: kube-admin-role # 授权名称namespace: default
roleRef: # 关联权限apiGroup: rbac.authorization.k8s.io # 角色对象组kind: Role # 角色对象name: myrole # 角色名称
subjects: # 授权信息
- kind: ServiceAccount # 账户资源对象name: kube-admin # 账户名称namespace: kubernetes-dashboard # 账户所在的名称空间[rootmaster ~]# kubectl apply -f myrole.yaml
role.rbac.authorization.k8s.io/myrole created
rolebinding.rbac.authorization.k8s.io/kube-admin-role created[rootmaster ~]# kubectl delete -f myrole.yaml
role.rbac.authorization.k8s.io myrole deleted
rolebinding.rbac.authorization.k8s.io kube-admin-role deleted
3 RBAC 授权
RBAC 声明了四种 Kubernetes 对象
Role:用来在某一个名称空间内创建授权角色创建 Role时必须指定所属的名字空间的名ClusterRole:可以和 Role 相同完成授权。但属于集群范围对所有名称空间有效。RoleBinding:是将角色中定义的权限赋予一个或者一组用户可以使用 Role或ClusterRole 完成授权。ClusterRoleBinding 在集群范围执行授权对所有名称空间有效只能使用 clusterRole 完成授权
4 资源对象角色与作用域 5 资源对象权限 6 自定义权限
---
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:name: myrole # 角色名称namespace: default
rules: # 规则
- apiGroups: # 资源对象所属组信息- # 分组信息resources: # 要设置权限的资源对象- pods # 授权资源对象名称verbs: # 权限设置- get # 权限- list # 权限
7 集群管理员权限
[rootmaster ~]# kubectl get clusterrole
NAME CREATED AT
admin 2022-06-24T08:11:17Z
cluster-admin 2022-06-24T08:11:17Z
... ...# 资源对象模板
[rootmaster ~]# kubectl create clusterrolebinding kube-admin-role --clusterrolecluster-admin --serviceaccountkubernetes-dashboard:kube-admin --dry-runclient -o yaml
[rootmaster ~]# vim admin-user.yaml
---
kind: ServiceAccount
apiVersion: v1
metadata:name: kube-adminnamespace: kubernetes-dashboard---
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:name: kube-admin-role
roleRef:apiGroup: rbac.authorization.k8s.iokind: ClusterRolename: cluster-admin
subjects:
- kind: ServiceAccountname: kube-adminnamespace: kubernetes-dashboard[rootmaster ~]# kubectl apply -f admin-user.yaml
serviceaccount/kube-admin unchanged
clusterrolebinding.rbac.authorization.k8s.io/kube-admin-role created
