k8s学习笔记

最新推荐文章于 2024-08-16 09:03:40 发布
最新推荐文章于 2024-08-16 09:03:40 发布
阅读量1.9k 收藏
点赞数
分类专栏: linux 文章标签: kubernetes docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oooo2316/article/details/104595817
版权
本文详细介绍了在Kubernetes集群中的管理操作,包括安装网络插件以确保Pod间通信,通过k8s API访问集群的多种方法,如使用kubectl代理、编程方式访问,以及从Pod内部进行访问。此外,还探讨了如何访问运行在集群中的服务,如通过服务账号凭证进行安全通信。最后,文章讲解了DNS服务的自动缩放策略,以及配置Pod和容器的内存、CPU限制,以及如何定义和使用扩展资源。
摘要由CSDN通过智能技术生成

管理集群

安装网络插件

如果要让pod可以相互通信,必须安装网络插件

网络必须在所有应用程序之前部署。并且,在安装网络之前CoreDNS不会启动。kubeadm仅支持基于容器网络接口(CNI)的网络(不支持kubenet)。

一些项目使用CNI提供Kubernetes Pod网络,其中一些还支持网络策略(Network Policy)

附件页面里有所有可用的网络插件,如果要快速安装可以看这里

例:使用Calico作为网络插件

Calico默认使用 192.168.0.0/16 作为CIDR(Classless Inter-Domain Routing,无类域间路由选择),需要在执行 kubeadm init 命令时配置Calico的CIDR:

kubeadm init --apiserver-advertise-address master的IP --pod-network-cidr 192.168.0.0/16

然后应用网络插件(插件中的CIDR必须与上面配置的一致)

kubectl apply -f https://docs.projectcalico.org/v3.11/manifests/calico.yaml

安装完之后,可以看看下面命令的输出中的CoreDNS Pod是否正在运行来确认其是否正常工作

kubectl get pods --all-namespaces

使用k8s API访问集群

要访问集群,需要知道集群位置并拥有凭证,使用下面的命令检查kubectl已知的位置和凭证

kubectl config view

直接访问REST API

kubectl 处理对 API 服务器的定位和身份验证。如果想通过 http 客户端(如 curlwget,或浏览器)直接访问 REST API,可以通过多种方式对 API 服务器进行定位和身份验证:

  1. 以代理模式运行 kubectl(推荐)。 使用存储的 apiserver 位置并使用自签名证书验证 API 服务器的标识。可以防止中间人(MITM)攻击。
  2. 另外,也可以直接为 http 客户端提供位置和身份认证。这适用于被代理混淆的客户端代码。为防止中间人攻击,您需要将根证书导入浏览器。
使用kubectl代理

运行kubectl的反向代理来处理API请求

kubectl proxy --port=8080 &

然后就可以通过 curl,wget,或浏览器访问 API:

curl http://localhost:8080/api/

输出类似如下:

{
   
  "versions": [
    "v1"
  ],
  "serverAddressByClientCIDRs": [
    {
   
      "clientCIDR": "0.0.0.0/0",
      "serverAddress": "10.0.1.149:443"
    }
  ]
}
不使用 kubectl 代理

将身份认证令牌直接传给 API 服务器,可以避免使用 kubectl 代理:

使用 grep/cut 方式:

# 检查所有可用的集群,因为 .KUBECONFIG 可能有多个上下文:
kubectl config view -o jsonpath='{"Cluster name\tServer\n"}{range .clusters[*]}{.name}{"\t"}{.cluster.server}{"\n"}{end}'

# 从上面的输出中选择你要进行交互的集群名:
export CLUSTER_NAME="some_server_name"

# 选择指定集群的API服务器
APISERVER=$(kubectl config view -o jsonpath="{
    .clusters[?(@.name==\"$CLUSTER_NAME\")].cluster.server}")

# 获取令牌的值
TOKEN=$(kubectl get secrets -o jsonpath="{
     .items[?(@.metadata.annotations['kubernetes\.io/service-account\.name']=='default')].data.token}"|base64 -d)

# 持令牌访问API
curl -X GET $APISERVER/api --header "Authorization: Bearer $TOKEN" --insecure

输出类似如下:

{
   
  "kind": "APIVersions",
  "versions": [
    "v1"
  ],
  "serverAddressByClientCIDRs": [
    {
   
      "clientCIDR": "0.0.0.0/0",
      "serverAddress": "10.0.1.149:443"
    }
  ]
}

使用 jsonpath 方式:

$ APISERVER=$(kubectl config view --minify -o jsonpath='{.clusters[0].cluster.server}')
$ TOKEN=$(kubectl get secret $(kubectl get serviceaccount default -o jsonpath='{.secrets[0].name}') -o jsonpath='{.data.token}' | base64 --decode )
$ curl $APISERVER/api --header "Authorization: Bearer $TOKEN" --insecure
{
   
  "kind": "APIVersions",
  "versions": [
    "v1"
  ],
  "serverAddressByClientCIDRs": [
    {
   
      "clientCIDR": "0.0.0.0/0",
      "serverAddress": "10.0.1.149:443"
    }
  ]
}

使用 --insecure 标志位会导致易受到 MITM 攻击。当 kubectl 访问集群时,会使用存储的根证书和客户端证书访问服务器(已安装在 ~/.kube 目录下)。由于集群认证通常是自签名的,因此可能需要特殊设置才能使 http 客户端使用根证书。

在一些集群中,API 服务器不需要身份认证;它运行在本地,或由防火墙保护着。配置对 API 的访问 里会说集群管理员如何对此进行配置。这种方法可能与未来的高可用性支持发生冲突。

编程方式访问 API

Kubernetes 官方支持 GoPython 的客户端库.

例:python客户端

安装:pip install kubernetes (详见 Python 客户端库主页 )。

Python 客户端可以使用与 kubectl 命令行工具相同的 kubeconfig 文件 进行验证:

from kubernetes import client, config

config.load_kube_config()

v1=client.CoreV1Api()
print("Listing pods with their IPs:")
ret = v1.list_pod_for_all_namespaces(watch=False)
for i in ret.items
最低0.47元/天 解锁文章
cute-aaa
关注
专栏目录
k8s初探(一)
最美dee时光的博客
04-27 726
本片文字性阐述较多,但可以给读者在脑海中建立起k8s的认知架构,然后后续在k8s上的深入认识后,再次回头看,可以进一步加强对k8s的更高层次的认识和学习K8s概述 1、简介 K8s是一个开源的,用于管理云平台中多个主机上的容器化的应用,Kubernetes的目标是让部署容器化的应用简单并且高效(powerful),Kubernetes提供了应用部署,规划,更新,维护的一种机制。 K8s一个核心...
K8S学习之EFK集群
weixin_60092693的博客
01-27 2494
Kubernetes集群EFK Elasticsearch是一个实时的,分布式的,可扩展的搜索引擎,它允许进行全文本和结构化搜索以及对日志进行分析。它通常用于索引和搜索大量日志数据,也可以用于搜索许多不同种类的文档。 kibana是Elasticsearch 的功能强大的数据可视化的dashboard(仪表板)。Kibana允许你通过Web界面浏览Elasticsearch日志数据,也可自定义查询条件快速检索出elasticccsearch中的日志数据。 Fluentd是一个流行的开源数据收集器,我们将在
Kubernetes Cluster Proportional Autoscaler 使用教程
最新发布
gitblog_00636的博客
08-16 509
Kubernetes Cluster Proportional Autoscaler 使用教程 cluster-proportional-autoscalerKubernetes Cluster Proportional Autoscaler Container项目地址:https://gitcode.com/gh_mirrors/cl/cluster-proportional-autoscal...
cluster-proportional-autoscaler:Kubernetes集群比例自动缩放容器
05-01
水平集群比例自动缩放器容器 概述 此容器映像监视群集的可调度节点和核心的数量,并调整所需资源的副本数量。 对于需要根据群集大小自动缩放的应用程序,例如DNS和其他随群集中节点/吊舱数缩放的服务,此功能可能是理想的。 群集比例自动缩放器的用法: --alsologtostderr[=false]: log to standard error as well as files --configmap="": ConfigMap containing our scaling parameters. --default-params=map[]: Default parameters(JSON format) for auto-scaling. Will create/re-create a ConfigMap with this default params
kubernetes1.8.5集群安装(带证书)
weixin_34259559的博客
11-27 190
一、安装 Docker(集群中每台服务器都需安装) cd /data/tools/kubernetes/ yum -y install docker-ce-17.09.1.ce-1.el7.centos.x86_64.rpm 查看 Docker 默认存储位置 docker info | grep "Docker Root Dir" docker info...
超详细K8S学习笔记,0基础也可上手
02-13
学习K8S监控与日志:学习K8S监控技术,包括使用Prometheus、Grafana等工具进行监控,学习如何获取K8S日志以及如何分析和处理日志。 学习K8S安全:学习K8S安全技术,包括K8S集群安全、Pod安全、存储安全等。
K8S 学习笔记(2022版)(持续更新中)
weixin_56242987的博客
12-14 561
api service:所有服务访问统一入口。对外暴露K8S的api接口,是外界进行资源操作的唯一入口,并提供认证、授权、访问控制、API注册和发现等机制;crontroller manager:负责维护集群的状态,比如故障检测、自动扩展、滚动更新等,它们是处理集群中常规任务的后台线程。scheduler:负责资源的调度,按照预定的调度策略将Pod调度到相应的机器上;就是监视新创建的 Pod,如果没有分配节点,就选择一个节点供他们运行,这就是pod的调度。
k8s学习笔记1
08-03
Kubernetesk8s)是Google开源的一个容器编排系统,专门用于管理和部署容器化应用程序。它提供了一系列强大的功能,如自我修复、弹性伸缩、自动部署和回滚、服务发现、负载均衡、机密和配置管理、存储编排以及...
k8s_2021:2021年的k8s学习笔记
02-14
什么是KubernetesKubernetes是一个可移植的,可扩展的开源平台,用于管理容器化的工作负载和服务,可促进声明式配置和自动化。 它拥有一个庞大且快速增长的生态系统。 Kubernetes的服务,支持和工具广泛可用。...
基于docker使用kubespray工具部署高可用K8S集群(国内互联网方案一)部署资源包
04-25
原文链接:https://blog.csdn.net/m0_37814112/article/details/124253201
Kubernetes-基于RKE进行Kubernetes的安装部署
******* ▄︻┻┳═一 *******
04-13 2376
一、环境准备 1、操作系统 1)建议使用CentOS 7.3以上版本; 序号 角色 操作系统 IP 主机 1 RKE CentOS7 10.0.32.134 rancher-server 2 etcd CentOS7 10.0.32.175 rancher2-server 3 Master Node CentOS7 10.0.32.175 4 Worker Node C...
Kubernetes部署篇:基于docker使用kubespray工具部署高可用K8S集群(国内互联网方案四)》
东城绝神
04-28 1139
文章目录一、部署背景简介二、部署工具介绍三、部署方案介绍四、部署环境信息五、部署资源下载六、部署准备工作6.1、系统内核升级6.2、设置主机名6.3、环境初始化6.4、ssh多机互信6.5、安装基础包6.6、配置时间同步七、部署操作步骤7.1、下载解压源码7.2、安装依赖软件7.3、查看文件及镜像下载地址7.4、部署http服务器7.5、部署私有仓库7.6、生成inventory配置7.7、修改内部文件及镜像地址7.8、个性化配置7.9、修改docker私有仓库地址7.10、修改docker服务yum仓库源
Kubernetes实录-第一篇-集群部署配置(9) Kubernetes api版本清单以及api版本选择
Vic的博客
01-15 1210
1. Kubernetes api versions清单 如下是Kubernetes 1.18.5 下的API版本清单 # kubectl api-versions 前一部分是apigroup,后一部分是版本 admissionregistration.k8s.io/v1 admissionregistration.k8s.io/v1beta1 apiextensions.k8s.io/v1 apiextensions.k8s.io/v1beta1 apiregistration.k8s.io/v
k8s之service account
fengcai_ke的博客
07-11 3636
k8s service account分析
【重识云原生】第六章容器6.3.2节——API Server组件
junbaozi的专栏
09-19 1568
kube-apiserver 是 Kubernetes 最重要的核心组件之一,是所有服务访问的统一入口(所有请求的统一的入口),并提供认证、授权、访问控制、API 注册和发现等能力,同时也是是 Kubernetes Cluster 的前端接口,各种客户端工具(CLI 或 UI)以及 Kubernetes 其他组件可以通过它管理 Cluster 的各种资源。
kubernetes的API对象类型定义
xueqinglalala的博客
11-02 754
kubernetes里提供了非常多的API对象,它们被定义在k8s.io/api这个仓库中,这也是本章节命名为api的原因。Pod应该是最为基础的对象之一,在初学kubernetes时我相信大部分同学都写过类似下面的代码: apiVersion: v1 kind: Pod metadata: name: myapp-pod labels: app: myapp spec: containers: - name: myapp-container image: busyb.
尚硅谷k8s学习笔记
09-09
抱歉,我无法提供尚硅谷k8s学习笔记的具体内容。然而,根据引用和引用,尚硅谷提供了关于k8s学习笔记视频。这些学习笔记包括了k8s的基本概念、架构和部署等内容。此外,引用中提到k8s是一个开源的、用于管理云平台中多个主机上的容器化应用的工具,具有轻量级、资源消耗小、弹性伸缩和负载均衡等特点。因此,如果你对学习k8s感兴趣,你可以参考尚硅谷的学习笔记视频来深入了解k8s的相关知识和应用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值