![](https://img-blog.csdnimg.cn/20210301235410981.png?x-oss-process=image/resize,m_fixed,h_224,w_224)
Kubernetes
文章平均质量分 95
Kubernetes文章分享
cr7258
这个作者很懒,什么都没留下…
展开
-
使用 ClusterResourceSet 为 Cluster API 集群自动安装 CNI 插件
在本文中,我们将会通过 ClusterResourceSet 来自动为工作负载集群安装 Cilium CNI 插件。原创 2022-12-29 12:27:41 · 792 阅读 · 0 评论 -
在 Istio 服务网格中使用 Argo Rollouts 实现智能的渐进式发布
在本文中我们介绍了如何使用 Argo Rollouts 结合 Istio 服务网格中丰富的流量治理以及可观测性能力;并通过 Argo Rollouts 提供的 Analysis 机制,在应用升级时对应用的健康状态进行分析,根据分析结果自动决定是否继续更新或者回滚,从而实现了智能的渐进式发布。原创 2022-12-10 13:48:13 · 984 阅读 · 1 评论 -
vcluster -- 基于虚拟集群的多租户方案
虚拟集群(virtual cluster, 简称 vcluster)是在常规的 Kubernetes 集群之上运行的一个功能齐全,轻量级,隔离性良好的 Kubernetes 集群。虚拟集群的核心思想是提供运行在“真实”Kubernetes 集群之上隔离的 Kubernetes 控制平面(例如 API Server)。与完全独立的“真实“集群相比,虚拟集群没有自己的工作节点或者网络,工作负载实际上还是在底层宿主集群上调度。原创 2022-10-19 11:06:21 · 1472 阅读 · 0 评论 -
使用 ECK 在 Kubernetes 集群中管理 Elastic Stack
使用 ECK 在 Kubernetes 集群中管理 Elastic Stack原创 2022-08-30 21:31:47 · 2205 阅读 · 3 评论 -
Kubernetes 中数据包的生命周期 -- 第 1 部分
本文翻译自:Life of a Packet in Kubernetes — Part 1 [1]作者:Dinesh Kumar Ramasamy本文在原文的基础上做了适当的修改,如有疑问请查阅原文。Kubernetes 集群中的网络可能会令人感到有点困惑,即使是对于拥有虚拟网络和路由实践经验的工程师来说也是如此。本系列文章将分为 4 个部分,帮助你理解基本的 Kubernetes 网络,本文属于第一部分。Part 11.Linux 命名空间(Namespaces)2.容器网络(Netw.原创 2022-04-21 10:39:33 · 249 阅读 · 0 评论 -
Kubernetes 中数据包的生命周期 -- 第 2 部分
本文翻译自:Life of a Packet in Kubernetes — Part 2 [1]作者:Dinesh Kumar Ramasamy 本文在原文的基础上做了适当的修改,如有疑问请查阅原文。 正如我们在第 1 部分中所讨论的,CNI 插件在 Kubernetes 网络中起着至关重要的作用。当前有许多第三方 CNI 插件可供使用,Calico 便是其中之一。凭借着良好的易用性以及对多种网络架构的支持,Calico 获得了许多工程师的青睐。Calico 支持广泛的平台,包括 Kubern.原创 2022-04-24 12:16:52 · 1353 阅读 · 0 评论 -
Kubernetes 中数据包的生命周期 -- 第 3 部分
本文翻译自:Life of a Packet in Kubernetes — Part 3 [1]作者:Dinesh Kumar Ramasamy 本文在原文的基础上做了适当的修改,如有疑问请查阅原文。本文是 Kubernetes 中数据包的生命周期系列文章的第 3 部分。我们将讨论 Kubernetes 的 kube-proxy 组件如何使用 iptables 来控制流量。 了解 kube-proxy 在 Kubernetes 环境中的作用以及它如何使用 iptables 来控制流量非常重要。.原创 2022-05-06 15:07:41 · 919 阅读 · 0 评论 -
Kubernetes 中数据包的生命周期 -- 第 4 部分
本文翻译自:Life of a Packet in Kubernetes — Part 4 [1]作者:Dinesh Kumar Ramasamy 本文在原文的基础上做了适当的修改,如有疑问请查阅原文。 本文是 Kubernetes 中数据包的生命周期系列文章的第 4 部分,我们将会介绍 Kubernetes 中的 Ingress 资源对象和 Ingress Controller。Ingress Controller 是一个控制器,它监视 Kubernetes API Server 对 Ingre.原创 2022-05-15 17:28:34 · 356 阅读 · 0 评论 -
在 Kubernetes 中使用 Keycloak OIDC Provider 对用户进行身份验证
API Server 作为 Kubernetes 的网关,是用户访问和管理资源对象的入口。对于每个访问请求, API Server 都需要对访问者的合法性进行检查,包括身份验证、权限验证等等。Kubernetes 支持多种身份验证的方式,本文将对 OpenID Connect 认证进行介绍。1 OpenID Connect(OIDC)介绍OAuth(Open Authorization)是一个关于授权(authorization)的开放网络标准,允许用户授权第三方应用访问他们存储在其他服务提供者上的信息原创 2022-04-06 11:25:49 · 3757 阅读 · 2 评论 -
Kubernetes 中的对象是如何删除的:Finalizers 字段介绍
前言Kubernetes 中的对象删除并不像表面上看起来那么简单,删除对象涉及一系列过程,例如对象的级联和非级联删除,在删除之前检查以确定是否可以安全删除对象等等。这些都是通过称为 Finalizers(终结器)的 API 对象实现的。Finalizers 终结器Finalizers 是由字符串组成的数组,当 Finalizers 字段中存在元素时,相关资源不允许被删除,Finalizers 是 Kubernetes 资源删除流程中的一种拦截机制,能够让控制器实现异步的删除前(Pre-delete)回原创 2022-04-02 20:25:50 · 1522 阅读 · 0 评论 -
Kubectl debug 调试容器
Kubectl debug 调试容器调试容器化工作负载和 Pod 是每位使用 Kubernetes 的开发人员和 DevOps 工程师的日常任务。通常情况下,我们简单地使用 kubectl logs 或者 kubectl describe pod 便足以找到问题所在,但有时候,一些问题会特别难查。这种情况下,大家可能会尝试使用 kubectl exec,但有时候这样也还不行,因为 Distroless 等容器甚至不允许通过 SSH 进入 shell。那么,如果以上所有方法都失败了,我们要怎么办?Kube原创 2021-06-29 23:30:14 · 820 阅读 · 3 评论 -
Kubernetes 持久卷
Volume 卷Container 中的文件在磁盘上是临时存放的,这给 Container 中运行的较重要的应用程序带来一些问题:1.当容器崩溃时,kubelet 会重新启动容器,但容器会以干净的状态重启,造成文件的丢失。2.Pod 中运行多个容器时,希望能在多个容器中共享文件。因此 Kubernetes 使用了卷(Volume) 这一抽象概念能够来解决这两个问题。Kubernetes 支持下列类型的卷:hostpath:将主机节点文件系统上的文件或目录挂载到你的 Pod 中。emptyD原创 2021-05-08 20:00:05 · 357 阅读 · 0 评论 -
容器DNS介绍
DNS简介DNS服务是域名系统的缩写, 英文全称:Domain Name System,将域名和IP地址相互映射。在容器环境中,DNS至关重要,例如在Kubernetes集群中,通常一组Pod由一个Service负载,但是Service的IP地址有可能需要变动,那么就可以让Pod通过域名的方式去访问Service,Pod无需理会IP地址的变化。Docker DNSDocker linkDocker link是一个遗留的特性,在新版本的Docker中,一般不推荐使用。简单来说Docker link就是原创 2021-03-12 00:03:41 · 1463 阅读 · 0 评论 -
Kubernetes PodSecurityPolicy
PodSecurityPolicy介绍默认情况下,Kubernetes 允许创建一个有特权容器的 Pod,这些容器很可能会威胁系统安全,而 PodSecurityPolicy(PSP)则通过确保请求者有权限按配置来创建 Pod,从而来保护集群免受特权 Pod 的影响。PodSecurityPolicy是集群级别的资源,它能够控制 Pod 运行的行为,以及它具有访问什么的能力。 PodSecurityPolicy对象定义了一组条件,指示 Pod 必须按系统所能接受条件运行。以下是PodSecurityP原创 2021-03-09 23:41:34 · 629 阅读 · 0 评论 -
gVisor 和 KataContainers
目前的容器技术仍然有许多广为人知的安全挑战,其中一个主要的问题是,从单一共享内核获得效率和性能意味着容器逃逸可能成为一个漏洞。所以在 2015 年,几乎在同一个星期,Intel OTC (Open Source Technology Center) 和国内的 HyperHQ 团队同时开源了两个基于虚拟化技术的容器实现,分别叫做 Intel Clear Container 和 runV 项目。而在 2017 年,借着 Kubernetes 的东风,这两个相似的容器运行时项目在中立基金会的撮合下最终合并,就成原创 2021-03-02 23:29:32 · 639 阅读 · 0 评论 -
Kubernetes集群添加用户
Kubernetes中的用户K8S中有两种用户(User)——服务账号(ServiceAccount)和普通意义上的用户(User)ServiceAccount是由K8S管理的,而User通常是在外部管理,K8S不存储用户列表——也就是说,添加/编辑/删除用户都是在外部进行,无需与K8S API交互,虽然K8S并不管理用户,但是在K8S接收API请求时,是可以认知到发出请求的用户的,实际上,所有对K8S的API请求都需要绑定身份信息(User或者ServiceAccount),这意味着,可以为User配原创 2021-03-01 23:55:41 · 531 阅读 · 2 评论