10-k8s集群维护

发表于 2021-12-10 | 分类于 k8s

本文字数： 3.4k | 阅读时长 ≈ 3 分钟

摘要

阅读全文 »

09-k8s安全

发表于 2021-12-09 | 分类于 k8s

本文字数： 8.1k | 阅读时长 ≈ 7 分钟

摘要

kubernetes安全框架

K8S安全控制框架主要由下面3个阶段进行控制，每一个阶段都支持插件方式，通过API Server配置来启用插件。

Authentication（鉴权）
Authorization（授权）
Admission Control（准入控制）

客户端要想访问K8s集群API Server，一般需要证书、Token或者用户名+密码；如果Pod访问，需要ServiceAccount

阅读全文 »

08-k8s存储

发表于 2021-12-08 | 分类于 k8s

本文字数： 16k | 阅读时长 ≈ 14 分钟

摘要

为什么需要存储卷

容器中的文件在磁盘上是临时存放的，这给容器中运行比较重要的应用程序带来一些问题。

当容器异常崩溃退出时，kubelet会重建容器，容器中的文件会丢失
一个pod中运行多个容器可能需要共享文件

Kubernets的卷（Volume）可以解决上述问题

数据卷概述

节点本地数据卷：hostPath、emptyDir
网络卷：NFS、Ceph、FlusterFS
公有云：AWS、EBS
K8S资源：configmap、secret

阅读全文 »

07-k8s对外提供服务

发表于 2021-12-07 | 分类于 k8s

本文字数： 19k | 阅读时长 ≈ 17 分钟

摘要

阅读全文 »

06-k8s调度

发表于 2021-12-06 | 分类于 k8s

本文字数： 9.5k | 阅读时长 ≈ 9 分钟

摘要

创建一个Pod的工作流程

k8s集群基于list-watch（消息队列监听？）机制的控制器架构，实现组件间交互的解耦。k8s集群中的组件一直监听自己负责的资源，当这些资源发生变化时，kube-apiserver会通知这些组件，这个过程类似于消息队列的发布和订阅。

kubectl run nginx-demo --image=nginx:1.17.10：用户通过kubectl命令发起创建pod指令，kubectl将用户输入的指令发送给apiserver，apiserver将数据存储到etcd中。
scheduler根据自己的调度算法为创建的pod选择一个合适的节点，并给pod打一个label：nodeName=k8s-node01，并将结果返回给apiserver，apiserver将数据存储到etcd中。
kubelet发现有新的pod分配到自己所在的节点，调用docker-api创建容器，并将容器状态返回给apiserver，apiserver将数据存储在etcd中
用户通过kubectl命令可以查询到pod的状态和信息。

阅读全文 »

05-k8s-Pod

发表于 2021-12-05 | 分类于 k8s

本文字数： 8.3k | 阅读时长 ≈ 8 分钟

摘要

基本概念

Pod是Kubernets创建和管理的最小单元，一个Pod由一个容器或者多个容器组成，这些容器共享存储、网络资源

Pod的特点

一个Pod是一个应用的最小实例，并对外提供服务
一个Pod中可以有一个容器或者多个容器
一个Pod中的容器始终部署在同一个Node上
Pod中的所有容器共享网络和存储资源
Kubernets直接管理Pod，而不是容器

阅读全文 »

05-k8s-Deployment控制器

发表于 2021-12-05 | 分类于 k8s

本文字数： 6k | 阅读时长 ≈ 5 分钟

摘要

在Kubernets中部署应用的流程

阅读全文 »

04-k8s监控和日志

发表于 2021-12-04 | 分类于 k8s

本文字数： 2.2k | 阅读时长 ≈ 2 分钟

摘要

查看集群资源状况

# 查看master组件状态：
kubectl get cs
# 查看node状态：
kubectl get node 
# 查看Apiserver代理的URL：
kubectl cluster-info
# 查看集群详细信息：
kubectl cluster-info dump
# 查看资源信息：
kubectl describe <资源> <名称>
# 查看资源信息：
kubectl get <资源>