05 2019 档案
摘要:刚开始使用二进制搭建kubernetes集群的时候,看着一堆证书头皮发麻,虽然最后集群还是跑起来,但是对其中的流程和细节原理还是很模糊。特此从二进制集群搭建的流程梳理一下。以下原理及配置均基于v1.10.0版本 Kubernetes过一系列机制来实现集群的安全机制,包括API Server的认证、授
阅读全文
摘要:为一个pod配置资源的预期使用量和最大使用量是pod定义中的重要组成部分。资源请求量(request)资源限制量(limits)针对每个容器单独指定。 确保pod公平地使用k8s集群资源。 request不会限制容器可以使用的cpu数量。 调度器如何判断一个pod是否适合调度到某个节点:只关心节点上
阅读全文
摘要:什么是service account? 顾名思义,相对于user account(比如:kubectl访问APIServer时用的就是user account),service account就是Pod中的Process用于访问Kubernetes API的account,它为Pod中的Proces
阅读全文
摘要:pod使用一种称为SA的机制,正常用户和serviceaccount都可以属于一个或多个组。组可以一次给多个用户赋予权限,而不是必须单独给用户赋予权限。 API服务器要求客户端在服务器上执行操作之前对自己进行身份验证,POD是通过发送/var/run/secrets/kubernetes.io/se
阅读全文
摘要:和service相关的任何事情都由每个节点上运行的kube-proxy进程处理 除了监控API对service的更改,kube-proxy也监控对Endpoint对象的更改。 kube-proxy必须监听所有EP对象,因为EP对象在每次新创建或删除pod是都会发生变更。
阅读全文
摘要:kubernetes集群分为俩部分: kubernetes控制平面 工作节点 控制平面的组件: etcd分布式持久化存储 API服务器 调度器 控制器管理器 这些组件用来存储,管理集群状态。但他们不是运行应用的容器。 工作节点上的组件: kubelet kube-proxy docker 附加组件:
阅读全文
摘要:在POD中使用PersistentVolume(持久卷,简称PV)要比使用常规的pod复杂一些。 当集群用户需要在其pod中使用持久化存储时,他们首先创建持久卷声明(PersistentVolumeClaim,简称PVC)清单,指定所需要的最低容量要求和访问模式,用户将持久卷声明清单提交给k8s A
阅读全文
摘要:存储卷的几种类型: emptyDir -- 用于存储临时数据的简单空目录 hostPath -- 用于将目录从工作节点的文件系统挂载到pod中 gitRepo -- 通过检出Git仓库的内容来初始化的卷 nfs -- 挂载到pod中的NFS共享卷 configMap,secret,downwardA
阅读全文
摘要:在pod资源与API交互过程中 /var/run/secrets/kubernetes.io/serviceaccount 中的三个文件:CA.CRT,NAMESPACE和TOKEN都会被使用到才可以正常对API进行操作。
阅读全文
摘要:endpoint资源就是暴露一个服务的IP地址和端口的列表。服务指向这个EP,EP指向后端。 可以将endpoint和服务解耦,分别手动配置和更新。 创建没有选择器的服务: 创建EP资源: 通过get describe命令查看现象: 注意,EP中的metadata name名字必须和service中
阅读全文
浙公网安备 33010602011771号