k8s--基本架构--节点与控制平面之间的通信

最新推荐文章于 2024-05-06 21:46:58 发布
最新推荐文章于 2024-05-06 21:46:58 发布
阅读量162 收藏
点赞数
分类专栏: k8s与docker容器技术 文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/newbieJ/article/details/133073416
版权

记录了API服务器和Kubernetes集群之间的通信路径。其目的是允许用户自定义安装,以加固网络配置,从而使集群能够在不受信任的网络上运行(或在云提供商上的完全公共IP上运行)。

简单来说,这篇文档描述了Kubernetes中控制平面(Control Plane)和节点之间的通信方式。控制平面包括API服务器、调度器、控制器和etcd等组件,用于管理和控制整个集群。
节点则是集群中运行实际工作负载的主机。

在Kubernetes中,控制平面和节点之间需要进行多种类型的通信,包括但不限于以下几种:

  1. API服务器与节点:API服务器是集群的管理接口,通过API服务器可以对集群进行各种操作。它需要与节点进行通信,以便获取节点的状态、分配任务、监控节点健康状况等。

  2. 控制平面组件之间的通信:调度器、控制器、etcd等控制平面组件也需要相互通信。它们通过API服务器或直接连接到etcd等方式进行通信,以共享信息、协调工作以及保持集群的一致性。

  3. 节点之间的通信:在多节点的Kubernetes集群中,节点之间也需要相互通信。这些通信包括容器与容器之间的通信、跨节点的网络流量转发等。这些通信需要通过网络插件(如flannel、Calico等)来实现

对于在不受信任的网络上运行Kubernetes的情况,您可以通过配置网络策略、使用网络隔离工具(如网络安全组)等方式来增强网络配置,以保护集群的安全性。

控制平面和节点

控制平面和节点之间的网络通信模式以及默认的安全配置。

  1. 在Kubernetes中,控制平面和节点之间使用了一种"集线器-分支"(hub-and-spoke)的API模式。
  2. 节点(或其上运行的Pod)对API的所有使用都通过API服务器完成。
  3. 其他控制平面组件并不设计用于暴露远程服务。API服务器被配置为在一个或多个安全的HTTPS端口(通常为443)上侦听远程连接,并启用一种或多种客户端身份验证方式。应启用一种或多种授权机制,特别是如果允许匿名请求或服务账号令牌。

节点应该使用集群的公共根证书进行配置,以便它们可以安全地连接到API服务器,并使用有效的客户端凭据
一个好的做法是将提供给kubelet的客户端凭据形式为客户端证书。可以参考kubelet TLS引导启动自动配置kubelet客户端证书

希望与API服务器连接的Pod可以通过使用Service Account来安全地连接到API服务器。这样,Kubernetes在Pod实例化时会自动注入公共根证书和有效的Bearer令牌到该Pod中。kubernetes服务(在默认命名空间中)配置了一个虚拟IP地址,该地址通过kube-proxy重定向到API服务器上的HTTPS端点。

控制平面组件也通过安全端口与API服务器进行通信。

因此节点和运行在节点上的Pod控制平面之间的默认操作模式默认为安全,并且可以在不受信任和/或公共网络上运行。

API服务器到kubelet

API服务器到kubelet的连接用于以下功能:

  1. 获取Pod的日志。
  2. 附加到正在运行的Pod(通常通过kubectl)。
  3. 提供kubelet的端口转发功能。

这些连接终止于kubelet的HTTPS端点。默认情况下,API服务器不验证kubelet的服务证书,这使得连接容易受到中间人攻击,并且在不受信任和/或公共网络上运行时不安全。

为了验证此连接,请使用–kubelet-certificate-authority标志向API服务器提供一个根证书束来验证kubelet的服务证书。

如果无法实现上述操作,请使用SSH隧道在API服务器和kubelet之间进行传输,以避免通过不受信任或公共网络进行连接。

最后,应该启用kubelet的身份验证和/或授权以保护kubelet API的安全性。

API 服务器与节点、Pod 或服务

关于 Kubernetes 中 API 服务器与节点、Pod 或服务之间的连接方式。
默认情况下,API 服务器与节点、Pod 或服务之间的连接采用普通的 HTTP 连接,因此既没有身份验证也没有加密。如果在 API URL 中的节点、Pod 或服务名称前添加了 https: 前缀,可以使用安全的 HTTPS 连接运行,但它们将不会验证由 HTTPS 端点提供的证书,也不提供客户端凭证。因此,虽然连接会被加密,但不会提供完整性的任何保证。这意味着这些连接目前不适合在不受信任或公共网络上运行

SSH 隧道

使用 SSH 隧道来保护控制平面与节点之间的通信路径。
在这种配置下,API 服务器会向集群中的每个节点发起SSH隧道连接(连接到监听在22端口的SSH服务器),并通过隧道传递所有目标为kubelet、节点、Pod或服务的流量。这个隧道确保流量不会在节点所在的网络之外暴露出来。

使用SSH隧道的方式可以增加通信路径的安全性,通过建立加密的隧道来保护数据传输,防止第三方拦截或修改数据。这种方式特别适用于在不受信任的网络环境中运行的Kubernetes集群,可以确保节点之间的通信受到保护,防止敏感信息泄露或遭到恶意攻击。

SH 隧道目前处于弃用状态,因此除非您知道自己在做什么,否则不应该选择使用它们。Konnectivity 服务是对这种通信通道的替代方案。

Konnectivity 服务

Konnectivity 服务是一个替代 SSH 隧道的功能,它为控制平面到集群之间的通信提供了基于 TCP 层的代理。Konnectivity 服务由两部分组成:控制平面网络中的 Konnectivity 服务器节点网络中的 Konnectivity 代理
Konnectivity 代理主动连接到 Konnectivity 服务器并维护网络连接。启用 Konnectivity 服务后,所有控制平面到节点的流量都通过这些连接处理。
官方文档

IT艺术家-rookie
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
k8s-整体概述和架构
02-24
Kubernetes是一个轻便的和可扩展的开源平台,用于管理容器化应用和服务。通过Kubernetes能够进行应用的自动化部署和扩缩容。在Kubernetes中,会将组成应用的容器组合成一个逻辑单元以更易管理和发现。Kubernetes积累了作为Google生产环境运行工作负载15年的经验,并吸收了来自于社区的最佳想法和实践。Kubernetes经过这几年的快速发展,形成了一个大的生态环境,Google在2014年将Kubernetes作为开源项目。Kubernetes的关键特性包括:自动化装箱:在不牺牲可用性的条件下,基于容器对资源的要求和约束自动部署容器。同时,为了提高利用率和节省更多资源
k8s-sidecar-injector:Kubernetes边车注入服务
02-03
k8s边车喷油器 使用Kubernetes中的MutatingAdmissionWebhook在资源创建时将辅助工具注入新的部署中 这是什么? 在Tumblr,我们运行一些具有复杂的边车设置的容器。 kubernetes容器可以运行5个以上的其他容器,以及一些关联的卷和环境变量。 很快就知道,将这些边车保持在一条直线上将成为操作上的麻烦。 确保每个服务使用每个依赖项的正确版本,随着DC的配置更改而更新全局环境变量集,等等。 为了解决这个问题,我们编写了k8s-sidecar-injector 。 这是一个小型服务,它在每个Kubernetes集群中运行,并通过webhooks监听Kubernetes API。 对于每个吊舱创建,注入程序都会获得一个(变异入场)webhook,询问是否允许吊舱启动,以及是否允许对吊舱进行什么更改。 对于在其上具有特殊注释的Pod(即injector.tumblr.com/request=logger:v1 ),我们重写了pod配置,以包括容器,卷,卷挂载,主机别名,init容器和环境变量,这些变量在sidecar logger:v1的配置。 这使我
K8S篇之架构节点简介
不务正业随手记
02-21 1174
Kubernetes 是一个可移植、可扩展的开源平台,用于管理容器化的工作负载和服务,可促进声明式配置和自动化。Kubernetes 拥有一个庞大且快速增长的生态,其服务、支持和工具的使用范围相当广泛。Kubernetes 这个名字源于希腊语,意为“舵手”或“飞行员”。k8s 这个缩写是因为 k 和 s 之间有八个字符的关系。Google 在 2014 年开源了 Kubernetes 项目。
如何通过Kubernetes安装Kubernetes以及物理服务器
wanger5354的博客
01-19 215
本文翻译自:https://kubernetes.io/blog/2021/12/22/kubernetes-in-kubernetes-and-pxe-bootable-server-farm/作者:Andrei Kvapil本文翻译自Andrei Kvapil的文章,其中对文字有部分的整理和删减。当你有两个数据中心,数千个物理机、虚拟机以及数十万个站点需要托管的时候,通过Kubernetes就可以很简单的实现上述需求。然而,使用Kubernetes,不仅可以声明式的描述应用,还可以声明式的描述基础设施。
深入讲解Kubernetes架构-节点控制之间通信
所寫即所思|一个阿里质量人对测试的所感所悟。
02-19 591
在这种配置下, API 服务器建立一个到集群中各节点的 SSH 隧道(连接到在 22 端口监听的 SSH 服务器) 并通过这个隧道传输所有到 kubelet、节点、Pod 或服务的请求。目的是为了让用户能够自定义他们的安装,以实现对网络配置的加固, 使得集群能够在不可信的网络上(或者在一个云服务商完全公开的 IP 上)运行。想要连接到 API 服务器的 Pod 可以使用服务账号安全地进行连接。这样,从集群节点节点上运行的 Pod 到控制面的连接的缺省操作模式即是安全的, 能够在不可信的网络或公网上运行。
k8s-rdma-sriov-dev-plugin:Kubernetes Rdma SRIOV 设备插件
05-31
创建每个节点的sriov配置编辑 example/sriov/rdma-sriov-node-config.yaml 以描述 sriov PF netdevice(s)。 在此示例中,它是eth0和eth1。 注意: (a) 不要添加任何 VF。 (b) 不要手动启用 SRIOV。 该插件为给定的
k8s-gitlab-ci-demo
02-27
1、spring-boot应用程序,内部controller实现了Word POI导出的demo。 2、实现了Dockerfile镜像打包。 3、在Kubernetes v1.22.12部署的相关yaml。 4、集成kube-prometheus监控功能,可查看JVM相关信息。...
kubernetes 官方文档整理,k8s入门教程笔记整理---4、kubernetes架构
qq_43610489的博客
08-18 564
容器是在节点上的pod中运行的,节点可以是一个虚拟机或者物理机器。每个节点上必有kubelet、容器运行时、kube-proxy。
Kubernetes--API Server资源隔离
GaoChuang_的博客
11-06 391
Kubernetes的一些功能特性也与公有云提供商密切相关,例如:负载均衡服务、弹性公网IP、存储服务等,具体实现也需要与API Server通信,也属于运行商内部重点保障的安全区域。 此外,公有云提供商提供kubernetes服务时,考虑到安全问题,会要求以API Server为核心的Master节点的网络与承载客户应用的Node节点的网络实现某种程度的“安全隔离”。为此,API Server 增加了SSH 安全通道的相关代码,让公有云提供商可以通过这个SSH安全通道实现API Serv...
kubernetes学习笔记-概念
wangqiaowq的博客
11-17 141
参考:https://kubernetes.io/zh-cn/docs/concepts/overview/
(三)Kubernetes 架构
运维老炮
02-04 523
按照文章的前后顺序 ,本来该讲pod,service等k8s对象具体内容。但是昨天和朋友聊天,他建议我先讲下架构,我感觉也有必要。本来这个是放在后边k8s高级相关文章的。如果加上这些内容,那文章的顺序肯定需要调整了。那就加到概述的后面,其他的内容顺序依次后推。可能在文章显示上有些乱,各位就凑合的看,我就凑合着写,生活本来就是得过且过,何必那么讲究! 一. 节点 Kubernetes 通过将容器放入在节点(Node)上运行的 Pod 中来执行你的工作负载。 节点可以是一个虚拟机或者物理机器,取决于所在的集
k8s环境prometheus operator监控集群外资源
mingqing的博客
04-30 1058
参考网站 k8s环境添加其他节点 参考文档 文档一 文档二 基于prometheus operator 引入外部exporter参考文档 rabbitmq 引入外部exporter参考文档 windows exporte 监控 K8s 集群外服务的两种方式 k8s环境prometheus operator添加node-exporter 方式一:通过 ServiceMonitor 方式 创建 Service 和 ServiceMonitor 文件名为 external-node.yaml /root/test
k8s:精通 Pod 操作的关键命令
weixin_43784341的博客
04-29 978
这些命令可以帮助你在 Kubernetes 中管理和操作 Pod,使你能够轻松地创建、查看、删除和调试 Pod,并进行其他相关操作。
K8S controller编写之Informer的原理+使用[drift]
斯是陋室,惟汝德馨
04-30 755
Watch 操作的实现机制使用 HTTP 协议的分块传输编码——当 client-go 调用 Kubernetes API Server 时,Kubernetes API Server 在 Response 的 HTTP Header 中设置 Transfer-Encoding 的值为 chunked,表示采用分块传输编码,客户端收到消息后,与服务端进行连接,并等待下一个数据块。图来源(CloudNativeCommunity)client-go 中informer的概括图.
k8s笔记 | Ingress
weixin_41104307的博客
05-03 435
将 文件helm 放到 /usr/local/bin/这里需要配合之前创建的 deploy+service。k8s笔记 | Service 服务。
9.2.k8s控制器资源(rs控制器replicasets)
qq_22321199的专栏
05-04 326
replicaset副本控制器,简称:rs控制器;
k8s架构组成
最新发布
健康平安的活着的专栏
05-06 157
k8s可以实现容器化的自动部署和管理,以及扩缩容。k8s可以创建多个容器,每个容器运行一个应用实例,然后通过内置的负载均衡策略,实现对这一组应用实例的管理、发现、访问。k8s是一个轻便的和可扩展的开源平台,用于管理容器化应用和服务,通过k8s能够进行应用的自动化部署和扩缩容。
k8s ReplicaSet
2401_82869454的博客
05-06 135
ReplicaSet 是替代 ReplicationController 的,ReplicaSet 的行为与 ReplicationController 完全相同, 但pod 选择器的表达能力更强。ReplicationController 的标签选择器只允许包含某个标签的匹配 pod,但 ReplicaSet 的选择器还允许匹配缺少某个标签的 pod, 或包含特定标签名的 pod。ReplicaSet 相对于 ReplicationController 的主要改进是它更具表达力的标签选择器。
安装Kuboard管理k8s
关于代码的那些事
04-30 274
Kuboard 是一款免费的 Kubernetes 管理工具,提供了丰富的功能,结合已有或新建的代码仓库、镜像仓库、CI/CD工具等,可以便捷的搭建一个生产可用的 Kubernetes 容器云平台,轻松管理和运行云原生应用。您也可以直接将 Kuboard 安装到现有的 Kubernetes 集群,通过 Kuboard 提供的 Kubernetes RBAC 管理界面,将 Kubernetes 提供的能力开放给您的开发/测试团队。参考资料:https://kuboard.cn/

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值