08 2023 档案
摘要:Calico 的网络策略 Calico支持GlobalNetworkPolicy和NetworkPolicy两种资源,前者用于定义集群全局网络策略,而后者大致可看作Kubernetes NetworkPolicy的一个超集。 Calico 网络策略提供了比 Kubernetes 更丰富的策略功能,包
阅读全文
摘要:网络策略介绍 如果你希望在 IP 地址或端口层面(OSI 第 3 层或第 4 层)控制网络流量, 则你可以考虑为集群中特定应用使用 Kubernetes 网络策略(NetworkPolicy)。 NetworkPolicy 是一种以应用为中心的结构,允许你设置如何允许 Pod 与网络上的各类网络“实
阅读全文
摘要:BGP 网络模型 默认情况下,Calico的BGP网络工作在节点网格(node-to-node mesh)模型下,各节点间以对等方式广播路由,它仅适用于规模较小的集群环境。 中级集群环境应该使用全局对等BGP(global BGP peers)模型,通过在同一个二层网络中使用一个或一组BGP反射器构
阅读全文
摘要:Node 资源介绍 Node资源(node)表示运行Calico的节点。将主机添加到Calico集群时,需要创建一个节点资源,其中包含在主机上运行的Calico/节点实例的配置。 启动calico/node实例时,提供给该实例的名称应与node资源中配置的名称匹配。 默认情况下,启动calico/n
阅读全文
摘要:Calico 网络配置概述 通常,我们建议在没有网络覆盖/封装的情况下运行Calico。这为您提供了最高性能和最简单的网络;离开工作负载的数据包就是传输到网络上的数据包。 然而,当在无法轻松了解工作负载IP的底层网络上运行时,选择性地使用覆盖/封装可能会很有用。一个常见的例子是,如果您在AWS中跨多
阅读全文
摘要:calico 介绍 Calico 是一种网络和安全解决方案,使 Kubernetes 工作负载和非 Kubernetes/遗留工作负载能够无缝、安全地通信。 Calico 组成 Calico 由用于保护网络通信的网络和用于大规模保护云原生微服务/应用程序的高级网络策略组成。 Calico CNI C
阅读全文
摘要:前提 1. calico使用kubernetes API作为数据存储。 2. Calico 版本要求 v3.20+ 使用operator 部署 Calico APIServer calico-apiserver.yaml apiVersion: operator.tigera.io/v1 kind:
阅读全文
摘要:calicoctl 与 kubectl 在 Calico v3.20 以前的版本中,calicoctl需要管理projectcalico.org/v3 API组中的Calico API资源。calicoctl CLI工具提供了对这些API的重要验证和默认设置。 在 Calico v3.20+ 以后的
阅读全文
摘要:系统要求 节点要求 1. Calico必须能够管理主机上的cali*接口。当启用IPIP(默认)时,Calico还需要能够管理tunl*接口。启用VXLAN时,Calico还需要能够管理VXLAN.Calico接口。 2. Linux内核3.10或更高版本。 3. 如果您的Linux发行版附带安装了
阅读全文
摘要:flannel 介绍 Flannel是用于解决容器跨节点通信问题的解决方案,兼容CNI插件API,支持Kubernetes、OpenShift、Cloud Foundry、Mesos、Amazon ECS、Singularity和OpenSVC等平台。它使用“虚拟网桥和veth设备”的方式为Pod创
阅读全文
摘要:CNI网络插件基础 kubenet是一个非常基础、简单的网络插件,它本身并未实现任何跨节点网络和网络策略一类更高级的功能,且仅适用于Linux系统,于是,Kubernetes试图寻求一个更开放的网络插件接口标准来替代它。分别由Docker与CoreOS设计的CNM(Container Network
阅读全文
摘要:容器网络通信模式 在Host模式中,各容器共享宿主机的根网络名称空间,它们使用同一个接口设备和网络协议栈,因此,用户必须精心管理共享同一网络端口空间容器的应用与宿主机应用,以避免端口冲突。 Bridge模式对host模式进行了一定程度的改进,在该模式中,容器从一个或多个专用网络(地址池)中获取IP地
阅读全文
摘要:容器安全上下文介绍 kubernetes为安全运行pod及容器运行设计了安全上下文机制,该机制允许用户和管理员定义pod或容器的特权与访问控制,已配置容器与主机以及主机之上的其它容器间的隔离级别。安全上下文就是一组用来决定容器时如何创建和运行的约束条件,这些条件代表创建和运行容器时使用的运行时参数。
阅读全文
摘要:资源配额概述 尽管LimitRange资源能在名称空间上限制单个容器、Pod或PVC相关的系统资源用量,但用户依然可以创建出无数的资源对象,进而侵占集群上所有的可用系统资源。ResourceQuota资源能够定义名称空间级别的资源配额,从而在名称空间上限制聚合资源消耗的边界,它支持以资源类型来限制用
阅读全文
摘要:LimitRanger概述 尽管用户可以为容器或Pod资源指定资源需求及资源限制,但这并非强制性要求,那些未明确定义资源限制的容器应用很可能会因程序Bug或真实需求而吞掉本地工作节点上的所有可用计算资源。因此妥当的做法是,使用LimitRange资源在每个名称空间中限制每个容器的最小及最大计算资源用
阅读全文
摘要:准入控制概述 准入控制器是一段代码,它在对象持久化之前、请求经过身份验证和授权之后拦截对 Kubernetes API 服务器的请求。 准入控制器可以执行验证(Validating)、变异(Mutating)或两者兼而有之。 变更(mutating)控制器可以根据被其接受的请求更改相关对象;验证(v
阅读全文
摘要:证书生成方式 手动证书生成工具 在使用客户端证书认证的场景下,可以通过 easyrsa、 openssl 或 cfssl 等工具以手工方式生成证书。 证书 API 可以通过 certificates.k8s.io API 提供 x509 证书,用来做身份验证。 证书和证书签名请求 Kubernete
阅读全文
摘要:资源清单 k8s版本:v1.25.2 签发用户证书 创建私钥 # (umask 077; openssl genrsa -out user1.key 2048) 创建CSR文件 下面的脚本展示了如何生成 PKI 私钥和 CSR。 设置 CSR 的 CN 和 O 属性很重要。CN 是用户名,O 是该用
阅读全文
摘要:RBAC介绍 DAC(自主访问控制)、MAC(强制访问控制)、RBAC(基于角色的访问控制)和ABAC(基于属性的访问控制)这4种主流的权限管理模型中,Kubernetes支持使用后两种完成普通账户和服务账户的权限管理,另外支持的权限管理模型还有Node和Webhook两种。 RBAC是一种新型、灵
阅读全文
摘要:kubeconfig配置文件 基于无状态协议HTTP/HTTPS的API Server需要验证每次连接请求中的用户身份,因而kube-controller-manager、kube-scheduler和kube-proxy等各类客户端组件必须能自动完成身份认证信息的提交,但通过程序选项来提供这些信息
阅读全文
摘要:Service Accounts 介绍 服务帐户是一种非人类帐户,在 Kubernetes 中,它在 Kubernetes 集群中提供独特的身份。应用程序 Pod、系统组件以及集群内部和外部的实体可以使用特定 ServiceAccount 的凭据来标识该 ServiceAccount。此身份在各种情
阅读全文
浙公网安备 33010602011771号