role 分为clsterrole和role 我们从普通的role 开始理解起 [root@master ~]# kubectl create role pod-read --verb=get,list,watch --resource=pods --dry-run -o yaml apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: creationTimestamp: null name: pod-read rules:…

API Server的授权管理 API Server 内部通过用户认证后,然后进入授权流程.对合法用户进行授权并且随后在用户访问时进行鉴权,是权限管理的重要环节.API Server 目前支持一下几种授权策略. Always Deny: 表示拒绝所有的请求,一般用户测试. Always Allow:允许接收所有请求,如果集群不需要授权流程,则可以采用该策略,这也是Kubernetes的默认配置. ABAC: 基于属性的访问控制,表示使用用户配置的授权规则对用户请求进行匹配和控制. Webhook…

RBAC: Role-Based Access Control,基于角色的权限控制,有以下三种角色 Role:角色,它其实是一组规则,定义了一组API对象的操作权限 Subject:被作用者,可以是人,也可以是机器,也可以是k8s的用户,最常使用的就是ServiceAccoun RoleBinding:定义了"被作用者"和"角色的绑定关系" 简单地说,RoleBinding指定ServiceAccount对应的Role,Pod绑定这个ServiceAccount获得…

目录 一.RBAC介绍 1.1.角色和集群角色 1.2.RoleBinding 和 ClusterRoleBinding 1.3.资源 1.4.主体 二.命令行工具 2.1.kubectl create rolebinding 2.2.kubectl create clusterrolebinding 三.服务帐户权限 一.RBAC介绍 在Kubernetes中,授权有ABAC(基于属性的访问控制).RBAC(基于角色的访问控制).Webhook.Node.AlwaysDeny(一直拒绝)和Al…

一.kubectl proxy # kubectl proxy --port=8080 # curl http://localhost:8080/api/v1/ # curl http://localhost:8080/apis/apps/v1/namespaces/kube-system/deployments/ 二.serviceaccount资源 创建自定义serviceaccount:用于pod与api通信的认证账号 # kubectl create serviceaccount adm…

一.简介 之前,Kubernetes中的授权策略主要是ABAC(Attribute-Based Access Control).对于ABAC,Kubernetes在实现上是比较难用的,而且需要Master Node的SSH和根文件系统访问权限,授权策略发生变化后还需要重启API Server. Kubernetes 1.6中,RBAC(Role-Based Access Control)基于角色的访问控制进入Beta阶段.RBAC访问控制策略可以使用kubectl或Kubernetes API进…

本文收录在容器技术学习系列文章总目录 前言:本篇博客是博主踩过无数坑,反复查阅资料,一步步搭建完成后整理的个人心得,分享给大家~~~ 本文所需的安装包,都上传在我的网盘中,需要的可以打赏博主一杯咖啡钱,然后私密博主,博主会很快答复呦~ 00.组件版本和配置策略 00-01.组件版本 Kubernetes 1.10.4 Docker 18.03.1-ce Etcd 3.3.7 Flanneld 0.10.0 插件: Coredns Dashboard Heapster (influxdb.graf…

前言 关于kubernetes HA集群部署的方式有很多种(这里的HA指的是master apiserver的高可用),比如通过keepalived vip漂移的方式.haproxy/nginx负载均衡实现的高可用等.我这里一系列的部署都是通过haproxy 和 nginx 负载均衡的方式去实现集群的部署,并且由于现在k8s使用的用户越来越多,所以网上有很多相似的解决方案.如果本篇文章涉及的抄袭,可以联系我. 一.环境准备 1.1 主机环境 IP地址 主机名 角色 备注192.168.15.13…

全文参考了两篇中文文档: 1,https://www.cnblogs.com/RainingNight/p/using-kubeadm-to-create-a-cluster.html 2,http://running.iteye.com/blog/2322634 注意: 运行命令是一定要区分是在master节点还是在pods节点上运行的,有些命令只能在master节点执行,有些命令只能在pods节点执行.这个要区分. 运行命令一定要区分清用户是谁,是root还是普通用户. 大步骤: 1,在ma…

转载于:https://www.jevic.cn/2018/09/23/kuberentes-1.10.10/?tdsourcetag=s_pcqq_aiomsg#heapster 通读一遍在实际操作!!! 关于镜像请查看最后的补充说明 部署脚本查看仓库脚本 一. 系统环境 CentOS Linux release 7.2.1511 (Core) IP地址 主机名 Docker 版本 kubernetes 版本 192.168.2.219 master219 18.06.0-ce v1.10.1…

前言 目前 kubernetes 正式版本已经到1.10版本.因为前面有大佬(漠然)已经采完坑,所以自己也试着部署 kubernetes 1.9 体验下该版本的新特性.对于前面部署的 kubernetes 1.7 HA版本而言,本质上变化不大.主要是总结一下某些参数的变动以及其他组件的部署. 一.相关配置变更 1.1 关于 API SERVER 配置出现的变动 移除了 --runtime-config=rbac.authorization.k8s.io/v1beta1 配置,因为 RBAC 已经…

一.引子 既然Kubernetes中将容器的联网通过插件的方式来实现,那么该如何解决这个的联网问题呢? 如果你在本地单台机器上运行docker容器的话注意到所有容器都会处在docker0网桥自动分配的一个网络IP段内(172.17.0.1/16.该值可以通过docker启动参数 --bip来设置.这样所有本地的所有的容器都拥有了一个IP地址,而且还是在一个网段内彼此就可以互相通信来. 但是Kubernetes管理的是集群,Kubernetes中的网络要解决的核心问题就是每台主机的IP地址网段划分…

参考博客:https://mritd.me/2018/04/19/set-up-kubernetes-1.10.1-cluster-by-hyperkube/ 一.环境 (1)系统环境 IP 操作系统 docker版本 节点用途 172.16.60.95 CentOs7 18.03.0-ce master-01.etcd1 172.16.60.96 CentOs7 18.03.0-ce master-02.etcd2 172.16.60.97 CentOs7 18.03.0-ce node-01…

基于Kubernetes的容器云 容器云最主要的功能是以应用为中心,帮助用户把所有的应用以容器的形式在分布式里面跑起来,最后把应用以服务的形式呈现给用户.容器云里有两个关键点,一是容器编排,二是资源调度. 容器编排就是我们期望能把一些微服务通过容器编排来帮助用户组建一个比较庞大的系统,而资源调度在容器云这种大规模分布式环境是必须的,需要一个比较好的调度平台来提升系统的资源利用率以及根据用户的资源请求帮助用户来调配资源. 我们IBM的BlueDock就是这样一个容器云平台,主要基于Kubernet…

系列目录 上一节我们分别使用纯文本账户密码和docker的config文件一创建一个kubernetes secret对象,并且把它添加到containers的imagePullSecrets字段用以拉取私仓镜像.这一节我们讲解另一种方法:即把secret附加到default这个serviceaccount上,这样拉取镜像的时候就不需要每次都在yml文件里声明imagePullSecrets字段. 至于为什么把镜像的拉取secret附加到default这个serviceaccont上就可以实现无…

目录 0.前言 1.Jenkins部署 2.配置jenkins动态slave 3.dubbo服务构建 3.1.制作dubbo镜像底包 3.2.制作slave基础镜像 3.2.1.Maven镜像 3.2.2.Docker镜像 3.3.添加git key 3.4.创建dubbo流水线 3.4.执行流水线构建 0.前言 首先,我们考虑个问题,为何需要jenkins slave?其实在生产环境中,如果用单master,除非你单机器的配置特别高并且构建次数不多情况下,可以不考虑使用slave,但是,在构建…

Kubernetes 安全之访问控制 本文将主要分享以下三方面的内容: Kubernetes API 请求访问控制 Kubernetes 认证 Kubernetes RBAC Security Context 的使用 Kubernetes API 请求访问控制 访问控制 大家都知道访问控制是云原生中的一个重要组成部分.也是一个 Kubernetes 集群在多租户环境下必须要采取的一个基本的安全架构手段. 那么在概念上可以抽象的定义为谁在何种条件下可以对什么资源做什么操作.这里的资源就是在 Kub…

来源:分布式实验室译者:冯旭松在Ridecell公司管理基础设施团队几年后,我想在停下来休息时记录一些想法和经验教训. 1Kubernetes不仅仅是炒作 我在Kubernetes领域里活跃了很久,所以这并不出乎我的意料,但当某件事情被大肆宣传的时候,仔细检查一下总是好的.在两年多的时间里,我的团队完成了从Ansible+Terraform到纯Kubernetes的全面迁移,在这个过程中,我们的部署率增加了三倍多,同时将部署错误减少到"我都不记得上次是什么时候发生的"的水平.我们还提高…

(dlv) b k8s.io/sample-controller/pkg/client/informers/externalversions.(*sharedInformerFactory).InformerFor (dlv) b k8s.io/sample-controller/vendor/k8s.io/client-go/informers.(*sharedInformerFactory).InformerFor (dlv) b k8s.io/sample-controller/vendo…

参考链接:https://github.com/opsnull/follow-me-install-kubernetes-cluster kubernetes 概述 1.kubernetes 是什么 Google2014年推出的容器集群管理系统 k8s用于容器化应用程序的部署.扩展和管理 k8s提供了容器编排.资源调度.弹性伸缩.部署管理.服务发现等一系列功能 k8s的目标是让部署容器化应用简单高效 总结:可以理解成一个容器平台.微服务平台(非常适合微服务架构).便携式云平台 2.keberne…

在安装或者重新安装kubernetes时,我碰到了这个错误: Unable to update cni config: No networks found in /etc/cni/net.d/ 这个错误的原因是:kubectl get nodes时总有NotReady的设备. 另外,kubectl get pods --all-namespaces查看pods节点时,coredns总是pending状态. 随着一点点google,发现核心问题是:tail -f /var/log/syslog时看…

一.知识准备 1.calico主要通过ipip协议与bgp协议来实现通信.前者通过ipip隧道作为通信基础,后者则是纯三层的路由交换 2.bgp协议主要由两种方式:BGP Speaker 全互联模式(node-to-node mesh)与BGP Speaker RR模式 3.本文主要探索一下calico bgp的两种模式 二.环境准备 组件 版本 OS Ubuntu 18.04.1 LTS docker 18.06.0-ce k8s 1.10.1 calico 3.1.3 ip hostname…

因为Kubernetes官方用的flannel无法实现多租户环境下的网络隔离,建立起来的pod之间实际可以相互访问,而Calico可以实现,因此周末找个时间试了一下大概的过程. 前面的kubernetes安装掠过 Calico安装 下载yaml文件 http://docs.projectcalico.org/v2.3/getting-started/kubernetes/installation/hosted/calico.yaml http://docs.projectcalico.org/v…

部署calico的两个yaml文件: kubectl apply -f http://docs.projectcalico.org/v2.3/getting-started/kubernetes/installation/rbac.yaml kubectl apply -f http://docs.projectcalico.org/v2.3/getting-started/kubernetes/installation/hosted/kubernetes-datastore/calico-ne…

关于spring-cloud-kubernetes spring-cloud-kubernetes是springcloud官方推出的开源项目,用于将Spring Cloud和Spring Boot应用运行在kubernetes环境,并且提供了通用的接口来调用kubernetes服务,GitHub上官方地址是:https://github.com/spring-cloud/spring-cloud-kubernetes 系列文章列表 本文是<spring-cloud-kubernetes实战系列>…

本文是<spring-cloud-kubernetes实战系列>的第六篇,主要内容是在kubernetes上部署一个java web应用,该应用使用了spring-cloud-kubernetes框架,可以使用kubernetes的configmap: 系列文章列表 <spring-cloud-kubernetes官方demo运行实战> <你好spring-cloud-kubernetes> <spring-cloud-kubernetes背后的三个关键知识点&g…

关闭防火墙 关闭selinux 下载所需的包(cfssl,生成证书工具) mkdir /usr/local/src/etcd/ cd /usr/local/src/etcd/ wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64…

[root@test1 script]# cat k8s-docker-binary-py #!/usr/bin/python # -*- coding: utf-8 -*- from __future__ import print_function import os, sys, stat import shutil import tarfile import subprocess # 定义环境变量 # 定义主机名 NODE_NAME = subprocess.check_output(["h…

00.组件版本和配置策略 00-01.组件版本 Kubernetes 1.15.6 Docker docker-ce-18.06.1.ce-3.el7 Etcd v3.3.13 Flanneld v0.11 插件: Coredns Dashboard Heapster (influxdb.grafana) Metrics-Server EFK (elasticsearch.fluentd.kibana) 镜像仓库: docker registry harbor 00-02.主要配置策略 kube…

二进制部署 k8s 1.18.3 1.相关前置信息 1.1 版本信息 kube_version: v1.18.3 etcd_version: v3.4.9 flannel: v0.12.0 coredns: v1.6.7 cni-plugins: v0.8.6 pod 网段:10.244.0.0/16 service 网段:10.96.0.0/12 kubernetes 内部地址:10.96.0.1 coredns 地址: 10.96.0.10 apiserver 域名:lb.5179.top…