之前的docker和etcd已经部署好了,现在node节点要部署二个服务:kubelet.kube-proxy. 部署kubelet(Master 节点操作) 1.二进制包准备 [root@k8s-master bin]# cd /usr/local/src/kubernetes/server/bin/ [root@k8s-master bin]# cp kubelet kube-proxy /opt/kubernetes/bin/ [root@k8s-master bin]# scp kube

1)CA 证书配置登录 192.168.0.1 app 用户下cd ssl/kubernetes#注意修改 KUBE_HOME,BOOTSTRAP_TOKEN #与 3.5 3)token 一致,KUBE_APISERVER,IP 等信息bash ca_kubelet.sh #!/bin/bash KUBE_HOME=kubernetes BOOTSTRAP_TOKEN=f192f8a03c6a087e6033c233eb22aae3 #与3.5 3)token一致 KUBE_APISERVER

一个在名称空间内的对象的完整url模板: Object_URL: /apis/<GROUP>/<VERSION>/namespaces/<NAMESPACE_NAME>/<KIND>[OJJECT_ID] role based access control,将权限授权给角色role,让用户扮演某个角色,这样用户就会有对应的权限. 许可授权:定义role时,会标明对哪些对象(object),做哪些操作(operations) 图解:名称空间级别的Role,通过

查看所有的node节点 [root@test1 ~]# kubectl get nodes NAME STATUS ROLES AGE VERSION test1 Ready <none> 2h v1.11.0 test2 Ready node 21h v1.11.0 设置集群角色 # 设置 test1 为 master 角色 kubectl label nodes test1 node-role.kubernetes.io/master= # 设置 test2 为 node 角色 kubec

这是昨天晚上阅读园子里的2篇 k8s 博文时产生的想法,在随笔中记录一下. 这2篇博文是 K8S调度之节点亲和性 与 K8S调度之Taints and Tolerations . 如果我们把 node 当作女方,pod 当作南方,scheduler 当作媒人,从相亲的角度理解这3个概念,不仅豁然开朗,而且很容易记住. node affinity 就是女方告诉媒人自己喜欢什么类型的男生,介绍这些类型的男生给她. taints 就是女方告诉媒人自己有哪些缺点,不能容忍这些缺点的男生请走开. tole

一.简介 Node是Pod真正运行的主机,可以是物理机也可以是虚拟机. Node本质上不是Kubernetes来创建的, Kubernetes只是管理Node上的资源. 为了管理Pod,每个Node节点上至少需要运行container runtime(Docker).kubelet和kube-proxy服务. node基本操作:kubectl get nodes,查询所有node 二.k8s上新增node节点 新增节点   三.移除节点 1.获取节点列表:kubectl get node  2.

新买的树莓派4b到货后就迫不及待的烧录上raspberrypi系统,将新派加入我的k8s集群,期间遇到了点小挫折,好歹也一个一个解决了: 一.kubelet版本不对导致无法加入k8s集群 在执行kubeadm join时,提示无法连接127.0.0.1:10248:去master节点上看了下这个端口对应的服务是kubelet,那就是kubelet无法启动,我手动强制启动也是失败的:后来查看了下master的kubelet版本,发现master的kubelet版本是v1.23.5:而我新树莓派上的

1.现象,创建deployment时 2.查看污点 [fedora@k8s-cluster--ycmwlao4q5wz-master- ~]$ kubectl describe node k8s-cluster--ycmwlao4q5wz-minion-|grep -i taints Taints: node.cloudprovider.kubernetes.io/uninitialized=true:NoSchedule 如果发现有:NoSchedule,表示该node不能调度 3.取消污点

一.修改主机名 hostnamectl set-hostname xxx 二.修改hosts文件vim /etc/hosts 三.将写好的hosts文件拷贝到其他节点 scp /etc/hosts root@k8s-node01:/etc/hosts 四.安装依赖包 yum install -y conntrack ntpdate ntp ipvsadm ipset jq iptables curl sysstat libseccomp wgetvimnet-tools git 五.设置防火墙为

报错现象: [root@localhost ~]# kubectl get nodes The connection to the server localhost:8080 was refused - did you specify the right host or port? 但是也想让子节点可以查询,因此研究了一下 把master下面的admin.conf移到子节点相同路径下 [root@localhost manifests]# cd /etc/kubernetes [root@loc

一.知识准备 ● 上一节描述了k8s的账户管理,本文描述基于角色的访问控制 ● 网上RBAC的文章非常多,具体概念大神们也解释得很详细,本文没有站在高屋建瓴的角度去描述RBAC,而是站在一个普通程序员的视角,去看待RBAC ● 我理解的基于角色的访问控制,如图: +------------+ +------------>|all:resource|-+ | +------------+ | +----------------+ +----+---+ | | | +------+ |role: |

9.deployment:声明式的升级应用 9.1.使用RC实现滚动升级 #kubectl rolling-update kubia-v1 kubia-v2 --image=luksa/kubia:v2 使用kubia-v2版本应用来替换运行着kubia-v1的RC,将新的复制控制器命名为kubia-v2,并使用luksa/kubia:v2最为镜像. 升级完成后使kubectl describe rc kubia-v2查看升级后的状态. 为什么现在不再使用rolling-update? 1.直接

我们需要做以下工作: (1)安装VMware,运行CentOs系统,一个做master,一个做node. (2)安装K8s. (3)安装docker和部分镜像会需要访问外网,所以你需要做些网络方面的准备工作,大家可以去某宝找一下,或者在网络上找别人下好的也可以. 一.安装VMware 官网地址:https://my.vmware.com/zh/web/vmware/downloads  (网上有很多自带破解的下载,大家也可以找一下) 我这里下载的是VM15(安装和新建虚拟机的步骤就跳过了,我也是

目录 角色访问控制RBAC (Role-Based Access Control) 常用的授权插件: RBAC控制: role 和 clusterrole rolebinding 和 clusterrolebinding 公共角色 clusterrole 以上几种关系的示意图 user 创建测试 创建role案例 创建 role rolebinding 绑定 jerry用户 测试 jerry 权限 clusterrole 测试 创建 clusterrole 测试绑定jerry用户 测试jerry

#K8S认证与访问控制(RBAC) 用户证书创建 #k8s认证 #主要认证 方式 http token.https证书 k8s不提供用户管理,API Server把客户端证书的CN字段作为User,把names.O字段作为Group Pod认证 ->ServiceAccount ->service-account-toen->API Server k8s组件认证 -> 证书 -> kubeconfig -> API Server Pod容器的访问:Pod(dashbor

一.简介 Rancher简介 来源官方:https://www.cnrancher.com/ Rancher是一个开源的企业级容器管理平台.通过Rancher,企业再也不必自己使用一系列的开源软件去从头搭建容器服务平台.Rancher提供了在生产环境中使用的管理Docker和Kubernetes的全栈化容器部署与管理平台. Rancher由以下四个部分组成: 1.1.基础设施编排 Rancher可以使用任何公有云或者私有云的Linux主机资源.Linux主机可以是虚拟机,也可以是物理机.Ranc

YAML语法规范:在kubernetes k8s中如何通过yaml文件创建pod,以及pod常用字段详解 YAML 语法规范 K8S 里所有的资源或者配置都可以用 yaml 或 Json 定义.YAML 是一个 JSON 的超集,任何有效的 JSON 文件也都是一个有效的YAML文件. 具体参见:「YAML 语言教程与使用案例」 通过yaml创建nginx pod对象 yaml文件 在Kubernetes的 yaml文件中,最好不要出现下划线,可以有中横线. [root@k8s-master t

## 基于Docker和Kubernetes的企业级DevOps实践训练营 ### 课程准备 1. 离线镜像包 百度:https://pan.baidu.com/s/1N1AYGCYftYGn6L0QPMWIMw 提取码:ev2h 天翼云:https://cloud.189.cn/t/ENjUbmRR7FNz 3. CentOS7.4版本以上 虚拟机3台(4C+8G+50G),内网互通,可连外网 3. 课件文档 - <训练营课件> - <安装手册> 4. git仓库 https:/

前文我们了解了k8s上的访问控制机制,主要对访问控制中的第一关用户认证做了相关说明以及常规用户的配置文件的制作,回顾请参考:https://www.cnblogs.com/qiuhom-1874/p/14207381.html:今天我们来了解下k8s上的访问控制第二关RBAC授权相关话题: 在k8s上授权的机制有很多,最常用的有ABAC和RBAC:ABAC(attribute based access control)这种是基于属性做访问控制:RBAC(role based access con

导读 上一篇说了k8s的授权管理,这一篇就来详细看一下RBAC授权模式的使用 RBAC授权模式 基于角色的访问控制,启用此模式,需要在API Server的启动参数上添加如下配置,(k8s默然采用此授权模式). --authorization-mode=RBAC /etc/kubernetes/manifests/kube-apiserver.yaml (1)对集群中的资源及非资源权限均有完整的覆盖 (2)整个RBAC完全由几个API对象完成,同其他API对象一样,可以用kubelet或API进

K8s 部署 Dashboard UI  仪表板   --让一切可视化 Dashboard 介绍 仪表板是基于Web的Kubernetes用户界面.您可以使用仪表板将容器化应用程序部署到Kubernetes集群,对容器化应用程序进行故障排除,并管理集群本身及其伴随资源. 您可以使用仪表板来概述群集上运行的应用程序,以及创建或修改单个Kubernetes资源(例如部署,作业,守护进程等). 例如,您可以使用部署向导扩展部署,启动滚动更新,重新启动Pod或部署新应用程序.仪表板还提供有关群集中Kub