随笔分类 - k8s
摘要:自动轮换流程 1. 证书即将过期时(默认剩余时间 < 30% 有效期),kubelet 自动生成新 CSR。 2. 新 CSR 提交到 API Server,等待审批。 3. 审批通过后,kubelet 获取新证书并替换旧证书。 4. 新旧证书并行使用一段时间,确保服务不中断。 默认的自动审批 Cl
阅读全文
摘要:查看证书过期时间 kubeadm certs check-expiration [check-expiration] Reading configuration from the cluster... [check-expiration] FYI: You can look at this conf
阅读全文
摘要:k8s 端口列表 控制面 协议 方向 端口范围 目的 使用者 TCP 入站 6443 Kubernetes API 服务器 所有 TCP 入站 2379-2380 etcd 服务器客户端 API kube-apiserver、etcd TCP 入站 10250 kubelet API 自身、控制面
阅读全文
摘要:下载 kuboard 部署清单 # wget https://addons.kuboard.cn/kuboard/kuboard-v3-swr.yaml 修改部署清单 configmap # vim kuboard-v3-swr.yaml 修改内容 # KUBOARD_AGENT_KEY 是 Age
阅读全文
摘要:环境要求 kubernetes:1.21+ 部署 NFS server 下载 nfs server 部署清单 # wget https://raw.githubusercontent.com/kubernetes-csi/csi-driver-nfs/master/deploy/example/nf
阅读全文
摘要:检查证书是否过期 kubeadm certs check-expiration [check-expiration] Reading configuration from the cluster... [check-expiration] FYI: You can look at this conf
阅读全文
摘要:集群基础设置 配置清单 OS: ubuntu 22.04 kubernetes: 1.28.3 Container Runtime:Docker CE 24.0.7 CRI: cri-docker v0.3.7 集群规划 服务器IP 主机名 配置 192.168.174.100 k8s-master
阅读全文
摘要:kubeadm 使用帮助 kubeadm -h ┌──────────────────────────────────────────────────────────┐ │ KUBEADM │ │ Easily bootstrap a secure Kubernetes cluster │ │ │
阅读全文
摘要:prometheus-adapter Prometheus并非Kubernetes系统的聚合API服务器,其PromQL接口无法直接作为自定义指标数据源,我们还需要一个专门的中间层将PromQL的指标转换为符合Kubernetes系统聚合API格式的指标。这些自定义指标再经由Kubernetes系统
阅读全文
摘要:Helm 介绍 Helm是一款将Kubernetes应用打包为“图表”格式,并基于该格式完成应用管理的工具。类似于Linux系统上的yum或apt-get等包管理器,可以帮助用户查找、分享及管理Kubernetes应用程序。 Helm 概念 Chart: 代表着 Helm 包。它包含在 Kubern
阅读全文
摘要:kustomize 介绍 Kustomize 是一个用来定制 Kubernetes 配置的工具。它提供以下功能特性来管理应用配置文件: 1. 从其他来源生成资源 2. 为资源设置贯穿性(Cross-Cutting)字段 3. 组织和定制资源集合 查看kustomize版本 # kubectl ver
阅读全文
摘要:Pod优先级与抢占 Pod 可以有优先级。 优先级表示一个 Pod 相对于其他 Pod 的重要性。 如果一个 Pod 无法被调度,调度器会将该Pod转入Pending状态并为其启动“抢占”过程,调度器会在集群中尝试通过删除某节点上的一个或多个低优先级的Pod,让节点能够满足待调度Pod的运行条件,并
阅读全文
摘要:k8s 调度器 在 Kubernetes 中,调度 是指将 Pod 放置到合适的节点上,以便对应节点上的 Kubelet 能够运行这些 Pod。 调度概览 调度器通过 Kubernetes 的监测(Watch)机制来发现集群中新创建且尚未被调度到节点上的 Pod。 调度器会将所发现的每一个未调度的
阅读全文
摘要:网络策略介绍 如果你希望在 IP 地址或端口层面(OSI 第 3 层或第 4 层)控制网络流量, 则你可以考虑为集群中特定应用使用 Kubernetes 网络策略(NetworkPolicy)。 NetworkPolicy 是一种以应用为中心的结构,允许你设置如何允许 Pod 与网络上的各类网络“实
阅读全文
摘要:calico 介绍 Calico 是一种网络和安全解决方案,使 Kubernetes 工作负载和非 Kubernetes/遗留工作负载能够无缝、安全地通信。 Calico 组成 Calico 由用于保护网络通信的网络和用于大规模保护云原生微服务/应用程序的高级网络策略组成。 Calico CNI C
阅读全文
摘要:flannel 介绍 Flannel是用于解决容器跨节点通信问题的解决方案,兼容CNI插件API,支持Kubernetes、OpenShift、Cloud Foundry、Mesos、Amazon ECS、Singularity和OpenSVC等平台。它使用“虚拟网桥和veth设备”的方式为Pod创
阅读全文
摘要:CNI网络插件基础 kubenet是一个非常基础、简单的网络插件,它本身并未实现任何跨节点网络和网络策略一类更高级的功能,且仅适用于Linux系统,于是,Kubernetes试图寻求一个更开放的网络插件接口标准来替代它。分别由Docker与CoreOS设计的CNM(Container Network
阅读全文
摘要:容器网络通信模式 在Host模式中,各容器共享宿主机的根网络名称空间,它们使用同一个接口设备和网络协议栈,因此,用户必须精心管理共享同一网络端口空间容器的应用与宿主机应用,以避免端口冲突。 Bridge模式对host模式进行了一定程度的改进,在该模式中,容器从一个或多个专用网络(地址池)中获取IP地
阅读全文
摘要:容器安全上下文介绍 kubernetes为安全运行pod及容器运行设计了安全上下文机制,该机制允许用户和管理员定义pod或容器的特权与访问控制,已配置容器与主机以及主机之上的其它容器间的隔离级别。安全上下文就是一组用来决定容器时如何创建和运行的约束条件,这些条件代表创建和运行容器时使用的运行时参数。
阅读全文
摘要:资源配额概述 尽管LimitRange资源能在名称空间上限制单个容器、Pod或PVC相关的系统资源用量,但用户依然可以创建出无数的资源对象,进而侵占集群上所有的可用系统资源。ResourceQuota资源能够定义名称空间级别的资源配额,从而在名称空间上限制聚合资源消耗的边界,它支持以资源类型来限制用
阅读全文
浙公网安备 33010602011771号