【Kubernetes 系列】一文学会Kubernetes Service安全的暴露应用

最新推荐文章于 2025-01-19 18:06:09 发布
最新推荐文章于 2025-01-19 18:06:09 发布
阅读量437 收藏 5
点赞数 4
文章标签: kubernetes 安全 贪心算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_85236365/article/details/140587669
版权

现在,我们执行上面的命令,就可以暴露我们的service了,执行结果如下:

NAME ENDPOINTS AGE

my-nginx 172.17.0.3:80,172.17.0.8:80 23m

现在我们就能够从集群中任意节点上使用 curl 命令向 <CLUSTER-IP>:<PORT> 发送请求以访问 Nginx Service。

2.3、访问 Service

Kubernetes支持两种查找服务的主要模式: 环境变量和 DNS。这里我将只介绍环境变量的查找方式。

当 Pod 在节点上运行时,kubelet 会针对每个活跃的 Service 为 Pod 添加一组环境变量。 这就引入了一个顺序的问题。为解释这个问题,让我们先检查正在运行的 Nginx Pod 的环境变量。

我个人的环境变量是 my-nginx-cf54cdbf7-vr96x 你的可能会和我的不一样,直接在pod 中查看直接的环境变量。

在这里插入图片描述

接下来执行命令:

$ kubectl exec my-nginx-cf54cdbf7-vr96x – printenv | grep SERVICE

运行结果如下:

KUBERNETES_SERVICE_HOST=10.96.0.1

KUBERNETES_SERVICE_PORT=443

KUBERNETES_SERVICE_PORT_HTTPS=443

能看到环境变量中并没有你创建的 Service 相关的值。这是因为副本的创建先于 Service。 这样做的另一个缺点是,调度器可能会将所有 Pod 部署到同一台机器上,如果该机器宕机则整个 Service 都会离线。 要改正的话,我们可以先终止这 2 个 Pod,然后等待 Deployment 去重新创建它们。 这次 Service 会先于副本存在。这将实现调度器级别的 Pod 按 Service 分布(假定所有的节点都具有同样的容量),并提供正确的环境变量。

分别执行如下两行命令:

$ kubectl scale deployment my-nginx --replicas=0; kubectl scale deployment my-nginx --replicas=2;

$ kubectl get pods -l run=my-nginx -o wide

在这里插入图片描述

你可能注意到,Pod 具有不同的名称,这是因为它们是被重新创建的。

现在我们再次执行Nginx Pod 环境变量命令,注意:现在你的环境变量又变了,请验证:

$ kubectl exec my-nginx-cf54cdbf7-fhghk – printenv | grep SERVICE

终于,我们在运行结果中,看到了Service 相关的值:

KUBERNETES_SERVICE_PORT_HTTPS=443

MY_NGINX_SERVICE_HOST=10.97.238.70

KUBERNETES_SERVICE_HOST=10.96.0.1

KU

最低0.47元/天 解锁文章
2401_85236365
关注
secret学习笔记
rendongxingzhe的博客
04-19 1279
Secret是用来保存敏感信息的,比如密码、令牌或者key,redis、mysql密码。 是种包含少量敏感信息例如密码、令牌或密钥的对象。 这样的信息可能会被放在Pod规约中或者镜像中。 使用 Secret 意味着你不需要在应用程序代码中包含机密数据。 Secret 类似于ConfigMap但专门用于保存机密数据。 每个 Secret 的尺寸最多为 1MiB。施加这限制是为了避免用户创建非常大的 Secret, 进而导致 API 服务器和 kubelet 内存耗尽。不过创建很多小的 ...
Kubernetes之Ingress
Button的博客
07-07 537
kubernetes中的ingress
kubernetes系列Kubernetes之Secret凭证
margu_168的博客
07-05 1338
如果–service-account-key-file=未传入任何值,那么将默认使用–tls-private-key-file的值,即API Server的私钥。它们都通过mount 的方式挂载到 pod 中,其中 token 保存的路径是 /var/run/secrets/kubernetes.io/serviceaccount/token ,是 kube-controller-manager 通过–service-account-private-key-file私钥签发的token;
shell 学习笔记9-while/until循环语句
weixin_30838921的博客
09-09 403
、while循环语句   1、循环语句     循环愈久就是重复执行条指令或组执行,知道条件不在满足时停止,shell循环语句包括,while、until、for、select语句   2、while循环     主要用来重复执行命令或语句,常用来守护进程或持续运行的程序,其实大多数循环都会用for循环语句   3、语法 while <条件表达式> d...
如何在Kubernetes里配置Ingress TLS证书
weixin_45363959的博客
12-12 2896
注意: SSL和TLS是样的,SSL是旧的版本,TLS是新版本的SSL。
kubernetes学习-Ingress(八)
最新发布
wj617906617的博客
01-19 736
访问对应的IP地址,如下图:我这里在配置window的hosts文件时,最开始不能通过k8s.wolfcode.cn域名来访问,后面才知道,由于我的电脑开了代理,需要关闭代理,才可以进行访问。这时候去获取pod发现并没有获取到,k8s-master节点的确打上了ingress=ture标签,这是由于k8s-master上的污点导致的,k8s默认不建议将应用装到master节点上。搜索ingress-nginx/kube-webhook-certgen。或者参考上述文档的评论区。使用上面文档的解决方法。
2024年最全【Kubernetes 系列文学Kubernetes Service安全暴露应用
2401_84281638的博客
05-01 625
这是因为副本的创建先于 Service。参数执行 curl 命令的,这是因为在证书生成时, 我们不知道任何关于运行 nginx 的 Pod 的信息,所以不得不在执行 curl 命令时忽略 CName 不匹配的情况。可以配置 Pod 使它与 Service 进行通信,Pod 知道与 Service 通信将被自动地负载均衡到该 Service 中的某些 Pod 上。上面创建了个扁平的、集群范围的地址空间中运行 Nginx 服务的 Pod ,要想把它暴露出去,我们还需要创建Service
Kubernetes 系列文学Kubernetes Service安全暴露应用(1)
2401_84301948的博客
05-13 285
还有兄弟不知道网络安全面试可以提前刷题吗?费时周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不截图了。
Kubernetes 系列文带你吃透 K8S 应用pod结点
m0_67400973的博客
07-28 394
本节内容相对比较简单,但却很重要,还是需要花费点时间,做个详细的验证学习理解的。那么本节内容到这里就结束了,下节我们起学习如何将Pod暴露给外部实现通信交互。httpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttps。...
Kubernetes知识点】 解读 Service 和 EndpointSlice 之间的关系
StevenZeng学堂
09-30 1563
❤️ 摘要:在 Kubernetes 中,Service 和 EndpointSlice 是实现负载均衡和服务发现的重要组件。 EndpointSlice让Service更好地处理大量后端,并允许集群有效地更新其健康后端列表。本文将深入探讨它们之间的关系,并设计实验来验证这关系。
Kubernetes Secret存储敏感数据
小楼一夜听春雨,深巷明朝卖杏花
01-07 1162
Secret 与ConfigMap类似,区别在于Secret主要存储敏感数据,所有的数据要经过base64编码。 应用场景:凭据 kubectl create secret 支持三种数据类型: docker-registry(kubernetes.io/dockerconfigjson):存储镜像仓库认证信息 generic(Opaque):存储密码、密钥等 tls(kubernetes.io/tls):存储TLS证书 [root@k8s-master ~]# kubectl cr.
k8s往secret里导入证书_K8s 安全抽象:Secret
weixin_39852491的博客
12-22 376
# K8s 安全抽象:Secret> [K8s Secret](https://kubernetes.io/zh/docs/concepts/configuration/secret/)> [为 Pod 配置服务账户](https://kubernetes.io/zh/docs/tasks/configure-pod-container/configure-service-accoun...
kubernetes1.22 helm ingress-nginx 使用笔记
weixin_39873598的博客
09-26 2395
kubernetes1.22 helm ingress-nginx 使用笔记
史上最全的 Kubernetes Nginx Ingress 中文入门教程 (2020 最新版)
easylife206的专栏
12-16 7790
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !通常我们部署在 Kubernetes 集群中的应用如何暴露给外部的用户使用呢?我们知道可以使用Node...
k8s (十) --- Kubernetes 存储 之 Secret
qq_35887546的博客
04-29 1482
Kubernetes 存储 之 Secret、Secret简介二、Service Account三、Opaque Secret通过命令创建Secret通过yaml文件创建Secret将Secret挂载到Volume中将Secret设置为环境变量四、kubernetes.io/dockerconfigjson 类型 、Secret简介 Secret对象类型用来保存敏感信息,例如密码、OAuth令...
阿里云Serverless Kubernetes通过Ingress提供7层服务访问
weixin_33923148的博客
07-03 237
简介 在阿里云Serverless Kubernetes集群中,我们可以通过LoadBalancer Service对外提供四层服务访问,同样我们也可以通过Ingress来对外提供七层服务访问,今天主要分享下如何在Serverless Kubernetes集群中提供七层域名服务访问。 使用说明 不指定SLB实例情况下系统会自动帮您生成个公网SLB...
Kubernetes实战 如何创建ingress tls secret?
xiliangMa的博客
06-08 3129
自签名证书: 生成私钥: openssl genrsa -out rest.key 2048 生成证书: openssl req -new -x509 -key rest.key -out rest.crt -subj /C=CN/ST=Beijing/L=Biejing/O=DevOpes/CN=restapi.test.com 创建secret 通过rancher 创建: 查看: 通过...
Kubernetes日志实战:无服务器趋势下的实时采集与处理
"《Kubernetes下日志采集、存储与处理技术实践》文探讨了在容器化环境中,特别是Kubernetes架构中,日志管理的重要性及其面临的挑战。日志服务作为基础设施的核心组成部分,不仅满足实时读写和HTAP(混合事务处理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值