免费网站服务器安全,中企动力科技股份有限公司深圳分公司,企业官网推广,网站建设教程免费下载文章目录 服务管理Service服务原理ClusterIP服务 对外发布应用服务类型NodePort服务Ingress安装配置Ingress规则 Dashboard概述 认证和授权ServiceAccount用户概述创建ServiceAccount 权限管理角色与授权 服务管理
Service
服务原理
容器化带来的问题
自动调度#xff1a;… 文章目录 服务管理Service服务原理ClusterIP服务 对外发布应用服务类型NodePort服务Ingress安装配置Ingress规则 Dashboard概述 认证和授权ServiceAccount用户概述创建ServiceAccount 权限管理角色与授权 服务管理
Service
服务原理
容器化带来的问题
自动调度在Pod创建之前用户无法预知Pod所在的节点以及Pod的IP地址一个已经存在的Pod在运行过程中如果出现故障Pod也会在新的节点使用新的IP进行部署应用程序访问服务的时候地址也不能经常变换多个相同的Pod如何访问他们上面的服务
Service就是解决这些问题的办法服务的自动感知
服务会创建一个clusterIP这个地址对应资源地址不管Pod如何变化服务总能找到对应的Pod且clusterIP保持不变 服务的负载均衡
如果服务后端对应多个Pod则会通过IPTables/LVS规则将访问的请求最终映射到Pod内部自动在多个容器间实现负载均衡
服务的自动发现
服务创建时会自动在内部DNS上注册域名域名[服务名称].[名称空间].svc.cluster.local
创建服务[rootmaster ~] kubectl create service clusterip websvc --tcp80:80 --dry-runclient -o yaml # 资源清单文件
[rootmaster ~] vim websvc.yaml
---
kind: Service
apiVersion: v1
metadata:name: websvc
spec:type: ClusterIPselector:app: webports:- protocol: TCPport: 80targetPort: 80[rootmaster ~] kubectl apply -f websvc.yaml
service/websvc created
[rootmaster ~] kubectl get service
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S)
kubernetes ClusterIP 10.245.0.1 none 443/TCP
websvc ClusterIP 10.245.5.18 none 80/TCP创建后端应用
[rootmaster ~] vim web1.yaml
---
kind: Pod
apiVersion: v1
metadata:name: web1labels:app: web # 服务靠标签寻找后端
spec:containers:- name: apacheimage: myos:httpd[rootmaster ~] kubectl apply -f web1.yaml
pod/web1 created
[rootmaster ~] curl http://10.245.5.18
Welcome to The Apache.
ClusterIP服务
ClusterIP类型
默认的ServiceType通过集群的内部IP暴露服务选择该值时服务只能够在集群内部访问
域名自动注册
解析域名
[rootmaster ~] dnf install -y bind-utils# 安装工具软件包
# 查看 DNS 服务地址
[rootmaster ~] kubectl -n kube-system get service kube-dns
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S)
kube-dns ClusterIP 10.245.0.10 none 53/UDP,53/TCP,9153/TCP
# 域名解析测试
[rootmaster ~] host websvc.default.svc.cluster.local 10.245.0.10
Using domain server:
Name: 10.245.0.10
Address: 10.245.0.10#53
Aliases: websvc.default.svc.cluster.local has address 10.245.5.18服务自动感知
[rootmaster ~] kubectl delete pods --all
pod web1 deleted
[rootmaster ~] kubectl create -f web1.yml
pod/web11 created
[rootmaster ~] curl 10.245.167.50 #删除Pod后访问CLUSTER-IP仍能收到响应
Welcome to The Apache.负载均衡
[rootmaster ~] sed s,web1,web2, web1.yaml |kubectl apply -f -
pod/web2 created
[rootmaster ~] sed s,web1,web3, web1.yaml |kubectl apply -f -
pod/web3 created
[rootmaster ~] curl -s http://10.245.5.18/info.php |grep php_host
php_host: web1
[rootmaster ~] curl -s http://10.245.5.18/info.php |grep php_host
php_host: web2
[rootmaster ~] curl -s http://10.245.5.18/info.php |grep php_host
php_host: web3固定 IP 服务
[rootmaster ~] vim websvc.yaml
---
kind: Service
apiVersion: v1
metadata:name: websvc
spec:type: ClusterIPclusterIP: 10.245.1.80 # 可以设置 ClusterIPselector:app: webports:- protocol: TCPport: 80targetPort: 80[rootmaster ~] kubectl replace --force -f websvc.yaml
service websvc deleted
service/websvc replaced
[rootmaster ~] kubectl get service
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S)
kubernetes ClusterIP 10.245.0.1 none 443/TCP
websvc ClusterIP 10.245.1.80 none 80/TCP端口别名
[rootmaster ~] vim websvc.yaml
---
kind: Service
apiVersion: v1
metadata:name: websvc
spec:type: ClusterIPclusterIP: 10.245.1.80selector:app: webports:- protocol: TCPport: 80targetPort: myhttp # 使用别名查找后端服务端口[rootmaster ~] kubectl replace --force -f websvc.yaml
service websvc deleted
service/websvc replaced[rootmaster ~] kubectl delete pod --all
pod web1 deleted
pod web2 deleted
pod web3 deleted[rootmaster ~] vim web1.yaml
---
kind: Pod
apiVersion: v1
metadata:name: web1labels:app: web
spec:containers:- name: apacheimage: myos:httpdports: # 配置端口规范- name: myhttp # 端口别名protocol: TCP # 协议containerPort: 80 # 端口号[rootmaster ~] kubectl apply -f web1.yaml
pod/web1 created
[rootmaster ~] curl http://10.245.1.80
Welcome to The Apache.服务的工作原理
kube-proxy是在所有节点上运行的代理。可以实现简单的数据转发可以设置更新IPTables/LVS规则在服务创建时还提供服务地址DNS自动注册与服务发现功能 对外发布应用
服务类型
发布服务
ClusterIP服务可以解决集群内应用互访的问题但外部的应用无法访问集群内的资源某些应用需要访问集群内的资源我们就需要对外发布服务
服务类型
ClusterIP默认类型可以实现Pod的自动感知与负载均衡是最核心的服务类型但ClusterIP不能对外发布服务如果想对外发布服务可以使用NodePort或Ingress
NodePort服务
NodePort与Ingress
NodePort使用基本端口映射默认值30000-3267的方式对外发布服务可以发布任意服务四层使用Ingress控制器一般由Nginx或HAProxy构成用来发布http、https服务七层 服务资源清单文件
[rootmaster ~] vim nodeport.yml
---
kind: Service
apiVersion: v1
metadata:name: mysvc
spec: type: NodePort #指定服务类型selector:app: webports:- protocol: TCPnodePort: 31234 #可选配置不指定端口使用随机端口port: 80targetPort: 80
[rootmaster ~] kubectl apply -f mysvc.yaml
service/mysvc configured
[rootmaster ~] kubectl get service
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S)
kubernetes ClusterIP 10.245.0.1 none 443/TCP
websvc ClusterIP 10.245.1.80 none 80/TCP
mysvc NodePort 10.245.3.88 none 80:30080/TCPNodeport会在所有节点映射端口可以访问任意节点
[rootmaster ~] curl http://node-0001:30080
Welcome to The Apache.
[rootmaster ~] curl http://node-0002:30080
Welcome to The Apache.
[rootmaster ~] curl http://node-0003:30080
Welcome to The Apache.
[rootmaster ~] curl http://node-0004:30080
Welcome to The Apache.
[rootmaster ~] curl http://node-0005:30080
Welcome to The Apache.Ingress安装 Ingress是什么
Ingress公开从集群外部到集群内服务的HTTP和HTTPS路由。流量路由由Ingress资源上定义的规则控制Ingress控制器通常由负载均衡器来实现Nginx、HAProxy
安装Ingress控制器
Ingress服务由规则控制器组成规则负责制定策略控制器负责执行如果没有控制器单独设置规则无效
[rootmaster ~] cd plugins/ingress
[rootmaster ingress] docker load -i ingress.tar.xz
[rootmaster ingress] docker images|while read i t _;do[[ ${t} TAG ]] continue[[ ${i} ~ ^harbor:443/. ]] continuedocker tag ${i}:${t} harbor:443/plugins/${i##*/}:${t}docker push harbor:443/plugins/${i##*/}:${t}docker rmi ${i}:${t} harbor:443/plugins/${i##*/}:${t}
done
[rootmaster ingress] sed -ri s,^(\s*image: )(.*/)?(.),\1harbor:443/plugins/\3, deploy.yaml
443: image: registry.k8s.io/ingress-nginx/controller:v1.9.6
546: image: registry.k8s.io/ingress-nginx/kube-webhook-certgen:v20231226-1a7112e06
599: image: registry.k8s.io/ingress-nginx/kube-webhook-certgen:v20231226-1a7112e06[rootmaster ingress] kubectl apply -f deploy.yaml
[rootmaster ingress] kubectl -n ingress-nginx get pods
NAME READY STATUS RESTARTS
ingress-nginx-admission-create--1-lm52c 0/1 Completed 0
ingress-nginx-admission-patch--1-sj2lz 0/1 Completed 0
ingress-nginx-controller-5664857866-tql24 1/1 Running 0
配置Ingress规则
验证后端服务
[rootmaster ~] kubectl get pods,services
NAME READY STATUS RESTARTS AGE
pod/web1 1/1 Running 0 35mNAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S)
service/kubernetes ClusterIP 10.245.0.1 none 443/TCP
service/websvc ClusterIP 10.245.1.80 none 80/TCP
service/mysvc NodePort 10.245.3.88 none 80:30080/TCP[rootmaster ~] curl http://10.245.1.80
Welcome to The Apache.对外发布服务
# 查询 ingress 控制器类名称
[rootmaster ~] kubectl get ingressclasses.networking.k8s.io
NAME CONTROLLER PARAMETERS AGE
nginx k8s.io/ingress-nginx none 5m7s# 资源清单文件
[rootmaster ~] kubectl create ingress mying --classnginx --rulensd.tedu.cn/*mysvc:80 --dry-runclient -o yaml
[rootmaster ~] vim mying.yaml
---
kind: Ingress
apiVersion: networking.k8s.io/v1
metadata:name: mying
spec:ingressClassName: nginxrules:- host: nsd.tedu.cnhttp:paths:- path: /pathType: Prefixbackend:service:name: websvcport:number: 80[rootmaster ~] kubectl apply -f mying.yaml
ingress.networking.k8s.io/mying created
[rootmaster ~] kubectl get ingress
NAME CLASS HOSTS ADDRESS PORTS
mying nginx nsd.tedu.cn 192.168.1.51 80
[rootmaster ~] curl -H Host: nsd.tedu.cn http://192.168.1.51
Welcome to The Apache.Dashboard
概述
Dashboard 是什么
Dashboard 是基于网页的 Kubernetes 用户界面。Dashboard 同时展示了 Kubernetes 集群中的资源状态信息和所有报错信息。你可以使用 Dashboard 将应用部署到集群中也可以对容器应用排错还能管理集群资源。例如你可以对应用弹性伸缩、发起滚动升级、重启等等。
安装
[rootmaster ~] cd plugins/dashboard
[rootmaster dashboard] docker load -i dashboard.tar.xz
[rootmaster dashboard] docker images|while read i t _;do[[ ${t} TAG ]] continue[[ ${i} ~ ^harbor:443/. ]] continuedocker tag ${i}:${t} harbor:443/plugins/${i##*/}:${t}docker push harbor:443/plugins/${i##*/}:${t}docker rmi ${i}:${t} harbor:443/plugins/${i##*/}:${t}
done
[rootmaster dashboard] sed -ri s,^(\s*image: )(.*/)?(.),\1harbor:443/plugins/\3, recommended.yaml
193: image: kubernetesui/dashboard:v2.7.0
278: image: kubernetesui/metrics-scraper:v1.0.8
[rootmaster dashboard] kubectl apply -f recommended.yaml
[rootmaster dashboard] kubectl -n kubernetes-dashboard get pods
NAME READY STATUS RESTARTS
dashboard-metrics-scraper-66f6f56b59-b42ng 1/1 Running 0
kubernetes-dashboard-65ff57f4cf-lwtsk 1/1 Running 0
发布服务
# 查看服务状态
[rootmaster dashboard] kubectl -n kubernetes-dashboard get service
NAME TYPE CLUSTER-IP PORT(S)
dashboard-metrics-scraper ClusterIP 10.245.205.236 8000/TCP
kubernetes-dashboard ClusterIP 10.245.215.40 443/TCP
# 获取服务资源对象文件
[rootmaster dashboard] sed -n 30,45p recommended.yaml dashboard-svc.yaml
[rootmaster dashboard] vim dashboard-svc.yaml
---
kind: Service
apiVersion: v1
metadata:labels:k8s-app: kubernetes-dashboardname: kubernetes-dashboardnamespace: kubernetes-dashboard
spec:type: NodePortports:- port: 443nodePort: 30443targetPort: 8443selector:k8s-app: kubernetes-dashboard[rootmaster dashboard] kubectl apply -f dashboard-svc.yaml
service/kubernetes-dashboard configured
[rootmaster dashboard] kubectl -n kubernetes-dashboard get service
NAME TYPE CLUSTER-IP PORT(S)
dashboard-metrics-scraper ClusterIP 10.245.205.236 8000/TCP
kubernetes-dashboard NodePort 10.245.215.40 443:30443/TCP认证和授权
ServiceAccount
用户概述
用户认证
所有Kubernetes集群都有两类用户由Kubernetes管理的服务帐号和普通用户普通用户是以证书或秘钥形式签发主要用途是认证和鉴权集群中并不包含用来代表普通用户帐号的对象普通用户的信息无法调用和查询服务账号是KubernetesAPI所管理的用户。它们被绑定到特定的名字空间与一组Secret凭据相关联供Pod调用以获得相应的授权。
创建ServiceAccount
创建服务账号
# 资源对象模板
[rootmaster ~] kubectl -n kubernetes-dashboard create serviceaccount kube-admin --dry-runclient -o yaml
[rootmaster ~] vim admin-user.yaml
---
kind: ServiceAccount
apiVersion: v1
metadata:name: kube-adminnamespace: kubernetes-dashboard[rootmaster ~] kubectl apply -f admin-user.yaml
serviceaccount/kube-admin created
[rootmaster ~] kubectl -n kubernetes-dashboard get serviceaccounts
NAME SECRETS AGE
default 0 16m
kube-admin 0 11s
kubernetes-dashboard 0 16m获取用户 token
[rootmaster ~] kubectl -n kubernetes-dashboard create token kube-admin # 生成Base64 编码的令牌数据权限管理
资源对象描述作用域ServiceAccount服务账号为 Pod 中运行的进程提供了一个身份单一名称空间Role角色包含一组代表相关权限的规则单一名称空间ClusterRole角色包含一组代表相关权限的规则全集群RoleBinding将权限赋予用户Role、ClusterRole 均可使用单一名称空间ClusterRoleBinding将权限赋予用户只可以使用 ClusterRole全集群
资源对象权限
createdeletedeletecollectiongetlistpatchupdatewatch创建删除删除集合获取属性获取列表补丁更新监控
角色与授权
如果想访问和管理kubernetes集群就要对身份以及权限做验证kubernetes支持的鉴权模块有Node、RBAC、ABAC、Webhook API
Node一种特殊用途的鉴权模式专门对kubelet发出的请求进行鉴权RBAC是一种基于组织中用户的角色来控制资源使用的方法ABAC基于属性的访问控制是一种通过将用户属性与权限组合在一起向用户授权的方法Webhook是一个HTTP回调
RBAC授权RBAC声明了四种Kubernetes对象
Role用来在某一个名称空间内创建授权角色创建Role时必须指定所属的名字空间的名字ClusterRole可以和Role相同完成授权。但属于集群范围对所有名称空间有效RoleBinding是将角色中定义的权限赋予一个或者一组用户可以使用Role或ClusterRole完成授权ClusterRoleBinding在集群范围执行授权对所有名称空间有效只能使用ClusterRole完成授权
普通角色
[rootmaster ~] kubectl cluster-info dump |grep authorization-mode--authorization-modeNode,RBAC,# 资源对象模板
[rootmaster ~] kubectl -n default create role myrole --resourcepods --verbget,list --dry-runclient -o yaml
[rootmaster ~] kubectl -n default create rolebinding kube-admin-role --rolemyrole --serviceaccountkubernetes-dashboard:kube-admin --dry-runclient -o yaml
[rootmaster ~] vim myrole.yaml
---
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:name: myrolenamespace: default
rules:
- apiGroups:- resources:- podsverbs:- get- list---
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:name: kube-admin-rolenamespace: default
roleRef:apiGroup: rbac.authorization.k8s.iokind: Rolename: myrole
subjects:
- kind: ServiceAccountname: kube-adminnamespace: kubernetes-dashboard[rootmaster ~] kubectl apply -f myrole.yaml
role.rbac.authorization.k8s.io/myrole created
rolebinding.rbac.authorization.k8s.io/kube-admin-role created[rootmaster ~] kubectl delete -f myrole.yaml
role.rbac.authorization.k8s.io myrole deleted
rolebinding.rbac.authorization.k8s.io kube-admin-role deleted集群管理员
[rootmaster ~] kubectl get clusterrole
NAME CREATED AT
admin 2022-06-24T08:11:17Z
cluster-admin 2022-06-24T08:11:17Z
... ...# 资源对象模板
[rootmaster ~] kubectl create clusterrolebinding kube-admin-role --clusterrolecluster-admin --serviceaccountkubernetes-dashboard:kube-admin --dry-runclient -o yaml
[rootmaster ~] vim admin-user.yaml
---
kind: ServiceAccount
apiVersion: v1
metadata:name: kube-adminnamespace: kubernetes-dashboard---
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:name: kube-admin-role
roleRef:apiGroup: rbac.authorization.k8s.iokind: ClusterRolename: cluster-admin
subjects:
- kind: ServiceAccountname: kube-adminnamespace: kubernetes-dashboard[rootmaster ~] kubectl apply -f admin-user.yaml
serviceaccount/kube-admin unchanged
clusterrolebinding.rbac.authorization.k8s.io/kube-admin-role created
