Kubelet v1.25.x源码——SecretManager

最新推荐文章于 2024-05-18 10:08:54 发布
最新推荐文章于 2024-05-18 10:08:54 发布
阅读量579 收藏 1
点赞数
分类专栏: # Kubelet 文章标签: kubelet kubernetes docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/IOT_AI/article/details/128337765
版权

1. 环境说明

Kubernetes源码版本:remotes/origin/release-1.25
Kubernetes编译出来的Kubelet版本:Kubernetes v1.24.0-beta.0.2463+ee7799bab469d7
Kubernetes集群实验环境:使用Kubernetes v1.25.4二进制的方式搭建了一个单节点集群

K8S 单节点单节点搭建可以参考:Kubernetes v1.25 搭建单节点集群用于Debug K8S源码

Golang版本:go1.19.3 linux/amd64
IDEA版本:2022.2.3
Delve版本:1.9.1

[root@k8s-master1 kubernetes]#
[root@k8s-master1 kubernetes]# dlv version
Delve Debugger
Version: 1.9.1
Build: $Id: d81b9fd12bfa603f3cf7a4bc842398bd61c42940 $
[root@k8s-master1 kubernetes]#
[root@k8s-master1 kubernetes]# go version
go version go1.19.3 linux/amd64
[root@k8s-master1 kubernetes]#
[root@k8s-master1 kubernetes]# kubectl version
WARNING: This version information is deprecated and will be replaced with the output from kubectl version --short.  Use --output=yaml|json to get the full version.
Client Version: version.Info{Major:"1", Minor:"25", GitVersion:"v1.25.4", GitCommit:"872a965c6c6526caa949f0c6ac028ef7aff3fb78", GitTreeState:"clean", BuildDate:"2022-11-09T13:36:36Z", GoVersion:"go1.19.3", Compiler:"gc", Platform:"linux/amd64"}
Kustomize Version: v4.5.7
Server Version: version.Info{Major:"1", Minor:"25", GitVersion:"v1.25.4", GitCommit:"872a965c6c6526caa949f0c6ac028ef7aff3fb78", GitTreeState:"clean", BuildDate:"2022-11-09T13:29:58Z", GoVersion:"go1.19.3", Compiler:"gc", Platform:"linux/amd64"}
[root@k8s-master1 kubernetes]#
[root@k8s-master1 kubernetes]#
[root@k8s-master1 kubernetes]# kubectl get nodes -owide
NAME          STATUS   ROLES    AGE   VERSION   INTERNAL-IP     EXTERNAL-IP   OS-IMAGE                KERNEL-VERSION                CONTAINER-RUNTIME
k8s-master1   Ready    <none>   31h   v1.25.4   192.168.11.71   <none>        CentOS Linux 7 (Core)   3.10.0-1160.80.1.el7.x86_64   containerd://1.6.10
[root@k8s-master1 kubernetes]#
[root@k8s-master1 kubernetes]#
[root@k8s-master1 kubernetes]# kubectl get componentstatus
Warning: v1 ComponentStatus is deprecated in v1.19+
NAME                 STATUS    MESSAGE                         ERROR
etcd-0               Healthy   {"health":"true","reason":""}
controller-manager   Healthy   ok
scheduler            Healthy   ok
[root@k8s-master1 kubernetes]#

Kubelet启动参数配置如下:

[root@k8s-master1 kubernetes]# ps -ef|grep "/usr/local/bin/kubelet"
root       7972      1  6 07:06 ?        00:00:06 /usr/local/bin/kubelet --bootstrap-kubeconfig=/etc/kubernetes/bootstrap-kubelet.kubeconfig --kubeconfig=/etc/kubernetes/kubelet.kubeconfig --config=/etc/kubernetes/kubelet-conf.yml --container-runtime-endpoint=unix:///run/containerd/containerd.sock --node-labels=node.kubernetes.io/node= --v=8
root       9549   6424  0 07:07 pts/0    00:00:00 grep --color=auto /usr/local/bin/kubelet
[root@k8s-master1 kubernetes]#

Kubelet参数配置如下:

apiVersion: kubelet.config.k8s.io/v1beta1
kind: KubeletConfiguration
address: 0.0.0.0
port: 10250
readOnlyPort: 10255
authentication:
  anonymous:
    enabled: false
  webhook:
    cacheTTL: 2m0s
    enabled: true
  x509:
    clientCAFile: /etc/kubernetes/pki/ca.pem
authorization:
  mode: Webhook
  webhook:
    cacheAuthorizedTTL: 5m0s
    cacheUnauthorizedTTL: 30s
cgroupDriver: systemd
cgroupsPerQOS: true
clusterDNS:
- 10.96.0.10
clusterDomain: cluster.local
containerLogMaxFiles: 5
containerLogMaxSize: 10Mi
contentType: application/vnd.kubernetes.protobuf
cpuCFSQuota: true
cpuManagerPolicy: none
cpuManagerReconcilePeriod: 10s
enableControllerAttachDetach: true
enableDebuggingHandlers: true
enforceNodeAllocatable:
- pods
eventBurst: 10
eventRecordQPS: 5
evictionHard:
  imagefs.available: 15%
  memory.available: 100Mi
  nodefs.available: 10%
  nodefs.inodesFree: 5%
evictionPressureTransitionPeriod: 5m0s
failSwapOn: true
fileCheckFrequency: 20s
hairpinMode: promiscuous-bridge
healthzBindAddress: 127.0.0.1
healthzPort: 10248
httpCheckFrequency: 20s
imageGCHighThresholdPercent: 85
imageGCLowThresholdPercent: 80
imageMinimumGCAge: 2m0s
iptablesDropBit: 15
iptablesMasqueradeBit: 14
kubeAPIBurst: 10
kubeAPIQPS: 5
makeIPTablesUtilChains: true
maxOpenFiles: 1000000
maxPods: 110
nodeStatusUpdateFrequency: 10s
oomScoreAdj: -999
podPidsLimit: -1
registryBurst: 10
registryPullQPS: 5
resolvConf: /etc/resolv.conf
rotateCertificates: true
runtimeRequestTimeout: 2m0s
serializeImagePulls: true
staticPodPath: /etc/kubernetes/manifests
streamingConnectionIdleTimeout: 4h0m0s
syncFrequency: 1m0s
volumeStatsAggPeriod: 1m0s

2. 组件概览

顾名思义,SecretManager就是用于管理Secret资源对象的,它缓存了所有的Secret,并且负责向给定的Pod中注入/撤销Secret

3. 源码剖析

3.1. SecretManager

SecretManager

我们先来看看SecretManager的定义

只有GetSecret这个接口是有用的,顾名思义,就是通过资源的name以及namespace获取Secret

type Manager interface {
	GetSecret(namespace, name string) (*v1.Secret, error)

	RegisterPod(pod *v1.Pod)

	UnregisterPod(pod *v1.Pod)
}

3.2. simpleSecretManager

simpleSecretManager

simpleSecretManagerManager的简单实现,GetSecret接口的实现也非常的简单,就是通过apiserver获取secret。而RegistePod以及UnRegisterPod为空。

type simpleSecretManager struct {
	kubeClient clientset.Interface
}

// NewSimpleSecretManager creates a new SecretManager instance.
func NewSimpleSecretManager(kubeClient clientset.Interface) Manager {
	return &simpleSecretManager{kubeClient: kubeClient}
}

func (s *simpleSecretManager) GetSecret(namespace, name string) (*v1.Secret, error) {
	return s.kubeClient.CoreV1().Secrets(namespace).Get(context.TODO(), name, metav1.GetOptions{})
}

func (s *simpleSecretManager) RegisterPod(pod *v1.Pod) {
}

func (s *simpleSecretManager) UnregisterPod(pod *v1.Pod) {
}

3.3. secretManager

secretManager

secretManager借助于Util.Manager实现的,而Util.Manager有两种实现,一个为CachedBasedManager,另外一个则是WatchedBasedManager

type secretManager struct {
	manager manager.Manager
}

func (s *secretManager) GetSecret(namespace, name string) (*v1.Secret, error) {
	object, err := s.manager.GetObject(namespace, name)
	if err != nil {
		return nil, err
	}
	if secret, ok := object.(*v1.Secret); ok {
		return secret, nil
	}
	return nil, fmt.Errorf("unexpected object type: %v", object)
}

func (s *secretManager) RegisterPod(pod *v1.Pod) {
	s.manager.RegisterPod(pod)
}

func (s *secretManager) UnregisterPod(pod *v1.Pod) {
	s.manager.UnregisterPod(pod)
}

3.4. NewCachingSecretManager

NewCachingSecretManager
func NewCachingSecretManager(kubeClient clientset.Interface, getTTL manager.GetObjectTTLFunc) Manager {
	getSecret := func(namespace, name string, opts metav1.GetOptions) (runtime.Object, error) {
		return kubeClient.CoreV1().Secrets(namespace).Get(context.TODO(), name, opts)
	}
	secretStore := manager.NewObjectStore(getSecret, clock.RealClock{}, getTTL, defaultTTL)
	return &secretManager{
		manager: manager.NewCacheBasedManager(secretStore, getSecretNames),
	}
}

3.5. NewWatchingSecretManager

NewWatchingSecretManager
func NewWatchingSecretManager(kubeClient clientset.Interface, resyncInterval time.Duration) Manager {
	listSecret := func(namespace string, opts metav1.ListOptions) (runtime.Object, error) {
		return kubeClient.CoreV1().Secrets(namespace).List(context.TODO(), opts)
	}
	watchSecret := func(namespace string, opts metav1.ListOptions) (watch.Interface, error) {
		return kubeClient.CoreV1().Secrets(namespace).Watch(context.TODO(), opts)
	}
	newSecret := func() runtime.Object {
		return &v1.Secret{}
	}
	isImmutable := func(object runtime.Object) bool {
		if secret, ok := object.(*v1.Secret); ok {
			return secret.Immutable != nil && *secret.Immutable
		}
		return false
	}
	gr := corev1.Resource("secret")
	return &secretManager{
		manager: manager.NewWatchBasedManager(listSecret, watchSecret, newSecret, isImmutable, gr, resyncInterval, getSecretNames),
	}
}
GousterCloud
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kubernetes-Secret
「 虚幻私塾」
01-25 542
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 1. 简介 Secret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 这样的信息可能会被放在 Pod 规约中或者镜像中。 使用 Secret 意味着你不需要在应用程序代码中包含机密数据。 由于创建 Secret 可以独立于使用它们的 Pod, 因此在创建、查看和编辑 P
docker-compose-Linux-v1.25.5.rar
06-02
下载后解压rar,将内部的docker-compose-Linux-x86_64上传到服务器指定目录。 重命名:mv docker-compose-Linux-x86_64 docker-compose 授予可执行权限:chmod +x docker-...查看版本,验证安装成功:docker-compose -v
kubernetes-secret-manager:使用Kubernetes集群中的Vault管理秘密
02-03
Kubernetes秘密管理员 问题 通常,资的用户名和密码与服务帐户静态关联。 这些密码很少更改,通常很难在应用程序堆栈中旋转。 有时,我们甚至无法确定有多少组件正在使用该服务帐户,这使得轮换更加困难,并且由于担心停机和错误,最终团队也不会改变。 理想情况下,我们需要一个解决方案,该解决方案允许我们动态旋转凭据,并以一种经过深思熟虑的安全方式进行。 目标 该项目的主要目的是允许从MySQL数据库请求动态机密,并使Kubernetes集群中的Pod能够使用这些动态密码。 机密应与租约相关联,以使它们在预定义的ttl之后过期,并且应在满足最大ttl之前旋转机密。 应当执行该实现,以便吊舱不
kubernetes存储 -- Secret配置管理
thermal_life的博客
07-01 895
简介 ConfigMap是用来存储一些非安全的配置信息,如果涉及到一些安全相关的数据的话用ConfigMap就非常不妥了, 因为ConfigMap明文存储的,这个时候j就应该使用Secret Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 ssh key。 敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。 Pod 可以用两种方式使用 secret: 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里。 当 kubel
kubelet码分析(二)之 NewMainKubelet
胡伟煌的博客
07-15 773
本文个人博客地址:https://www.huweihuang.com/kubernetes-notes/code-analysis/kubelet/NewMainKubelet.html kubelet码分析(二)之 NewMainKubelet 以下代码分析基于 kubernetes v1.12.0 版本。 本文主要分析 https://github.com/kubernetes/ku...
Kubelet v1.25.x码——总体概览
展望、进击
12-07 1291
剖析kubelet的主体流程
Kubelet v1.25.x码——CheckpointManager
展望、进击
12-21 513
kubelet v1.25.x CheckpointManager码剖析
Kubelet v1.25.x码——ImageManager
展望、进击
12-20 829
kubelet v1.25.x ImageManager码剖析
Kubelet v1.25.x码——ConfigmapManager
展望、进击
12-16 297
Kubelet v1.25.x码ConfigmapManager简单分析
Kubelet v1.25.x码——RuntimeClassManager
展望、进击
12-21 115
kubelet v1.25.x码 RuntimeClassManager码分析
ISQUARTET_V1.25.02_XPVISTAWIN7(20120115).zip
07-07
玛雅四重奏声卡驱动ISQUARTET_V1.25.02_XPVISTAWIN7(20120115).zip
scrcpy-win64-v1.25.rar 安卓投屏电脑神器
04-03
scrcpy[1] 是一款开的安卓设备投屏工具,通过 USB 或 Wi-Fi 与设备连接后就可以在 PC 端操作安卓设备,无需 root 权限且支持多平台运行 Windows 的安装包里已经集成了 adb 工具,接下来就可以连接设备了。...
MaxLauncher 快速启动软件 v1.25.0.0官方版
01-02
为您提供MaxLauncher 快速启动软件下载,MaxLauncher是一款快速启动软件,跟MadAppLauncher软件同为一个作者开发,功能几乎一模一样,可以说是它的后续版本,主要区别是新增了中文语言,以及新增界面主题!...
KD-C50 SetupCh v1.25.exe
06-02
国产瓦力能对讲机写频软件,目前市场国产机牌子数量剧增,软件都是定制版的,网上没有下载信息,有些JS卖对讲机不给软件。
Ubuntu18.04 安装kubernetes v1.25.x 集群
weixin_45747535的博客
11-12 1078
Ubuntu18.04安装Kubernetes v1.25
Kubelet containerd 管理命令 ctr常用操作
小楼一夜听春雨,深巷明朝卖杏花
04-30 599
导入可能会出现类似于 ctr: content digest sha256:xxxxxx not found 的错误,要解决这个办法需要 pull 所有平台镜像。--all-platforms:所有平台(amd64 、arm、386 、ppc64le 等),不加的话下载当前平台架构。把已下载的容器镜像挂载至当前文件系统,是为了方便查看镜像中包含的内容。同时导出可以使用--platform导出其它平台的(例如arm)--all-platforms为导出所有平台。-q 只打印镜像名称。
k8s相关常用语句
QQ563627436的博客
05-11 680
查连的是哪个数据库:kubectl logs -f --tail=500000 phoenix-trade-a1e3d-9c4f897c7-xb26g -n sit-jd20230721zh | grep dbId=看实时日志: kubectl logs -f --tail=500000 ${pod的名称} -n ${命名空间}(pod的名称就像这样的:cif-sit-gp20230519go-6bf7bd4c99-948pc)
Kubernetes 之 Pod 标签、节点选择器和节点亲和性
最新发布
千度阿三的博客
05-18 338
我们在创建 Pod 资的时候,Pod 会根据 Scheduler 进行调度,默认会调度到随机的一个工作节点。如果我们想要将 Pod 调度到指定节点或者调度到一些具有相同特点的 Node 节点,可以使用 Pod 中的nodeName或者字段来指定要调度到的 Node 节点。节点亲和性是 Pod 在调度过程中一系列调度约束规则,主要针对节点选择器的匹配,匹配度越高,则该节点执行该 Pod 的概率就越高。节点亲和性分为硬亲和性和软亲和性,硬亲和性代表必须满足,软亲和性在不满足约束规则的条件上,仍可以随机启动。
centos7安装k8s1.25.4
08-06
要在CentOS 7上安装Kubernetes 1.25.4,可以按照以下步骤进行操作: 1. 更新系统和软件包:使用以下命令更新系统和安装必要的软件包。 ``` sudo yum update sudo yum install -y curl ``` 2. 安装Docker:Kubernetes需要Docker作为容器运行时。使用以下命令安装Docker。 ``` sudo yum install -y docker sudo systemctl enable docker sudo systemctl start docker ``` 3. 添加Kubernetes存储库:访问Kubernetes存储库以获取1.25.4版本的软件包。 ``` cat <<EOF | sudo tee /etc/yum.repos.d/kubernetes.repo [kubernetes] name=Kubernetes baseurl=https://packages.cloud.google.com/yum/repos/kubernetes-el7-x86_64 enabled=1 gpgcheck=1 repo_gpgcheck=1 gpgkey=https://packages.cloud.google.com/yum/doc/yum-key.gpg https://packages.cloud.google.com/yum/doc/rpm-package-key.gpg EOF ``` 4. 安装Kubernetes组件:使用以下命令安装Kubernetes组件。 ``` sudo yum install -y kubelet-1.25.4 kubeadm-1.25.4 kubectl-1.25.4 sudo systemctl enable kubelet sudo systemctl start kubelet ``` 5. 初始化Kubernetes主节点:在主节点上执行以下命令初始化集群。 ``` sudo kubeadm init ``` 6. 配置kubectl:在主节点上按照kubeadm init命令的输出提示,设置当前用户的kubectl配置文件。 ``` mkdir -p $HOME/.kube sudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/config sudo chown $(id -u):$(id -g) $HOME/.kube/config ``` 7. 加入工作节点:如果要将其他节点添加到集群中,可以在工作节点上执行kubeadm join命令,将其加入到集群中。 这些步骤会在CentOS 7上安装Kubernetes 1.25.4版本,并设置好主节点和工作节点。请确保按照步骤正确执行,并在初始化和加入节点时遵循相应的命令和安全提示。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值