第7周作业

已于 2023-10-11 22:29:29 修改
阅读量104 收藏
点赞数
分类专栏: k8s 文章标签: kubernetes
于 2023-10-07 21:57:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luohw222/article/details/133638508
版权

1、在Kubernetes中创建一个Nginx Service。

kubectl apply -f nginx-dp-svc.yaml

cat nginx-dp-svc.yaml 
apiVersion: apps/v1
kind: Deployment
metadata:
  creationTimestamp: null
  labels:
    app: nginx-dp
  name: nginx-dp
spec:
  replicas: 2
  selector:
    matchLabels:
      app: nginx-dp
  template:
    metadata:
      labels:
        app: nginx-dp
    spec:
      containers:
      - image: nginx:1.22
        name: nginx1-23-sfs82
---
apiVersion: v1
kind: Service
metadata:
  name: ng-svc
spec:
  ports:
  - name: http
    port: 80
    targetPort: 80
    protocol: TCP
  type: NodePort
  clusterIP: 10.100.21.199
  selector:
    app: nginx-dp

查看svc和ep

root@k8s-node02:~# kubectl get ep,svc ng-svc
NAME               ENDPOINTS                       AGE
endpoints/ng-svc   10.244.1.27:80,10.244.3.29:80   20s

NAME             TYPE       CLUSTER-IP      EXTERNAL-IP   PORT(S)        AGE
service/ng-svc   NodePort   10.100.21.199   <none>        80:31318/TCP   20ss

2、使用RBAC实现访问权限控制。

2.1 基于X509客户端证书认证用户添加至kubeusers.conf文件中

cd  /etc/kubernetes/pki
 (umask 077;openssl genrsa -out xiaoluo.key 4096)
 
openssl  req  -new -key ./xiaoluo.key  --out ./xiaoluo.csr -subj  '/CN=mason/O=kubeadmin'

openssl  x509  -req  -days  3655 -CAkey ./ca.key  -CA ./ca.crt  -CAcreateserial  -in ./xiaoluo.csr  -out ./xiaoluo.crt
Signature ok
subject=CN = mason, O = kubeadmin
Getting CA Private Key

拷贝证书到node节点测试,测试时要移除.kube目录下的config文件
root@k8s-master01:/etc/kubernetes/pki# scp -p xiaoluo.key xiaoluo.crt 192.168.1.185:/etc/kubernetes/pki/

kubectl -s https://192.168.1.180:6443 --client-certificate=/etc/kubernetes/pki/xiaoluo.crt --client-key=/etc/kubernetes/pki/xiaoluo.key --insecure-skip-tls-verify=true get pods
Error from server (Forbidden): pods is forbidden: User “mason” cannot list resource “pods” in API group “” in the namespace "defaul

2.2为静态令牌认证的用户设定一个自定义的kubeconfig文件

定义cluster

 kubectl config  set-cluster  mykube --embed-certs=true --certificate-authority=./ca.crt  --server="https://192.168.1.180:6443"  --kubeconfig=$HOME/.kueb/mykube.conf
Cluster "mykube" set.

定义user

root@k8s-node03:/etc/kubernetes/pki# kubectl config set-credentials  mason --embed-certs=true --client-certificate=./xiaoluo.crt  --client-key=./xiaoluo.key  --kubeconfig=$HOME/.kube/mykube.conf
User "mason" set

定义 context

root@k8s-node03:/etc/kubernetes/pki# kubectl config  set-context mason@mykube --cluster=mykube --user=mason --kubeconfig=$HOME/.kube/mykube.conf
Context "mason@mykube" created.

设定Current-Context

root@k8s-node03:/etc/kubernetes/pki# kubectl config  set-context mason@mykube --cluster=mykube --user=mason --kubeconfig=$HOME/.kube/mykube.conf 
Context "mason@mykube" modified.

2.3 RBAC

RBAC(Role-Based Access Control)是 Kubernetes(K8s)中的一种访问控制机制,用于管理集群中用户、组和服务账户的权限。RBAC通过定义角色(Role)和角色绑定(RoleBinding)来控制对 Kubernetes 资源的访问。

角色(Role)定义了一组权限(即可访问的操作和资源),它们可以被授予用户、组或服务账户。角色绑定(RoleBinding)用于将角色与用户、组或服务账户进行关联,从而授予它们相应的权限。

RBAC 的核心概念包括:

  1. Role:定义了一组操作和资源的权限。例如,可以创建一个只能读取 Pod 和 Service 资源的 Role。
  2. ClusterRole:类似于 Role,但是作用于整个集群,而不是特定的命名空间。
  3. RoleBinding:将 Role 与用户、组或服务账户绑定在一起,以授予它们相应的权限。例如,将 Role 绑定到一个特定的用户,使其具有特定权限。
  4. ClusterRoleBinding:类似于 RoleBinding,但是作用于整个集群,而不是特定的命名空间。
  5. Subject:可以是用户、组或服务账户。RoleBinding 和 ClusterRoleBinding 将角色授予主体。

通过使用 RBAC,管理员可以根据需要细粒度地控制用户和服务账户对 Kubernetes 资源的访问权限,以提高集群的安全性和管理灵活性。

创建了一个名为"reader"的角色,该角色在"default"命名空间中具有对Pods和Services资源的get、list和watch操作的权限。这样,该角色可以查看和监视该命名空间中的Pods和Services资源的信息。

kubectl create  role reader --verb=get,list,watch --resource=pods,services  -n default

将用户"mason"与ClusterRole"cluster-reade"关联起来,以授予用户在default命名空间访问权限

 kubectl create  rolebinding  mason-ander-role    --role=reader --user=mason -n default

在node节点测试配置默认认证文件
root@k8s-node03:~/.kube# export KUBECONFIG=/root/.kube/mykube.conf

可以查看default的pod。但其他命名空间的pod不能查看

root@k8s-node03:~/.kube# kubectl get pods
NAME                         READY   STATUS    RESTARTS        AGE
demoapp10-84b964c9d-9msrl    1/1     Running   0               5h8m
demoapp11-5b894bd66-88f96    1/1     Running   0               5h8m
my-dep-754679dc46-jkqfp      1/1     Running   2 (15d ago)     20d
my-dep-754679dc46-phhzk      1/1     Running   2 (8h ago)      20d
my-dep-754679dc46-qsnqx      1/1     Running   2 (8h ago)      20d
nginx-nfs-test               1/1     Running   1 (7h10m ago)   7h17m
nginx-test-cccbfc778-9cmvg   1/1     Running   0               83m
nginx-test-cccbfc778-jfn5v   1/1     Running   0               83m
nignx-6d6d5c585-2r5jl        1/1     Running   2 (15d ago)     20d
nignx-6d6d5c585-gfpmv        1/1     Running   2 (15d ago)     20d
nignx-6d6d5c585-qw84p        1/1     Running   2 (15d ago)     20d
pod-using-hostnetwork        1/1     Running   2 (15d ago)     18d
root@k8s-node03:~/.kube# kubectl get pods -n kube-system
Error from server (Forbidden): pods is forbidden: User "mason" cannot list resource "pods" in API group "" in the namespace "kube-system

绑定集群角色

创建集群角色

kubectl create clusterrole cluster-reader --verb=get,list,watch  --resource=storageclass,persistentvolumes,namespaces,deployments

绑定前不能查看
root@k8s-node03:~/.kube# kubectl get deployment -n kube-system
Error from server (Forbidden): deployments.apps is forbidden: User “mason” cannot list resource “deployments” in API group “apps” in the namespace “kube-system”: RBAC: clusterrole.rbac.authorization.k8s.io “crcluster-reader” not foun

绑定

root@k8s-master01:/etc/kubernetes/pki# kubectl create rolebinding cluster-bing --clusterrole=cluster-reader --user=mason
rolebinding.rbac.authorization.k8s.io/cluster-bing created

绑定后可以查看

root@k8s-node03:~/.kube# kubectl get deployment -n kube-system
NAME      READY   UP-TO-DATE   AVAILABLE   AGE
coredns   2/2     2            2           20d

3、使用Ingress发布服务。

3.1 部署ingress

下载ingress文件并修改为国内镜像

wget https://raw.githubusercontent.com/kubernetes/ingress-nginx/controller-v1.8.2/deploy/static/provider/cloud/deploy.yaml -O  ingress-controller-v1.8.2-deploy.yaml
sed -i s/registry.k8s.io/k8s.mirror.nju.edu.cn/g ingress-controller-v1.8.2-deploy.yaml

应用yaml,查看容器状态

root@k8s-node03:~# kubectl get pod -n ingress-nginx 
NAME                                        READY   STATUS      RESTARTS   AGE
ingress-nginx-admission-create-v7gsf        0/1     Completed   0          5h19m
ingress-nginx-admission-patch-8nd6f         0/1     Completed   1          5h19m
ingress-nginx-controller-5886c5f886-sl7dz   1/1     Running     0          5h19m

修改ingress service ,添加一个外部流量地址,我这里使用的192.168.1.201是server节点的一个ip

在这里插入图片描述

kubectl edit svc -n ingress-nginx ingress-nginx-controller
  externalIPs:
  - 192.168.1.201
  externalTrafficPolicy: Cluster

查看service

root@k8s-node03:~# kubectl get svc  -n ingress-nginx 
NAME                                 TYPE           CLUSTER-IP     EXTERNAL-IP     PORT(S)                      AGE
ingress-nginx-controller             LoadBalancer   10.96.70.31    192.168.1.201   80:32316/TCP,443:31278/TCP   5h40m
ingress-nginx-controller-admission   ClusterIP      10.102.84.77   <none>          443/TCP                      5h40m

2.2 部署nginx服务

创建deployment
kubectl create deployment nginx-test --image=nginx:1.22 --replicas=2

创建svc

root@k8s-node03:~# cat service-ingress-test.yaml 
---
apiVersion: v1
kind: Service
metadata:
  name: nginx-ingress-test
  labels:
    name: nginx-ingress-test
spec:
  type: NodePort    
  ports:
  - port: 8080        
    targetPort: 80  
    protocol: TCP
    nodePort: 32222
  selector:
    app: nginx-test

查看 svc 后端有ep

 kubectl get  ep nginx-ingress-test 
NAME                 ENDPOINTS                       AGE
nginx-ingress-test   10.244.2.35:80,10.244.3.42:80   26s

2.3 创建ingress

应用ingress 资源

root@k8s-node03:~# cat ingress-test.yaml 
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  annotations:
    nginx.ingress.kubernetes.io/rewrite-target: /
  name: demoapp
  namespace: default
spec:
  ingressClassName: nginx
  rules:
  - host: nginx.luo.com
    http:
      paths:
      - backend:
          service:
            name: nginx-ingress-test
            port:
              number: 80
        path: /
        pathType: ImplementationSpecific
status:
  loadBalancer:
    ingress:
    - ip: 192.168.1.201

进入容器修改nginx的默认文件

root@nginx-test-cccbfc778-9cmvg:/usr/share/nginx/html# echo 666 > index.html

在window本地添加hosts文件并测试
192.168.1.201 nginx.luo.com

刷新访问到不同页面
在这里插入图片描述
在这里插入图片描述

powerful222
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
python123测验答案第七_Python123第七作业+练习题
weixin_36372014的博客
01-29 2496
作业程序题一、文本的平均列数题目描述:打印输出附件文件的平均列数,计算方法如下:‪‬‪‬‪‬‪‬‪‬‮‬‫‬‪‬‪‬‪‬‪‬‪‬‪‬‮‬‫‬‭‬‪‬‪‬‪‬‪‬‪‬‮‬‫‬‭‬‪‬‪‬‪‬‪‬‪‬‮‬‫‬‭‬‪‬‪‬‪‬‪‬‪‬‮‬‪‬‭‬‪‬‪‬‪‬‪‬‪‬‮‬‫‬‪‬(1)有效行指包含至少一个字符的行,不计算空行;‪‬‪‬‪‬‪‬‪‬‮‬‫‬‪‬‪‬‪‬‪‬‪‬‪‬‮‬‫‬‭‬‪‬‪‬‪‬‪‬...
kubernetes-ingress-nginx
weixin_56744753的博客
11-01 237
基于header的灰度是其中一种实现方式,即通过在HTTP请求的头部添加特定标记,然后在应用程序中处理该标记,以区分是否将请求路由到新版本或旧版本的应用程序中。通过这种方式,可以以逐渐增加的百分比向用户推送新版本,并在推送完成后逐步停止旧版本的支持。基于权重的灰度发布是Canary发布的一种变体,其中不同用户组被分配不同的权重,以控制他们接收新代码版本的比例。例如,较新和更有经验的用户可以分配较高的权重,以测试新功能和修复问题,而较少用到的或新购买的用户可以分配较低的权重,以减少潜在的影响。
第七作业
a6521417的博客
11-18 174
要求一(25经验值) 完成PTA中题目集名为《usth-C语言基础-第七作业》、《usth-C语言基础-12PTA作业》、《usth-C语言基础-13PTA作业-1》和《usth-C语言基础-13PTA作业-2》中的所有题目。 注意1:《usth-C语言基础-12PTA作业》包括判断、选择和编程多种题型。 注意2:两次作业的截至日期不同,请尽快完成。若存在抄袭现象,倒扣此...
第七作业2
2301_76731971的博客
04-08 37
作业1中的错误已经在原来的文章中改过来了。
MySQL第七作业
qq_65616443的博客
05-03 40
第六和第七作业
m0_60444022的博客
04-09 48
完成这些花了大概七个小时,因为bug很多,排错特别困难,所以耗时很长,比如添加jar包的时候一直不显示在lib文件里,有时没有保存代码, 执行查询语句时一直出现500的错误,然后有时又因为疏忽导致表名和代码名不匹配。因此进度很慢,第七作业里,输入网站教程里的增加和删除语句时保存运行以后没有任何反应,这一点也不知道哪里出问题了,还在继续寻找解决办法。
第七作业1
08-08
(2).若给该系统串联一个一阶微分环节s+1,该系统是否稳定(填”是“或”否“) (3).以上系统如果稳定,则系统在输入信号为时的稳态误差为 (2). 加入s+
第7作业1
08-03
2.解答题:设齐次线性方程组{ 4. 课堂上两个未做完的例题. 1.证明 (∗)∗ = ||−2, 若|| = 0 也成立.
OS第七作业1
08-08
(3) 执行就绪  处于执行状态的进程在其执行过程中,因分配给它的一个时间片已用完而不得不让出处理机,于是进程从执行状态转变成就绪状态 (4) 执行阻塞 
第7作业.rar
10-17
第7作业.rar
k8s离线部署Calico网络(2续)
weixin_72819498的博客
06-10 284
链接:https://pan.baidu.com/s/14ReJW-ZyYZFLbwSEBZK6mA?
k8s基础命令集合
清瞳清的博客
06-11 206
这些命令是Kubernetes管理中最常用的一些基本操作,熟练掌握这些命令能够帮助你高效地管理Kubernetes集群和应用。
【K8s源码分析(三)】-K8s调度器调度期介绍
slipegg的博客
06-09 1219
从k8s源代码出发介绍了K8s调度期中的各种事件。
k8s_探针专题
最新发布
纵歌的博客
06-14 232
k8s_探针专题
k8s-CCE创建工作负载变量引用
weixin_60092693的博客
06-10 390
背景,看到cce创建负载时会生成变量,如下。在skywaking-agent的使用,想要调用cce负载变量生成service_name。以变量形式配置时,可以调用,但是插拔性不强,去掉就找不回了,而且不够安全。2、以自定义变量调用cce变量:以下仅$(PAAS_APP_NAME)生效了,使用还是要标准些。构建时引用不到cce的变量,且以字符串的形式给了java-options,不会再产生调用。2、配置项调用PAAS_APP_NAME时是调用不到的。追加临时的变量参数,直接调用cce的负载变量。
k8s挂载配置文件(通过ConfigMap方式)
Hello!
06-08 669
K8s中的ConfigMap是一种用于存储配置数据的API对象,属于Kubernetes中的核心对象。它用于将应用程序的配置信息与容器镜像分离,以便在不重新构建镜像的情况下进行配置的修改和更新。ConfigMap可以存储键值对、文本文件或者以特定格式组织的配置文件,例如环境变量、命令行参数等。ConfigMap的主要作用是提供一个集中管理和传递配置信息的机制,让应用程序能够从ConfigMap中获取配置数据。这样,在不修改容器镜像的前提下,可以根据需要动态地修改应用程序的配置参数。
k8s 证书更新
fhjtg的博客
06-11 434
通过以上步骤,你可以成功地更新Kubernetes集群的证书,避免由于证书过期导致的集群不可用问题。记得在多master节点环境中,需要在每个master节点上重复执行上述步骤。最后,确保检查更新后的集群状态,以验证更新过程是否成功,避免任何潜在的问题影响集群的稳定性和可用性。
docker是什么?和kubernetes(k8s)是什么关系?
Beyourselfsun的博客
06-09 417
docker是什么?和kubernetes(K8s)是什么关系
第五作业——用状态转换图描绘复印机的行为
05-25
以下是复印机的状态转换图: ...7. 停止状态:当用户需要停止复印机的工作时,复印机进入停止状态,停止当前任务并回到空闲状态。 8. 休眠状态:当复印机长时间没有使用时,进入休眠状态,节省能源并保护机器。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值