黑龙江 网站建设,注册网站需要什么程序,网络广告营销实现方式解读,株洲网站排名第七章 Service详解
本章节主要介绍kubernetes的流量负载组件#xff1a;Service和Ingress。
Service介绍
在kubernetes中#xff0c;pod是应用程序的载体#xff0c;我们可以通过pod的ip来访问应用程序#xff0c;但是pod的ip地址不是固定的#xff0c;这也就意味着…第七章 Service详解
本章节主要介绍kubernetes的流量负载组件Service和Ingress。
Service介绍
在kubernetes中pod是应用程序的载体我们可以通过pod的ip来访问应用程序但是pod的ip地址不是固定的这也就意味着不方便直接采用pod的ip对服务进行访问。
为了解决这个问题kubernetes提供了Service资源Service会对提供同一个服务的多个pod进行聚合并且提供一个统一的入口地址。通过访问Service的入口地址就能访问到后面的pod服务。 Service在很多情况下只是一个概念真正起作用的其实是kube-proxy服务进程每个Node节点上都运行着一个kube-proxy服务进程。当创建Service的时候会通过api-server向etcd写入创建的service的信息而kube-proxy会基于监听的机制发现这种Service的变动然后它会将最新的Service信息转换成对应的访问规则。 # 10.97.97.97:80 是service提供的访问入口
# 当访问这个入口的时候可以发现后面有三个pod的服务在等待调用
# kube-proxy会基于rr轮询的策略将请求分发到其中一个pod上去
# 这个规则会同时在集群内的所有节点上都生成所以在任何一个节点上访问都可以。
[rootnode1 ~]# ipvsadm -Ln
IP Virtual Server version 1.2.1 (size4096)
Prot LocalAddress:Port Scheduler Flags- RemoteAddress:Port Forward Weight ActiveConn InActConn
TCP 10.97.97.97:80 rr- 10.244.1.39:80 Masq 1 0 0- 10.244.1.40:80 Masq 1 0 0- 10.244.2.33:80 Masq 1 0 0kube-proxy目前支持三种工作模式:
userspace 模式
userspace模式下kube-proxy会为每一个Service创建一个监听端口发向Cluster IP的请求被Iptables规则重定向到kube-proxy监听的端口上kube-proxy根据LB算法选择一个提供服务的Pod并和其建立链接以将请求转发到Pod上。 该模式下kube-proxy充当了一个四层负责均衡器的角色。由于kube-proxy运行在userspace中在进行转发处理时会增加内核和用户空间之间的数据拷贝虽然比较稳定但是效率比较低。 iptables 模式
iptables模式下kube-proxy为service后端的每个Pod创建对应的iptables规则直接将发向Cluster IP的请求重定向到一个Pod IP。 该模式下kube-proxy不承担四层负责均衡器的角色只负责创建iptables规则。该模式的优点是较userspace模式效率更高但不能提供灵活的LB策略当后端Pod不可用时也无法进行重试。 ipvs 模式
ipvs模式和iptables类似kube-proxy监控Pod的变化并创建相应的ipvs规则。ipvs相对iptables转发效率更高。除此以外ipvs支持更多的LB算法。 # 此模式必须安装ipvs内核模块否则会降级为iptables
# 开启ipvs
[rootmaster ~]# kubectl edit cm kube-proxy -n kube-system
[rootmaster ~]# kubectl delete pod -l k8s-appkube-proxy -n kube-system
[rootnode1 ~]# ipvsadm -Ln
IP Virtual Server version 1.2.1 (size4096)
Prot LocalAddress:Port Scheduler Flags- RemoteAddress:Port Forward Weight ActiveConn InActConn
TCP 10.97.97.97:80 rr- 10.244.1.39:80 Masq 1 0 0- 10.244.1.40:80 Masq 1 0 0- 10.244.2.33:80 Masq 1 0 0Service类型
Service的资源清单文件
kind: Service # 资源类型
apiVersion: v1 # 资源版本
metadata: # 元数据name: service # 资源名称namespace: dev # 命名空间
spec: # 描述selector: # 标签选择器用于确定当前service代理哪些podapp: nginxtype: # Service类型指定service的访问方式clusterIP: # 虚拟服务的ip地址sessionAffinity: # session亲和性支持ClientIP、None两个选项ports: # 端口信息- protocol: TCP port: 3017 # service端口targetPort: 5003 # pod端口nodePort: 31122 # 主机端口ClusterIP默认值它是Kubernetes系统自动分配的虚拟IP只能在集群内部访问NodePort将Service通过指定的Node上的端口暴露给外部通过此方法就可以在集群外部访问服务LoadBalancer使用外接负载均衡器完成到服务的负载分发注意此模式需要外部云环境支持ExternalName 把集群外部的服务引入集群内部直接使用
Service使用
实验环境准备
在使用service之前首先利用Deployment创建出3个pod注意要为pod设置appnginx-pod的标签
创建deployment.yaml内容如下
apiVersion: apps/v1
kind: Deployment
metadata:name: pc-deploymentnamespace: dev
spec: replicas: 3selector:matchLabels:app: nginx-podtemplate:metadata:labels:app: nginx-podspec:containers:- name: nginximage: nginx:1.17.1ports:- containerPort: 80[rootmaster ~]# kubectl create -f deployment.yaml
deployment.apps/pc-deployment created# 查看pod详情
[rootmaster ~]# kubectl get pods -n dev -o wide --show-labels
NAME READY STATUS IP NODE LABELS
pc-deployment-66cb59b984-8p84h 1/1 Running 10.244.1.40 node1 appnginx-pod
pc-deployment-66cb59b984-vx8vx 1/1 Running 10.244.2.33 node2 appnginx-pod
pc-deployment-66cb59b984-wnncx 1/1 Running 10.244.1.39 node1 appnginx-pod# 为了方便后面的测试修改下三台nginx的index.html页面三台修改的IP地址不一致
# kubectl exec -it pc-deployment-66cb59b984-8p84h -n dev /bin/sh
# echo 10.244.1.40 /usr/share/nginx/html/index.html#修改完毕之后访问测试
[rootmaster ~]# curl 10.244.1.40
10.244.1.40
[rootmaster ~]# curl 10.244.2.33
10.244.2.33
[rootmaster ~]# curl 10.244.1.39
10.244.1.39ClusterIP类型的Service
创建service-clusterip.yaml文件
apiVersion: v1
kind: Service
metadata:name: service-clusteripnamespace: dev
spec:selector:app: nginx-podclusterIP: 10.97.97.97 # service的ip地址如果不写默认会生成一个type: ClusterIPports:- port: 80 # Service端口 targetPort: 80 # pod端口# 创建service
[rootmaster ~]# kubectl create -f service-clusterip.yaml
service/service-clusterip created# 查看service
[rootmaster ~]# kubectl get svc -n dev -o wide
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE SELECTOR
service-clusterip ClusterIP 10.97.97.97 none 80/TCP 13s appnginx-pod# 查看service的详细信息
# 在这里有一个Endpoints列表里面就是当前service可以负载到的服务入口
[rootmaster ~]# kubectl describe svc service-clusterip -n dev
Name: service-clusterip
Namespace: dev
Labels: none
Annotations: none
Selector: appnginx-pod
Type: ClusterIP
IP: 10.97.97.97
Port: unset 80/TCP
TargetPort: 80/TCP
Endpoints: 10.244.1.39:80,10.244.1.40:80,10.244.2.33:80
Session Affinity: None
Events: none# 查看ipvs的映射规则
[rootmaster ~]# ipvsadm -Ln
TCP 10.97.97.97:80 rr- 10.244.1.39:80 Masq 1 0 0- 10.244.1.40:80 Masq 1 0 0- 10.244.2.33:80 Masq 1 0 0# 访问10.97.97.97:80观察效果
[rootmaster ~]# curl 10.97.97.97:80
10.244.2.33Endpoint
Endpoint是kubernetes中的一个资源对象存储在etcd中用来记录一个service对应的所有pod的访问地址它是根据service配置文件中selector描述产生的。
一个Service由一组Pod组成这些Pod通过Endpoints暴露出来Endpoints是实现实际服务的端点集合。换句话说service和pod之间的联系是通过endpoints实现的。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-FSggiDrh-1684326521729)(assets/image-20200509191917069.png)]
负载分发策略
对Service的访问被分发到了后端的Pod上去目前kubernetes提供了两种负载分发策略 如果不定义默认使用kube-proxy的策略比如随机、轮询 基于客户端地址的会话保持模式即来自同一个客户端发起的所有请求都会转发到固定的一个Pod上 此模式可以使在spec中添加sessionAffinity:ClientIP选项
# 查看ipvs的映射规则【rr 轮询】
[rootmaster ~]# ipvsadm -Ln
TCP 10.97.97.97:80 rr- 10.244.1.39:80 Masq 1 0 0- 10.244.1.40:80 Masq 1 0 0- 10.244.2.33:80 Masq 1 0 0# 循环访问测试
[rootmaster ~]# while true;do curl 10.97.97.97:80; sleep 5; done;
10.244.1.40
10.244.1.39
10.244.2.33
10.244.1.40
10.244.1.39
10.244.2.33# 修改分发策略----sessionAffinity:ClientIP# 查看ipvs规则【persistent 代表持久】
[rootmaster ~]# ipvsadm -Ln
TCP 10.97.97.97:80 rr persistent 10800- 10.244.1.39:80 Masq 1 0 0- 10.244.1.40:80 Masq 1 0 0- 10.244.2.33:80 Masq 1 0 0# 循环访问测试
[rootmaster ~]# while true;do curl 10.97.97.97; sleep 5; done;
10.244.2.33
10.244.2.33
10.244.2.33# 删除service
[rootmaster ~]# kubectl delete -f service-clusterip.yaml
service service-clusterip deletedHeadLiness类型的Service
在某些场景中开发人员可能不想使用Service提供的负载均衡功能而希望自己来控制负载均衡策略针对这种情况kubernetes提供了HeadLiness Service这类Service不会分配Cluster IP如果想要访问service只能通过service的域名进行查询。
创建service-headliness.yaml
apiVersion: v1
kind: Service
metadata:name: service-headlinessnamespace: dev
spec:selector:app: nginx-podclusterIP: None # 将clusterIP设置为None即可创建headliness Servicetype: ClusterIPports:- port: 80 targetPort: 80# 创建service
[rootmaster ~]# kubectl create -f service-headliness.yaml
service/service-headliness created# 获取service 发现CLUSTER-IP未分配
[rootmaster ~]# kubectl get svc service-headliness -n dev -o wide
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE SELECTOR
service-headliness ClusterIP None none 80/TCP 11s appnginx-pod# 查看service详情
[rootmaster ~]# kubectl describe svc service-headliness -n dev
Name: service-headliness
Namespace: dev
Labels: none
Annotations: none
Selector: appnginx-pod
Type: ClusterIP
IP: None
Port: unset 80/TCP
TargetPort: 80/TCP
Endpoints: 10.244.1.39:80,10.244.1.40:80,10.244.2.33:80
Session Affinity: None
Events: none# 查看域名的解析情况
[rootmaster ~]# kubectl exec -it pc-deployment-66cb59b984-8p84h -n dev /bin/sh
/ # cat /etc/resolv.conf
nameserver 10.96.0.10
search dev.svc.cluster.local svc.cluster.local cluster.local[rootmaster ~]# dig 10.96.0.10 service-headliness.dev.svc.cluster.local
service-headliness.dev.svc.cluster.local. 30 IN A 10.244.1.40
service-headliness.dev.svc.cluster.local. 30 IN A 10.244.1.39
service-headliness.dev.svc.cluster.local. 30 IN A 10.244.2.33NodePort类型的Service
在之前的样例中创建的Service的ip地址只有集群内部才可以访问如果希望将Service暴露给集群外部使用那么就要使用到另外一种类型的Service称为NodePort类型。NodePort的工作原理其实就是将service的端口映射到Node的一个端口上然后就可以通过NodeIp:NodePort来访问service了。 创建service-nodeport.yaml
apiVersion: v1
kind: Service
metadata:name: service-nodeportnamespace: dev
spec:selector:app: nginx-podtype: NodePort # service类型ports:- port: 80nodePort: 30002 # 指定绑定的node的端口(默认的取值范围是30000-32767), 如果不指定会默认分配targetPort: 80# 创建service
[rootmaster ~]# kubectl create -f service-nodeport.yaml
service/service-nodeport created# 查看service
[rootmaster ~]# kubectl get svc -n dev -o wide
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) SELECTOR
service-nodeport NodePort 10.105.64.191 none 80:30002/TCP appnginx-pod# 接下来可以通过电脑主机的浏览器去访问集群中任意一个nodeip的30002端口即可访问到podLoadBalancer类型的Service
LoadBalancer和NodePort很相似目的都是向外部暴露一个端口区别在于LoadBalancer会在集群的外部再来做一个负载均衡设备而这个设备需要外部环境支持的外部服务发送到这个设备上的请求会被设备负载之后转发到集群中。 ExternalName类型的Service
ExternalName类型的Service用于引入集群外部的服务它通过externalName属性指定外部一个服务的地址然后在集群内部访问此service就可以访问到外部的服务了。 apiVersion: v1
kind: Service
metadata:name: service-externalnamenamespace: dev
spec:type: ExternalName # service类型externalName: www.baidu.com #改成ip地址也可以# 创建service
[rootmaster ~]# kubectl create -f service-externalname.yaml
service/service-externalname created# 域名解析
[rootmaster ~]# dig 10.96.0.10 service-externalname.dev.svc.cluster.local
service-externalname.dev.svc.cluster.local. 30 IN CNAME www.baidu.com.
www.baidu.com. 30 IN CNAME www.a.shifen.com.
www.a.shifen.com. 30 IN A 39.156.66.18
www.a.shifen.com. 30 IN A 39.156.66.14Ingress介绍
在前面课程中已经提到Service对集群之外暴露服务的主要方式有两种NotePort和LoadBalancer但是这两种方式都有一定的缺点
NodePort方式的缺点是会占用很多集群机器的端口那么当集群服务变多的时候这个缺点就愈发明显LB方式的缺点是每个service需要一个LB浪费、麻烦并且需要kubernetes之外设备的支持
基于这种现状kubernetes提供了Ingress资源对象Ingress只需要一个NodePort或者一个LB就可以满足暴露多个Service的需求。工作机制大致如下图表示 实际上Ingress相当于一个7层的负载均衡器是kubernetes对反向代理的一个抽象它的工作原理类似于Nginx可以理解成在Ingress里建立诸多映射规则Ingress Controller通过监听这些配置规则并转化成Nginx的反向代理配置 , 然后对外部提供服务。在这里有两个核心概念
ingresskubernetes中的一个对象作用是定义请求如何转发到service的规则ingress controller具体实现反向代理及负载均衡的程序对ingress定义的规则进行解析根据配置的规则来实现请求转发实现方式有很多比如Nginx, Contour, Haproxy等等
Ingress以Nginx为例的工作原理如下
用户编写Ingress规则说明哪个域名对应kubernetes集群中的哪个ServiceIngress控制器动态感知Ingress服务规则的变化然后生成一段对应的Nginx反向代理配置Ingress控制器会将生成的Nginx配置写入到一个运行着的Nginx服务中并动态更新到此为止其实真正在工作的就是一个Nginx了内部配置了用户定义的请求转发规则 Ingress使用
环境准备
搭建ingress环境
# 创建文件夹
[rootmaster ~]# mkdir ingress-controller
[rootmaster ~]# cd ingress-controller/# 获取ingress-nginx本次案例使用的是0.30版本
[rootmaster ingress-controller]# wget https://raw.githubusercontent.com/kubernetes/ingress-nginx/nginx-0.30.0/deploy/static/mandatory.yaml
[rootmaster ingress-controller]# wget https://raw.githubusercontent.com/kubernetes/ingress-nginx/nginx-0.30.0/deploy/static/provider/baremetal/service-nodeport.yaml# 修改mandatory.yaml文件中的仓库
# 修改quay.io/kubernetes-ingress-controller/nginx-ingress-controller:0.30.0
# 为quay-mirror.qiniu.com/kubernetes-ingress-controller/nginx-ingress-controller:0.30.0
# 创建ingress-nginx
[rootmaster ingress-controller]# kubectl apply -f ./# 查看ingress-nginx
[rootmaster ingress-controller]# kubectl get pod -n ingress-nginx
NAME READY STATUS RESTARTS AGE
pod/nginx-ingress-controller-fbf967dd5-4qpbp 1/1 Running 0 12h# 查看service
[rootmaster ingress-controller]# kubectl get svc -n ingress-nginx
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
ingress-nginx NodePort 10.98.75.163 none 80:32240/TCP,443:31335/TCP 11h准备service和pod
为了后面的实验比较方便创建如下图所示的模型 创建tomcat-nginx.yaml
apiVersion: apps/v1
kind: Deployment
metadata:name: nginx-deploymentnamespace: dev
spec:replicas: 3selector:matchLabels:app: nginx-podtemplate:metadata:labels:app: nginx-podspec:containers:- name: nginximage: nginx:1.17.1ports:- containerPort: 80---apiVersion: apps/v1
kind: Deployment
metadata:name: tomcat-deploymentnamespace: dev
spec:replicas: 3selector:matchLabels:app: tomcat-podtemplate:metadata:labels:app: tomcat-podspec:containers:- name: tomcatimage: tomcat:8.5-jre10-slimports:- containerPort: 8080---apiVersion: v1
kind: Service
metadata:name: nginx-servicenamespace: dev
spec:selector:app: nginx-podclusterIP: Nonetype: ClusterIPports:- port: 80targetPort: 80---apiVersion: v1
kind: Service
metadata:name: tomcat-servicenamespace: dev
spec:selector:app: tomcat-podclusterIP: Nonetype: ClusterIPports:- port: 8080targetPort: 8080# 创建
[rootmaster ~]# kubectl create -f tomcat-nginx.yaml# 查看
[rootmaster ~]# kubectl get svc -n dev
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
nginx-service ClusterIP None none 80/TCP 48s
tomcat-service ClusterIP None none 8080/TCP 48sHttp代理
创建ingress-http.yaml
apiVersion: extensions/v1beta1
kind: Ingress
metadata:name: ingress-httpnamespace: dev
spec:rules:- host: nginx.itheima.comhttp:paths:- path: /backend:serviceName: nginx-serviceservicePort: 80- host: tomcat.itheima.comhttp:paths:- path: /backend:serviceName: tomcat-serviceservicePort: 8080# 创建
[rootmaster ~]# kubectl create -f ingress-http.yaml
ingress.extensions/ingress-http created# 查看
[rootmaster ~]# kubectl get ing ingress-http -n dev
NAME HOSTS ADDRESS PORTS AGE
ingress-http nginx.itheima.com,tomcat.itheima.com 80 22s# 查看详情
[rootmaster ~]# kubectl describe ing ingress-http -n dev
...
Rules:
Host Path Backends
---- ---- --------
nginx.itheima.com / nginx-service:80 (10.244.1.96:80,10.244.1.97:80,10.244.2.112:80)
tomcat.itheima.com / tomcat-service:8080(10.244.1.94:8080,10.244.1.95:8080,10.244.2.111:8080)
...# 接下来,在本地电脑上配置host文件,解析上面的两个域名到192.168.109.100(master)上
# 然后,就可以分别访问tomcat.itheima.com:32240 和 nginx.itheima.com:32240 查看效果了Https代理
创建证书
# 生成证书
openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout tls.key -out tls.crt -subj /CCN/STBJ/LBJ/Onginx/CNitheima.com# 创建密钥
kubectl create secret tls tls-secret --key tls.key --cert tls.crt创建ingress-https.yaml
apiVersion: extensions/v1beta1
kind: Ingress
metadata:name: ingress-httpsnamespace: dev
spec:tls:- hosts:- nginx.itheima.com- tomcat.itheima.comsecretName: tls-secret # 指定秘钥rules:- host: nginx.itheima.comhttp:paths:- path: /backend:serviceName: nginx-serviceservicePort: 80- host: tomcat.itheima.comhttp:paths:- path: /backend:serviceName: tomcat-serviceservicePort: 8080# 创建
[rootmaster ~]# kubectl create -f ingress-https.yaml
ingress.extensions/ingress-https created# 查看
[rootmaster ~]# kubectl get ing ingress-https -n dev
NAME HOSTS ADDRESS PORTS AGE
ingress-https nginx.itheima.com,tomcat.itheima.com 10.104.184.38 80, 443 2m42s# 查看详情
[rootmaster ~]# kubectl describe ing ingress-https -n dev
...
TLS:tls-secret terminates nginx.itheima.com,tomcat.itheima.com
Rules:
Host Path Backends
---- ---- --------
nginx.itheima.com / nginx-service:80 (10.244.1.97:80,10.244.1.98:80,10.244.2.119:80)
tomcat.itheima.com / tomcat-service:8080(10.244.1.99:8080,10.244.2.117:8080,10.244.2.120:8080)
...# 下面可以通过浏览器访问https://nginx.itheima.com:31335 和 https://tomcat.itheima.com:31335来查看了第八章 数据存储
在前面已经提到容器的生命周期可能很短会被频繁地创建和销毁。那么容器在销毁时保存在容器中的数据也会被清除。这种结果对用户来说在某些情况下是不乐意看到的。为了持久化保存容器的数据kubernetes引入了Volume的概念。
Volume是Pod中能够被多个容器访问的共享目录它被定义在Pod上然后被一个Pod里的多个容器挂载到具体的文件目录下kubernetes通过Volume实现同一个Pod中不同容器之间的数据共享以及数据的持久化存储。Volume的生命容器不与Pod中单个容器的生命周期相关当容器终止或者重启时Volume中的数据也不会丢失。
kubernetes的Volume支持多种类型比较常见的有下面几个
简单存储EmptyDir、HostPath、NFS高级存储PV、PVC配置存储ConfigMap、Secret
基本存储
EmptyDir
EmptyDir是最基础的Volume类型一个EmptyDir就是Host上的一个空目录。
EmptyDir是在Pod被分配到Node时创建的它的初始内容为空并且无须指定宿主机上对应的目录文件因为kubernetes会自动分配一个目录当Pod销毁时 EmptyDir中的数据也会被永久删除。 EmptyDir用途如下 临时空间例如用于某些应用程序运行时所需的临时目录且无须永久保留 一个容器需要从另一个容器中获取数据的目录多容器共享目录
接下来通过一个容器之间文件共享的案例来使用一下EmptyDir。
在一个Pod中准备两个容器nginx和busybox然后声明一个Volume分别挂在到两个容器的目录中然后nginx容器负责向Volume中写日志busybox中通过命令将日志内容读到控制台。 创建一个volume-emptydir.yaml
apiVersion: v1
kind: Pod
metadata:name: volume-emptydirnamespace: dev
spec:containers:- name: nginximage: nginx:1.14-alpineports:- containerPort: 80volumeMounts: # 将logs-volume挂在到nginx容器中对应的目录为 /var/log/nginx- name: logs-volumemountPath: /var/log/nginx- name: busyboximage: busybox:1.30command: [/bin/sh,-c,tail -f /logs/access.log] # 初始命令动态读取指定文件中内容volumeMounts: # 将logs-volume 挂在到busybox容器中对应的目录为 /logs- name: logs-volumemountPath: /logsvolumes: # 声明volume name为logs-volume类型为emptyDir- name: logs-volumeemptyDir: {}# 创建Pod
[rootmaster ~]# kubectl create -f volume-emptydir.yaml
pod/volume-emptydir created# 查看pod
[rootmaster ~]# kubectl get pods volume-emptydir -n dev -o wide
NAME READY STATUS RESTARTS AGE IP NODE ......
volume-emptydir 2/2 Running 0 97s 10.244.1.100 node1 ......# 通过podIp访问nginx
[rootmaster ~]# curl 10.244.1.100
......# 通过kubectl logs命令查看指定容器的标准输出
[rootmaster ~]# kubectl logs -f volume-emptydir -n dev -c busybox
10.244.0.0 - - [13/Apr/2020:10:58:47 0000] GET / HTTP/1.1 200 612 - curl/7.29.0 -HostPath
上节课提到EmptyDir中数据不会被持久化它会随着Pod的结束而销毁如果想简单的将数据持久化到主机中可以选择HostPath。
HostPath就是将Node主机中一个实际目录挂在到Pod中以供容器使用这样的设计就可以保证Pod销毁了但是数据依据可以存在于Node主机上。 创建一个volume-hostpath.yaml
apiVersion: v1
kind: Pod
metadata:name: volume-hostpathnamespace: dev
spec:containers:- name: nginximage: nginx:1.17.1ports:- containerPort: 80volumeMounts:- name: logs-volumemountPath: /var/log/nginx- name: busyboximage: busybox:1.30command: [/bin/sh,-c,tail -f /logs/access.log]volumeMounts:- name: logs-volumemountPath: /logsvolumes:- name: logs-volumehostPath: path: /root/logstype: DirectoryOrCreate # 目录存在就使用不存在就先创建后使用关于type的值的一点说明DirectoryOrCreate 目录存在就使用不存在就先创建后使用Directory 目录必须存在FileOrCreate 文件存在就使用不存在就先创建后使用File 文件必须存在 Socket unix套接字必须存在CharDevice 字符设备必须存在BlockDevice 块设备必须存在# 创建Pod
[rootmaster ~]# kubectl create -f volume-hostpath.yaml
pod/volume-hostpath created# 查看Pod
[rootmaster ~]# kubectl get pods volume-hostpath -n dev -o wide
NAME READY STATUS RESTARTS AGE IP NODE ......
pod-volume-hostpath 2/2 Running 0 16s 10.244.1.104 node1 ......#访问nginx
[rootmaster ~]# curl 10.244.1.104# 接下来就可以去host的/root/logs目录下查看存储的文件了
### 注意: 下面的操作需要到Pod所在的节点运行案例中是node1
[rootnode1 ~]# ls /root/logs/
access.log error.log# 同样的道理如果在此目录下创建一个文件到容器中也是可以看到的NFS
HostPath可以解决数据持久化的问题但是一旦Node节点故障了Pod如果转移到了别的节点又会出现问题了此时需要准备单独的网络存储系统比较常用的用NFS、CIFS。
NFS是一个网络文件存储系统可以搭建一台NFS服务器然后将Pod中的存储直接连接到NFS系统上这样的话无论Pod在节点上怎么转移只要Node跟NFS的对接没问题数据就可以成功访问。 1首先要准备nfs的服务器这里为了简单直接是master节点做nfs服务器
# 在master上安装nfs服务
[rootmaster ~]# yum install nfs-utils -y# 准备一个共享目录
[rootmaster ~]# mkdir /root/data/nfs -pv# 将共享目录以读写权限暴露给192.168.109.0/24网段中的所有主机
[rootmaster ~]# vim /etc/exports
[rootmaster ~]# more /etc/exports
/root/data/nfs 192.168.109.0/24(rw,no_root_squash)# 启动nfs服务
[rootmaster ~]# systemctl start nfs2接下来要在的每个node节点上都安装下nfs这样的目的是为了node节点可以驱动nfs设备
# 在node上安装nfs服务注意不需要启动
[rootmaster ~]# yum install nfs-utils -y3接下来就可以编写pod的配置文件了创建volume-nfs.yaml
apiVersion: v1
kind: Pod
metadata:name: volume-nfsnamespace: dev
spec:containers:- name: nginximage: nginx:1.17.1ports:- containerPort: 80volumeMounts:- name: logs-volumemountPath: /var/log/nginx- name: busyboximage: busybox:1.30command: [/bin/sh,-c,tail -f /logs/access.log] volumeMounts:- name: logs-volumemountPath: /logsvolumes:- name: logs-volumenfs:server: 192.168.109.100 #nfs服务器地址path: /root/data/nfs #共享文件路径4最后运行下pod观察结果
# 创建pod
[rootmaster ~]# kubectl create -f volume-nfs.yaml
pod/volume-nfs created# 查看pod
[rootmaster ~]# kubectl get pods volume-nfs -n dev
NAME READY STATUS RESTARTS AGE
volume-nfs 2/2 Running 0 2m9s# 查看nfs服务器上的共享目录发现已经有文件了
[rootmaster ~]# ls /root/data/
access.log error.log##高级存储
PV和PVC
前面已经学习了使用NFS提供存储此时就要求用户会搭建NFS系统并且会在yaml配置nfs。由于kubernetes支持的存储系统有很多要求客户全都掌握显然不现实。为了能够屏蔽底层存储实现的细节方便用户使用 kubernetes引入PV和PVC两种资源对象。
PVPersistent Volume是持久化卷的意思是对底层的共享存储的一种抽象。一般情况下PV由kubernetes管理员进行创建和配置它与底层具体的共享存储技术有关并通过插件完成与共享存储的对接。
PVCPersistent Volume Claim是持久卷声明的意思是用户对于存储需求的一种声明。换句话说PVC其实就是用户向kubernetes系统发出的一种资源需求申请。 使用了PV和PVC之后工作可以得到进一步的细分
存储存储工程师维护PV kubernetes管理员维护PVCkubernetes用户维护
PV
PV是存储资源的抽象下面是资源清单文件:
apiVersion: v1
kind: PersistentVolume
metadata:name: pv2
spec:nfs: # 存储类型与底层真正存储对应capacity: # 存储能力目前只支持存储空间的设置storage: 2GiaccessModes: # 访问模式storageClassName: # 存储类别persistentVolumeReclaimPolicy: # 回收策略PV 的关键配置参数说明 存储类型 底层实际存储的类型kubernetes支持多种存储类型每种存储类型的配置都有所差异 存储能力capacity
目前只支持存储空间的设置( storage1Gi )不过未来可能会加入IOPS、吞吐量等指标的配置 访问模式accessModes 用于描述用户应用对存储资源的访问权限访问权限包括下面几种方式 ReadWriteOnceRWO读写权限但是只能被单个节点挂载ReadOnlyManyROX 只读权限可以被多个节点挂载ReadWriteManyRWX读写权限可以被多个节点挂载 需要注意的是底层不同的存储类型可能支持的访问模式不同 回收策略persistentVolumeReclaimPolicy 当PV不再被使用了之后对其的处理方式。目前支持三种策略 Retain 保留 保留数据需要管理员手工清理数据Recycle回收 清除 PV 中的数据效果相当于执行 rm -rf /thevolume/*Delete 删除 与 PV 相连的后端存储完成 volume 的删除操作当然这常见于云服务商的存储服务 需要注意的是底层不同的存储类型可能支持的回收策略不同 存储类别 PV可以通过storageClassName参数指定一个存储类别 具有特定类别的PV只能与请求了该类别的PVC进行绑定 未设定类别的PV则只能与不请求任何类别的PVC进行绑定 状态status 一个 PV 的生命周期中可能会处于4中不同的阶段 Available可用 表示可用状态还未被任何 PVC 绑定Bound已绑定 表示 PV 已经被 PVC 绑定Released已释放 表示 PVC 被删除但是资源还未被集群重新声明Failed失败 表示该 PV 的自动回收失败
实验
使用NFS作为存储来演示PV的使用创建3个PV对应NFS中的3个暴露的路径。
准备NFS环境
# 创建目录
[rootmaster ~]# mkdir /root/data/{pv1,pv2,pv3} -pv# 暴露服务
[rootmaster ~]# more /etc/exports
/root/data/pv1 192.168.109.0/24(rw,no_root_squash)
/root/data/pv2 192.168.109.0/24(rw,no_root_squash)
/root/data/pv3 192.168.109.0/24(rw,no_root_squash)# 重启服务
[rootmaster ~]# systemctl restart nfs创建pv.yaml
apiVersion: v1
kind: PersistentVolume
metadata:name: pv1
spec:capacity: storage: 1GiaccessModes:- ReadWriteManypersistentVolumeReclaimPolicy: Retainnfs:path: /root/data/pv1server: 192.168.109.100---apiVersion: v1
kind: PersistentVolume
metadata:name: pv2
spec:capacity: storage: 2GiaccessModes:- ReadWriteManypersistentVolumeReclaimPolicy: Retainnfs:path: /root/data/pv2server: 192.168.109.100---apiVersion: v1
kind: PersistentVolume
metadata:name: pv3
spec:capacity: storage: 3GiaccessModes:- ReadWriteManypersistentVolumeReclaimPolicy: Retainnfs:path: /root/data/pv3server: 192.168.109.100# 创建 pv
[rootmaster ~]# kubectl create -f pv.yaml
persistentvolume/pv1 created
persistentvolume/pv2 created
persistentvolume/pv3 created# 查看pv
[rootmaster ~]# kubectl get pv -o wide
NAME CAPACITY ACCESS MODES RECLAIM POLICY STATUS AGE VOLUMEMODE
pv1 1Gi RWX Retain Available 10s Filesystem
pv2 2Gi RWX Retain Available 10s Filesystem
pv3 3Gi RWX Retain Available 9s FilesystemPVC
PVC是资源的申请用来声明对存储空间、访问模式、存储类别需求信息。下面是资源清单文件:
apiVersion: v1
kind: PersistentVolumeClaim
metadata:name: pvcnamespace: dev
spec:accessModes: # 访问模式selector: # 采用标签对PV选择storageClassName: # 存储类别resources: # 请求空间requests:storage: 5GiPVC 的关键配置参数说明
访问模式accessModes
用于描述用户应用对存储资源的访问权限 选择条件selector 通过Label Selector的设置可使PVC对于系统中己存在的PV进行筛选 存储类别storageClassName PVC在定义时可以设定需要的后端存储的类别只有设置了该class的pv才能被系统选出 资源请求Resources 描述对存储资源的请求
实验
创建pvc.yaml申请pv
apiVersion: v1
kind: PersistentVolumeClaim
metadata:name: pvc1namespace: dev
spec:accessModes: - ReadWriteManyresources:requests:storage: 1Gi---apiVersion: v1
kind: PersistentVolumeClaim
metadata:name: pvc2namespace: dev
spec:accessModes: - ReadWriteManyresources:requests:storage: 1Gi---apiVersion: v1
kind: PersistentVolumeClaim
metadata:name: pvc3namespace: dev
spec:accessModes: - ReadWriteManyresources:requests:storage: 1Gi# 创建pvc
[rootmaster ~]# kubectl create -f pvc.yaml
persistentvolumeclaim/pvc1 created
persistentvolumeclaim/pvc2 created
persistentvolumeclaim/pvc3 created# 查看pvc
[rootmaster ~]# kubectl get pvc -n dev -o wide
NAME STATUS VOLUME CAPACITY ACCESS MODES STORAGECLASS AGE VOLUMEMODE
pvc1 Bound pv1 1Gi RWX 15s Filesystem
pvc2 Bound pv2 2Gi RWX 15s Filesystem
pvc3 Bound pv3 3Gi RWX 15s Filesystem# 查看pv
[rootmaster ~]# kubectl get pv -o wide
NAME CAPACITY ACCESS MODES RECLAIM POLICY STATUS CLAIM AGE VOLUMEMODE
pv1 1Gi RWx Retain Bound dev/pvc1 3h37m Filesystem
pv2 2Gi RWX Retain Bound dev/pvc2 3h37m Filesystem
pv3 3Gi RWX Retain Bound dev/pvc3 3h37m Filesystem 创建pods.yaml, 使用pv
apiVersion: v1
kind: Pod
metadata:name: pod1namespace: dev
spec:containers:- name: busyboximage: busybox:1.30command: [/bin/sh,-c,while true;do echo pod1 /root/out.txt; sleep 10; done;]volumeMounts:- name: volumemountPath: /root/volumes:- name: volumepersistentVolumeClaim:claimName: pvc1readOnly: false
---
apiVersion: v1
kind: Pod
metadata:name: pod2namespace: dev
spec:containers:- name: busyboximage: busybox:1.30command: [/bin/sh,-c,while true;do echo pod2 /root/out.txt; sleep 10; done;]volumeMounts:- name: volumemountPath: /root/volumes:- name: volumepersistentVolumeClaim:claimName: pvc2readOnly: false # 创建pod
[rootmaster ~]# kubectl create -f pods.yaml
pod/pod1 created
pod/pod2 created# 查看pod
[rootmaster ~]# kubectl get pods -n dev -o wide
NAME READY STATUS RESTARTS AGE IP NODE
pod1 1/1 Running 0 14s 10.244.1.69 node1
pod2 1/1 Running 0 14s 10.244.1.70 node1 # 查看pvc
[rootmaster ~]# kubectl get pvc -n dev -o wide
NAME STATUS VOLUME CAPACITY ACCESS MODES AGE VOLUMEMODE
pvc1 Bound pv1 1Gi RWX 94m Filesystem
pvc2 Bound pv2 2Gi RWX 94m Filesystem
pvc3 Bound pv3 3Gi RWX 94m Filesystem# 查看pv
[rootmaster ~]# kubectl get pv -n dev -o wide
NAME CAPACITY ACCESS MODES RECLAIM POLICY STATUS CLAIM AGE VOLUMEMODE
pv1 1Gi RWX Retain Bound dev/pvc1 5h11m Filesystem
pv2 2Gi RWX Retain Bound dev/pvc2 5h11m Filesystem
pv3 3Gi RWX Retain Bound dev/pvc3 5h11m Filesystem# 查看nfs中的文件存储
[rootmaster ~]# more /root/data/pv1/out.txt
node1
node1
[rootmaster ~]# more /root/data/pv2/out.txt
node2
node2生命周期
PVC和PV是一一对应的PV和PVC之间的相互作用遵循以下生命周期 资源供应管理员手动创建底层存储和PV 资源绑定用户创建PVCkubernetes负责根据PVC的声明去寻找PV并绑定 在用户定义好PVC之后系统将根据PVC对存储资源的请求在已存在的PV中选择一个满足条件的 一旦找到就将该PV与用户定义的PVC进行绑定用户的应用就可以使用这个PVC了 如果找不到PVC则会无限期处于Pending状态直到等到系统管理员创建了一个符合其要求的PV PV一旦绑定到某个PVC上就会被这个PVC独占不能再与其他PVC进行绑定了 资源使用用户可在pod中像volume一样使用pvc Pod使用Volume的定义将PVC挂载到容器内的某个路径进行使用。 资源释放用户删除pvc来释放pv 当存储资源使用完毕后用户可以删除PVC与该PVC绑定的PV将会被标记为“已释放”但还不能立刻与其他PVC进行绑定。通过之前PVC写入的数据可能还被留在存储设备上只有在清除之后该PV才能再次使用。 资源回收kubernetes根据pv设置的回收策略进行资源的回收 对于PV管理员可以设定回收策略用于设置与之绑定的PVC释放资源之后如何处理遗留数据的问题。只有PV的存储空间完成回收才能供新的PVC绑定和使用 配置存储
ConfigMap
ConfigMap是一种比较特殊的存储卷它的主要作用是用来存储配置信息的。
创建configmap.yaml内容如下
apiVersion: v1
kind: ConfigMap
metadata:name: configmapnamespace: dev
data:info: |username:adminpassword:123456接下来使用此配置文件创建configmap
# 创建configmap
[rootmaster ~]# kubectl create -f configmap.yaml
configmap/configmap created# 查看configmap详情
[rootmaster ~]# kubectl describe cm configmap -n dev
Name: configmap
Namespace: dev
Labels: none
Annotations: noneDatainfo:
----
username:admin
password:123456Events: none接下来创建一个pod-configmap.yaml将上面创建的configmap挂载进去
apiVersion: v1
kind: Pod
metadata:name: pod-configmapnamespace: dev
spec:containers:- name: nginximage: nginx:1.17.1volumeMounts: # 将configmap挂载到目录- name: configmountPath: /configmap/configvolumes: # 引用configmap- name: configconfigMap:name: configmap# 创建pod
[rootmaster ~]# kubectl create -f pod-configmap.yaml
pod/pod-configmap created# 查看pod
[rootmaster ~]# kubectl get pod pod-configmap -n dev
NAME READY STATUS RESTARTS AGE
pod-configmap 1/1 Running 0 6s#进入容器
[rootmaster ~]# kubectl exec -it pod-configmap -n dev /bin/sh
# cd /configmap/config/
# ls
info
# more info
username:admin
password:123456# 可以看到映射已经成功每个configmap都映射成了一个目录
# key---文件 value----文件中的内容
# 此时如果更新configmap的内容, 容器中的值也会动态更新Secret
在kubernetes中还存在一种和ConfigMap非常类似的对象称为Secret对象。它主要用于存储敏感信息例如密码、秘钥、证书等等。
首先使用base64对数据进行编码
[rootmaster ~]# echo -n admin | base64 #准备username
YWRtaW4
[rootmaster ~]# echo -n 123456 | base64 #准备password
MTIzNDU2接下来编写secret.yaml并创建Secret
apiVersion: v1
kind: Secret
metadata:name: secretnamespace: dev
type: Opaque
data:username: YWRtaW4password: MTIzNDU2# 创建secret
[rootmaster ~]# kubectl create -f secret.yaml
secret/secret created# 查看secret详情
[rootmaster ~]# kubectl describe secret secret -n dev
Name: secret
Namespace: dev
Labels: none
Annotations: none
Type: Opaque
Datapassword: 6 bytes
username: 5 bytes创建pod-secret.yaml将上面创建的secret挂载进去
apiVersion: v1
kind: Pod
metadata:name: pod-secretnamespace: dev
spec:containers:- name: nginximage: nginx:1.17.1volumeMounts: # 将secret挂载到目录- name: configmountPath: /secret/configvolumes:- name: configsecret:secretName: secret# 创建pod
[rootmaster ~]# kubectl create -f pod-secret.yaml
pod/pod-secret created# 查看pod
[rootmaster ~]# kubectl get pod pod-secret -n dev
NAME READY STATUS RESTARTS AGE
pod-secret 1/1 Running 0 2m28s# 进入容器查看secret信息发现已经自动解码了
[rootmaster ~]# kubectl exec -it pod-secret /bin/sh -n dev
/ # ls /secret/config/
password username
/ # more /secret/config/username
admin
/ # more /secret/config/password
123456至此已经实现了利用secret实现了信息的编码。
第九章 安全认证
本章节主要介绍Kubernetes的安全认证机制。
访问控制概述
Kubernetes作为一个分布式集群的管理工具保证集群的安全性是其一个重要的任务。所谓的安全性其实就是保证对Kubernetes的各种客户端进行认证和鉴权操作。
客户端
在Kubernetes集群中客户端通常有两类 User Account一般是独立于kubernetes之外的其他服务管理的用户账号。 Service Accountkubernetes管理的账号用于为Pod中的服务进程在访问Kubernetes时提供身份标识。 认证、授权与准入控制
ApiServer是访问及管理资源对象的唯一入口。任何一个请求访问ApiServer都要经过下面三个流程
Authentication认证身份鉴别只有正确的账号才能够通过认证Authorization授权 判断用户是否有权限对访问的资源执行特定的动作Admission Control准入控制用于补充授权机制以实现更加精细的访问控制功能。 认证管理
Kubernetes集群安全的最关键点在于如何识别并认证客户端身份它提供了3种客户端身份认证方式 HTTP Base认证通过用户名密码的方式认证 这种认证方式是把“用户名:密码”用BASE64算法进行编码后的字符串放在HTTP请求中的Header Authorization域里发送给服务端。服务端收到后进行解码获取用户名及密码然后进行用户身份认证的过程。HTTP Token认证通过一个Token来识别合法用户 这种认证方式是用一个很长的难以被模仿的字符串--Token来表明客户身份的一种方式。每个Token对应一个用户名当客户端发起API调用请求时需要在HTTP Header里放入TokenAPI Server接到Token后会跟服务器中保存的token进行比对然后进行用户身份认证的过程。HTTPS证书认证基于CA根证书签名的双向数字证书认证方式 这种认证方式是安全性最高的一种方式但是同时也是操作起来最麻烦的一种方式。HTTPS认证大体分为3个过程 证书申请和下发 HTTPS通信双方的服务器向CA机构申请证书CA机构下发根证书、服务端证书及私钥给申请者客户端和服务端的双向认证 1 客户端向服务器端发起请求服务端下发自己的证书给客户端客户端接收到证书后通过私钥解密证书在证书中获得服务端的公钥客户端利用服务器端的公钥认证证书中的信息如果一致则认可这个服务器2 客户端发送自己的证书给服务器端服务端接收到证书后通过私钥解密证书在证书中获得客户端的公钥并用该公钥认证证书信息确认客户端是否合法服务器端和客户端进行通信 服务器端和客户端协商好加密方案后客户端会产生一个随机的秘钥并加密然后发送到服务器端。服务器端接收这个秘钥后双方接下来通信的所有内容都通过该随机秘钥加密注意: Kubernetes允许同时配置多种认证方式只要其中任意一个方式认证通过即可 授权管理
授权发生在认证成功之后通过认证就可以知道请求用户是谁 然后Kubernetes会根据事先定义的授权策略来决定用户是否有权限访问这个过程就称为授权。
每个发送到ApiServer的请求都带上了用户和资源的信息比如发送请求的用户、请求的路径、请求的动作等授权就是根据这些信息和授权策略进行比较如果符合策略则认为授权通过否则会返回错误。
API Server目前支持以下几种授权策略 AlwaysDeny表示拒绝所有请求一般用于测试 AlwaysAllow允许接收所有请求相当于集群不需要授权流程Kubernetes默认的策略 ABAC基于属性的访问控制表示使用用户配置的授权规则对用户请求进行匹配和控制 Webhook通过调用外部REST服务对用户进行授权 Node是一种专用模式用于对kubelet发出的请求进行访问控制 RBAC基于角色的访问控制kubeadm安装方式下的默认选项
RBAC(Role-Based Access Control) 基于角色的访问控制主要是在描述一件事情给哪些对象授予了哪些权限
其中涉及到了下面几个概念
对象User、Groups、ServiceAccount角色代表着一组定义在资源上的可操作动作(权限)的集合绑定将定义好的角色跟用户绑定在一起 RBAC引入了4个顶级资源对象
Role、ClusterRole角色用于指定一组权限RoleBinding、ClusterRoleBinding角色绑定用于将角色权限赋予给对象
Role、ClusterRole
一个角色就是一组权限的集合这里的权限都是许可形式的白名单。
# Role只能对命名空间内的资源进行授权需要指定nameapce
kind: Role
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:namespace: devname: authorization-role
rules:
- apiGroups: [] # 支持的API组列表, 空字符串表示核心API群resources: [pods] # 支持的资源对象列表verbs: [get, watch, list] # 允许的对资源对象的操作方法列表# ClusterRole可以对集群范围内资源、跨namespaces的范围资源、非资源类型进行授权
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:name: authorization-clusterrole
rules:
- apiGroups: []resources: [pods]verbs: [get, watch, list]需要详细说明的是rules中的参数 apiGroups: 支持的API组列表 ,apps, autoscaling, batchresources支持的资源对象列表 services, endpoints, pods,secrets,configmaps,crontabs,deployments,jobs,
nodes,rolebindings,clusterroles,daemonsets,replicasets,statefulsets,
horizontalpodautoscalers,replicationcontrollers,cronjobsverbs对资源对象的操作方法列表 get, list, watch, create, update, patch, delete, execRoleBinding、ClusterRoleBinding
角色绑定用来把一个角色绑定到一个目标对象上绑定目标可以是User、Group或者ServiceAccount。
# RoleBinding可以将同一namespace中的subject绑定到某个Role下则此subject即具有该Role定义的权限
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:name: authorization-role-bindingnamespace: dev
subjects:
- kind: Username: heimaapiGroup: rbac.authorization.k8s.io
roleRef:kind: Rolename: authorization-roleapiGroup: rbac.authorization.k8s.io# ClusterRoleBinding在整个集群级别和所有namespaces将特定的subject与ClusterRole绑定授予权限
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:name: authorization-clusterrole-binding
subjects:
- kind: Username: heimaapiGroup: rbac.authorization.k8s.io
roleRef:kind: ClusterRolename: authorization-clusterroleapiGroup: rbac.authorization.k8s.ioRoleBinding引用ClusterRole进行授权
RoleBinding可以引用ClusterRole对属于同一命名空间内ClusterRole定义的资源主体进行授权。 一种很常用的做法就是集群管理员为集群范围预定义好一组角色ClusterRole然后在多个命名空间中重复使用这些ClusterRole。这样可以大幅提高授权管理工作效率也使得各个命名空间下的基础性授权规则与使用体验保持一致。# 虽然authorization-clusterrole是一个集群角色但是因为使用了RoleBinding
# 所以heima只能读取dev命名空间中的资源
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:name: authorization-role-binding-nsnamespace: dev
subjects:
- kind: Username: heimaapiGroup: rbac.authorization.k8s.io
roleRef:kind: ClusterRolename: authorization-clusterroleapiGroup: rbac.authorization.k8s.io实战创建一个只能管理dev空间下Pods资源的账号
创建账号
# 1) 创建证书
[rootmaster pki]# cd /etc/kubernetes/pki/
[rootmaster pki]# (umask 077;openssl genrsa -out devman.key 2048)# 2) 用apiserver的证书去签署
# 2-1) 签名申请申请的用户是devman,组是devgroup
[rootmaster pki]# openssl req -new -key devman.key -out devman.csr -subj /CNdevman/Odevgroup
# 2-2) 签署证书
[rootmaster pki]# openssl x509 -req -in devman.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out devman.crt -days 3650# 3) 设置集群、用户、上下文信息
[rootmaster pki]# kubectl config set-cluster kubernetes --embed-certstrue --certificate-authority/etc/kubernetes/pki/ca.crt --serverhttps://192.168.109.100:6443[rootmaster pki]# kubectl config set-credentials devman --embed-certstrue --client-certificate/etc/kubernetes/pki/devman.crt --client-key/etc/kubernetes/pki/devman.key[rootmaster pki]# kubectl config set-context devmankubernetes --clusterkubernetes --userdevman# 切换账户到devman
[rootmaster pki]# kubectl config use-context devmankubernetes
Switched to context devmankubernetes.# 查看dev下pod发现没有权限
[rootmaster pki]# kubectl get pods -n dev
Error from server (Forbidden): pods is forbidden: User devman cannot list resource pods in API group in the namespace dev# 切换到admin账户
[rootmaster pki]# kubectl config use-context kubernetes-adminkubernetes
Switched to context kubernetes-adminkubernetes.2 创建Role和RoleBinding为devman用户授权
kind: Role
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:namespace: devname: dev-role
rules:
- apiGroups: []resources: [pods]verbs: [get, watch, list]---kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:name: authorization-role-bindingnamespace: dev
subjects:
- kind: Username: devmanapiGroup: rbac.authorization.k8s.io
roleRef:kind: Rolename: dev-roleapiGroup: rbac.authorization.k8s.io[rootmaster pki]# kubectl create -f dev-role.yaml
role.rbac.authorization.k8s.io/dev-role created
rolebinding.rbac.authorization.k8s.io/authorization-role-binding created切换账户再次验证
# 切换账户到devman
[rootmaster pki]# kubectl config use-context devmankubernetes
Switched to context devmankubernetes.# 再次查看
[rootmaster pki]# kubectl get pods -n dev
NAME READY STATUS RESTARTS AGE
nginx-deployment-66cb59b984-8wp2k 1/1 Running 0 4d1h
nginx-deployment-66cb59b984-dc46j 1/1 Running 0 4d1h
nginx-deployment-66cb59b984-thfck 1/1 Running 0 4d1h# 为了不影响后面的学习,切回admin账户
[rootmaster pki]# kubectl config use-context kubernetes-adminkubernetes
Switched to context kubernetes-adminkubernetes.准入控制
通过了前面的认证和授权之后还需要经过准入控制处理通过之后apiserver才会处理这个请求。
准入控制是一个可配置的控制器列表可以通过在Api-Server上通过命令行设置选择执行哪些准入控制器
--admission-controlNamespaceLifecycle,LimitRanger,ServiceAccount,PersistentVolumeLabel,DefaultStorageClass,ResourceQuota,DefaultTolerationSeconds只有当所有的准入控制器都检查通过之后apiserver才执行该请求否则返回拒绝。
当前可配置的Admission Control准入控制如下
AlwaysAdmit允许所有请求AlwaysDeny禁止所有请求一般用于测试AlwaysPullImages在启动容器之前总去下载镜像DenyExecOnPrivileged它会拦截所有想在Privileged Container上执行命令的请求ImagePolicyWebhook这个插件将允许后端的一个Webhook程序来完成admission controller的功能。Service Account实现ServiceAccount实现了自动化SecurityContextDeny这个插件将使用SecurityContext的Pod中的定义全部失效ResourceQuota用于资源配额管理目的观察所有请求确保在namespace上的配额不会超标LimitRanger用于资源限制管理作用于namespace上确保对Pod进行资源限制InitialResources为未设置资源请求与限制的Pod根据其镜像的历史资源的使用情况进行设置NamespaceLifecycle如果尝试在一个不存在的namespace中创建资源对象则该创建请求将被拒绝。当删除一个namespace时系统将会删除该namespace中所有对象。DefaultStorageClass为了实现共享存储的动态供应为未指定StorageClass或PV的PVC尝试匹配默认的StorageClass尽可能减少用户在申请PVC时所需了解的后端存储细节DefaultTolerationSeconds这个插件为那些没有设置forgiveness tolerations并具有notready:NoExecute和unreachable:NoExecute两种taints的Pod设置默认的“容忍”时间为5minPodSecurityPolicy这个插件用于在创建或修改Pod时决定是否根据Pod的security context和可用的PodSecurityPolicy对Pod的安全策略进行控制
第十章 DashBoard
之前在kubernetes中完成的所有操作都是通过命令行工具kubectl完成的。其实为了提供更丰富的用户体验kubernetes还开发了一个基于web的用户界面Dashboard。用户可以使用Dashboard部署容器化的应用还可以监控应用的状态执行故障排查以及管理kubernetes中各种资源。
部署Dashboard
下载yaml并运行Dashboard
# 下载yaml
[rootmaster ~]# wget https://raw.githubusercontent.com/kubernetes/dashboard/v2.0.0/aio/deploy/recommended.yaml# 修改kubernetes-dashboard的Service类型
kind: Service
apiVersion: v1
metadata:labels:k8s-app: kubernetes-dashboardname: kubernetes-dashboardnamespace: kubernetes-dashboard
spec:type: NodePort # 新增ports:- port: 443targetPort: 8443nodePort: 30009 # 新增selector:k8s-app: kubernetes-dashboard# 部署
[rootmaster ~]# kubectl create -f recommended.yaml# 查看namespace下的kubernetes-dashboard下的资源
[rootmaster ~]# kubectl get pod,svc -n kubernetes-dashboard
NAME READY STATUS RESTARTS AGE
pod/dashboard-metrics-scraper-c79c65bb7-zwfvw 1/1 Running 0 111s
pod/kubernetes-dashboard-56484d4c5-z95z5 1/1 Running 0 111sNAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
service/dashboard-metrics-scraper ClusterIP 10.96.89.218 none 8000/TCP 111s
service/kubernetes-dashboard NodePort 10.104.178.171 none 443:30009/TCP 111s2创建访问账户获取token
# 创建账号
[rootmaster-1 ~]# kubectl create serviceaccount dashboard-admin -n kubernetes-dashboard# 授权
[rootmaster-1 ~]# kubectl create clusterrolebinding dashboard-admin-rb --clusterrolecluster-admin --serviceaccountkubernetes-dashboard:dashboard-admin# 获取账号token
[rootmaster ~]# kubectl get secrets -n kubernetes-dashboard | grep dashboard-admin
dashboard-admin-token-xbqhh kubernetes.io/service-account-token 3 2m35s[rootmaster ~]# kubectl describe secrets dashboard-admin-token-xbqhh -n kubernetes-dashboard
Name: dashboard-admin-token-xbqhh
Namespace: kubernetes-dashboard
Labels: none
Annotations: kubernetes.io/service-account.name: dashboard-adminkubernetes.io/service-account.uid: 95d84d80-be7a-4d10-a2e0-68f90222d039Type: kubernetes.io/service-account-tokenDatanamespace: 20 bytes
token: eyJhbGciOiJSUzI1NiIsImtpZCI6ImJrYkF4bW5XcDhWcmNGUGJtek5NODFuSXl1aWptMmU2M3o4LTY5a2FKS2cifQ.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.NAl7e8ZfWWdDoPxkqzJzTB46sK9E8iuJYnUI9vnBaY3Jts7T1g1msjsBnbxzQSYgAG--cV0WYxjndzJY_UWCwaGPrQrt_GunxmOK9AUnzURqm55GR2RXIZtjsWVP2EBatsDgHRmuUbQvTFOvdJB4x3nXcYLN2opAaMqg3rnU2rr-A8zCrIuX_eca12wIp_QiuP3SF-tzpdLpsyRfegTJZl6YnSGyaVkC9id-cxZRb307qdCfXPfCHR_2rt5FVfxARgg_C0e3eFHaaYQO7CitxsnIoIXpOFNAR8aUrmopJyODQIPqBWUehb7FhlU1DCduHnIIXVC_UICZ-MKYewBDLw
ca.crt: 1025 bytes3通过浏览器访问Dashboard的UI
在登录页面上输入上面的token 出现下面的页面代表成功 使用DashBoard
本章节以Deployment为例演示DashBoard的使用
查看
选择指定的命名空间dev然后点击Deployments查看dev空间下的所有deployment 扩缩容
在Deployment上点击规模然后指定目标副本数量点击确定 编辑
在Deployment上点击编辑然后修改yaml文件点击确定 查看Pod
点击Pods, 查看pods列表 操作Pod
选中某个Pod可以对其执行日志logs、进入执行exec、编辑、删除操作 Rlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJrdWJlcm5ldGVzLWRhc2hib2FyZCIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VjcmV0Lm5hbWUiOiJkYXNoYm9hcmQtYWRtaW4tdG9rZW4teGJxaGgiLCJrdWJlcm5ldGVzLmlvL3NlcnZpY2VhY2NvdW50L3NlcnZpY2UtYWNjb3VudC5uYW1lIjoiZGFzaGJvYXJkLWFkbWluIiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZXJ2aWNlLWFjY291bnQudWlkIjoiOTVkODRkODAtYmU3YS00ZDEwLWEyZTAtNjhmOTAyMjJkMDM5Iiwic3ViIjoic3lzdGVtOnNlcnZpY2VhY2NvdW50Omt1YmVybmV0ZXMtZGFzaGJvYXJkOmRhc2hib2FyZC1hZG1pbiJ9.NAl7e8ZfWWdDoPxkqzJzTB46sK9E8iuJYnUI9vnBaY3Jts7T1g1msjsBnbxzQSYgAG–cV0WYxjndzJY_UWCwaGPrQrt_GunxmOK9AUnzURqm55GR2RXIZtjsWVP2EBatsDgHRmuUbQvTFOvdJB4x3nXcYLN2opAaMqg3rnU2rr-A8zCrIuX_eca12wIp_QiuP3SF-tzpdLpsyRfegTJZl6YnSGyaVkC9id-cxZRb307qdCfXPfCHR_2rt5FVfxARgg_C0e3eFHaaYQO7CitxsnIoIXpOFNAR8aUrmopJyODQIPqBWUehb7FhlU1DCduHnIIXVC_UICZ-MKYewBDLw ca.crt: 1025 bytes 3通过浏览器访问Dashboard的UI在登录页面上输入上面的tokenimg srcassets/image-20200520144548997.png altimage-20200520144548997 stylezoom:80%;border:1px solid /出现下面的页面代表成功img srcassets/image-20200520144959353.png altimage-20200520144959353 stylezoom:80%;border:1px solid /## 使用DashBoard本章节以Deployment为例演示DashBoard的使用**查看**选择指定的命名空间dev然后点击Deployments查看dev空间下的所有deploymentimg srcassets/image-20200520154628679.png stylezoom:90%;border:1px solid /**扩缩容**在Deployment上点击规模然后指定目标副本数量点击确定img srcassets/image-20200520162605102.png stylezoom:90%;border:1px solid /**编辑**在Deployment上点击编辑然后修改yaml文件点击确定img srcassets/image-20200520163253644.png altimage-20200520163253644 stylezoom:100%;border:1px solid /**查看Pod**点击Pods, 查看pods列表img srcassets/image-20200520163552110.png stylezoom:90%;border:1px solid /**操作Pod**选中某个Pod可以对其执行日志logs、进入执行exec、编辑、删除操作img srcassets/image-20200520163832827.png stylezoom:90%;border:1px solid / Dashboard提供了kubectl的绝大部分功能这里不再一一演示
