如何在 Kubernetes 集群中集成 Kata

置顶 已于 2022-07-13 16:10:10 修改
阅读量658 收藏 4
点赞数 3
分类专栏: go 文章标签: kubernetes kata 容器运行时
于 2022-07-13 16:09:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26356861/article/details/125766244
版权

Kubernetes 集群集成 Kata

安装 Kubernetes 集群

使用 Kubeadm 安装集群非常方便,可以参考在ubuntu中安装k8s集群

也可以直接参考官方文档:https://kubernetes.io/docs/setup/production-environment/tools/kubeadm/install-kubeadm/

  • 查看安装的 Kubernetes 版本
$ kubectl version

Client Version: version.Info{Major:"1", Minor:"17", GitVersion:"v1.17.9", GitCommit:"4fb7ed12476d57b8437ada90b4f93b17ffaeed99", GitTreeState:"clean", BuildDate:"2020-07-15T16:18:16Z", GoVersion:"go1.13.9", Compiler:"gc", Platform:"linux/amd64"}
Server Version: version.Info{Major:"1", Minor:"17", GitVersion:"v1.17.9", GitCommit:"4fb7ed12476d57b8437ada90b4f93b17ffaeed99", GitTreeState:"clean", BuildDate:"2020-07-15T16:10:45Z", GoVersion:"go1.13.9", Compiler:"gc", Platform:"linux/amd64"}

安装 Kata 命令行工具

以 CentOS 操作系统为例:

$ source /etc/os-release
$ yum -y install yum-utils
$ ARCH=$(arch)
$ BRANCH="${BRANCH:-master}"
$ yum-config-manager --add-repo "http://download.opensuse.org/repositories/home:/katacontainers:/releases:/${ARCH}:/${BRANCH}/CentOS_${VERSION_ID}/home:katacontainers:releases:${ARCH}:${BRANCH}.repo"
$ yum -y install kata-runtime kata-proxy kata-shim

在Ubuntu中(参考官方文档):

$ ARCH=$(arch)
$ BRANCH="${BRANCH:-master}"
$ sudo sh -c "echo 'deb http://download.opensuse.org/repositories/home:/katacontainers:/releases:/${ARCH}:/${BRANCH}/xUbuntu_$(lsb_release -rs)/ /' > /etc/apt/sources.list.d/kata-containers.list"
$ curl -sL  http://download.opensuse.org/repositories/home:/katacontainers:/releases:/${ARCH}:/${BRANCH}/xUbuntu_$(lsb_release -rs)/Release.key | sudo apt-key add -
$ sudo -E apt-get update
$ sudo -E apt-get -y install kata-runtime kata-proxy kata-shim

检测硬件是否支持 Kata

Kata 对硬件的要求需要满足以下任意条件:

  • Intel VT-x technology.
  • ARM Hyp mode (virtualization extension).
  • IBM Power Systems.
  • IBM Z mainframes.

安装完 kata-runtime 之后,执行检测命令:

$ kata-runtime kata-check

System is capable of running Kata Containers
System can currently create Kata Containers

这里的输出表示,运行环境支持 Kata Containers

配置并测试 Docker(官方文档)

  • 配置 kata-runtime 参数
$ vim /etc/docker/daemon.json

新增如下内容,默认依然使用 runc,但是通过指定 runtime 参数可以使用 Kata 。

{
  "runtimes": {"kata-runtime": {
      "path": "/usr/bin/kata-runtime"}
  }}

重启 Docker 服务

$ systemctl daemon-reload
$ systemctl restart docker

测试 Kata 是否安装成功

$ docker run --runtime=kata-runtime  busybox uname -a

Linux 249a23f53475 5.4.60-65.1.container #1 SMP Thu Jan 1 00:00:00 UTC 1970 x86_64 GNU/Linux

$  docker run busybox uname -a

Linux b4812ed8990c 3.10.0-1127.el7.x86_64 #1 SMP Tue Mar 31 23:36:51 UTC 2020 x86_64 GNU/Linux

kata-runtime 容器使用的内核版本与宿主机不同,这就说明 kata-runtime 配置成功了。

配置 Kubelet

  • 新增配置文件
$ mkdir -p  /etc/systemd/system/kubelet.service.d/
$ cat << EOF | sudo tee  /etc/systemd/system/kubelet.service.d/0-containerd.conf
[Service]                                                 
Environment="KUBELET_EXTRA_ARGS=--container-runtime=remote --runtime-request-timeout=15m --container-runtime-endpoint=unix:///run/containerd/containerd.sock"EOF
  • 重启生效
$ systemctl daemon-reload
$ systemctl restart kubelet

这里使用的是 containerd 。如果使用 CRI-O ,配置会不一样。

给 Kubernetes 提供 kata-runtime

通过直接创建 Container 可以使用 kata-runtime 。但在集群中,我们该如何告诉 Kubernetes 哪些负载需要使用 kata-runtime 呢?根据不同的版本,Kata 提供了不同的方式。

首先都需要生成 containerd 配置文件

$ containerd config default > /etc/containerd/config.toml
  • RuntimeClass 的方式

这种方式对相关组件版本有要求:

Kata Containers v1.5.0 or above (including 1.5.0-rc)
Containerd v1.2.0 or above
Kubernetes v1.12.0 or above

在 config.toml 配置文件中,增加如下内容:

    [plugins.cri.containerd]
      no_pivot = false[plugins.cri.containerd.runtimes]
      [plugins.cri.containerd.runtimes.runc]
         runtime_type = "io.containerd.runc.v1"
         [plugins.cri.containerd.runtimes.runc.options]
           NoPivotRoot = false
           NoNewKeyring = false
           ShimCgroup = ""
           IoUid = 0
           IoGid = 0
           BinaryName = "runc"
           Root = ""
           CriuPath = ""
           SystemdCgroup = false
      [plugins.cri.containerd.runtimes.kata]
         runtime_type = "io.containerd.kata.v2"
      [plugins.cri.containerd.runtimes.katacli]
         runtime_type = "io.containerd.runc.v1"
         [plugins.cri.containerd.runtimes.katacli.options]
           NoPivotRoot = false
           NoNewKeyring = false
           ShimCgroup = ""
           IoUid = 0
           IoGid = 0
           BinaryName = "/usr/bin/kata-runtime"
           Root = ""
           CriuPath = ""
           SystemdCgroup = false

这里 [plugins.cri.containerd.runtimes.kata] 中的 kata 将被作为 RuntimeClass handler 关键字。

  • 使用 untrusted_workload_runtime 的方式

对于不符合上述版本要求的环境,可以使用之前的方式。

在配置文件中新增如下内容:

    [plugins.cri.containerd.untrusted_workload_runtime]
      runtime_type = "io.containerd.runtime.v1.linux"
      runtime_engine = "/usr/bin/kata-runtime"

最后,都需要重启 containerd。

$ containerd systemctl daemon-reload
$ systemctl restart containerd

然后讲kubelet配置文件拷贝到用户目录下面

sudo mkdir -p /home/xrw/.kube && sudo cp /etc/kubernetes/admin.conf /home/xrw/.kube/config

使用 kata-runtime

RuntimeClass 方式

  • 创建 RuntimeClass

kata-runtime.yaml

kind: RuntimeClass
apiVersion: node.k8s.io/v1beta1
metadata:
  name: kata-containers
handler: kata

也可以为 runc 创建 RuntimeClass

$ kubectl get runtimeclass

NAME              CREATED AT
kata-containers   2020-08-30

创建负载 kata-pod.yaml

apiVersion: v1
kind: Pod
metadata:
  name: kata-nginx
spec:
  runtimeClassName: kata-containers
  containers:
  - name: nginx
    image: nginx
    ports:- containerPort: 80

$ kubectl apply -f kata-pod.yaml

查看负载是否是kata运行的

# 获取pod中的Container ID 
$  sudo kubectl decribe pod kata-nginx
# 查看容器的容器运行时是不是kata
$  sudo crictl inspect [Container ID]

untrusted_workload_runtime 使用 annotations 告诉 Kubernetes 集群哪些负载需要使用 kata-runtime。

annotations:
  io.kubernetes.cri.untrusted-workload: "true"
下面是一个示例 kata-pod-untrusted.yaml

apiVersion: v1
kind: Pod
metadata:
  name: kata-nginx-untrusted
  annotations:
    io.kubernetes.cri.untrusted-workload: "true"
spec:
  containers:
  - name: nginx
    image: nginx
    ports:- containerPort: 80

$ kubectl apply -f kata-pod-untrusted.yaml
谢小鱼
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
vagrant-k8s-kubevirt-kata容器:Kubernetes,在Vagrant具有kubevirt和kata容器(带有libvirtkvm)
02-06
vagrant-k8s-kubevirt-kata容器:Kubernetes,在Vagrant具有kubevirt和kata容器(带有libvirtkvm)
k8s+containerd+kata-containers 安装
ignorantshr的博客
06-15 2764
k8s+containerd+kata-containers 安装环境安装kata联网安装本地安装检验containerd检验k8smanagernode1检验安装 dashboard (可选)使用 kata 作为 runtime创建 RuntimeClass使用 环境 主机要求, VMware Workstation:三台 CentOS7,使用 CentOS-7-x86_64-Minimal-1810.iso 镜像: 角色 主机名 IP地址 要求 控制主机 controller 192.
docker kata k8s
Leo_ZN_0的博客
05-02 598
docker sudo apt-get update && sudo apt-get install -y apt-transport-https curl curl -fsSL https://download.docker.com/linux/ubuntu/gpg | apt-key add - sudo apt-get install docker.io -y docke...
k8s集成containerd,集成crictl工具,集成kata
sinat_38453878的博客
03-03 2645
场景记录:需要使用kata安全容器,与runc共存,同时替换docker为containerd,使用crictl工具作为镜像管理的客户端工具,记录实操及问题解决的过程 基础环境:(kvm虚拟机)centos-7.9 + k8s-v1.23.0,k8s集群环境安装可参见 这里 https://blog.csdn.net/sinat_38453878/article/details/123224546?spm=1001.2014.3001.5502 安装kata 参见 这里 https://blog.csdn.
Kubernetes kata-container 介绍
爱死亡机器人
05-10 906
文章目录1. 为什么用kata-container2. 什么是kata-container3. kata container组件3.1 Agent3.2 Runtime3.3 Proxy3.4 Shim 参考链接: https://blog.csdn.net/zhonglinzhang/article/details/86489695 1. 为什么用kata-container 弥补了传统容器技术安全性的缺点,Kata Containers通过使用硬件虚拟化来达到容器隔离的目的。每一个container/
KataKubernetes 的网络模型
mr1jie的博客
10-25 785
Kata Kubernetes CNI 网络
Certified-kubernetes-administrator-cka-kata:一组Vagrant盒子,用于培训以获得CKA认证
02-06
Kubernetes认证管理员(CKA) 截至2018年4月24日在ubuntu 16上发布,提示文件显示为1.11.1 带有链接的考试的一些信息: 学习期间我将在哪里复制笔记: 问题: 我将场景放置在何处,您可以将此回购用于: 脚步kubectl...
kata:Java通过比较Kata
05-28
Java通过比较Kata 要求您拥有一份的副本,因为您需要应用本书的重构。 有了这个kata,您将训练自己找出有问题的代码并使其变得更好。先决条件,Java 8编译器和好奇心。故事今天是您从事新工作的第一天。 老板:很...
diamondKata:使用 TDD 在 Java 使用 Diamond Kata
06-25
钻石卡塔给定一个字母,打印一个以“A”开头的菱形,并在最宽处打印所提供的字母。 例如:print-diamond 'C' 打印A B_B C___C B_B A
frakti:Kubernetes的基于管理程序的容器运行时
02-03
Frakti允许Kubernetes通过在虚拟机管理程序直接运行pod和容器。 它重量轻且可移植,但是与基于linux-namespace的容器运行时相比,使用独立内核可以提供更强的隔离性。 Frakti充当CRI容器运行时服务器。 启动...
k8s笔记 | helm包管理
weixin_41104307的博客
05-19 337
如果是在 arm64下的话,使用 registry.cn-beijing.aliyuncs.com/pylixm/nfs-subdir-external-provisioner:v4.0.0 这个镜像会报错 exec / nfs-subdir-external-provisioner format error 简单来说就是平台不匹配,解决方案就是自己构建一个匹配的镜像包。由于需要提前创建storageClass manage-nfc-storage,在前面的章节总共有三个文件。
K8S认证|CKA题库+答案| 1. 权限控制RBAC
Dances with Cloud Native
05-15 6743
K8S认证 | CKA题库+答案 | 权限控制RBAC
Kubernetes 之 Pod 之间的亲和性与反亲和性
千度阿三的博客
05-18 333
Pod 反亲和性是与亲和性完全相反的定义,一旦发现它的约束条件匹配,那么这个 Pod 比与匹配 Pod 在不同的上的工作节点上。它主要可以用来保障不是热点区域和不需要高性能响应但很重要的业务不受干扰。
安装k8s的负载均衡器MetalLB
纵歌的博客
05-17 635
安装k8s的负载均衡器MetalLB(新旧版安装不同)
k8s证书续期
weixin_40668374的博客
05-15 201
如果证书即将到期,此处的天数应该是几天,在过期之前进行续期,保证集群的可用。6.再次查看期限,检查服务是否正常。避免出现问题可以回退。5.替换更新后的文件。
kubeadm部署k8s v1.28
最新发布
Fish_1112的博客
05-19 662
kubeadm部署k8s v1.28
【云原生】Kubeadm部署k8s
AH99999的博客
05-16 843
实验环境以下图片只展示一个,过程都一样 所有节点安装 kubectl需经由API server认证及授权后方能执行相应的管理操作,kubeadm 部署的集群为其生成了一个具有管理员权限的认证配置文件 /etc/kubernetes/admin.conf,它可由 kubectl 通过默认的 “$HOME/.kube/config” 的路径进行加载。
K8s 高级调度
go|Python的个人博客
05-16 265
默认情况下,一个Pod在哪个Node节点上运行,是由Scheduler组件采用相应的算法计算出来的,这个过程是不受人工控制的。但是在实际使用,这并不满足的需求,我们想控制某些Pod到达某些节点上,就要求了解kubernetes对Pod的调度规则,kubernetes提供了四大类调度方式:**自动调度:**运行在哪个节点上完全由Scheduler经过一系列的算法计算得出**定向调度:**NodeName、NodeSelector。
isulad容器引擎不支持kata安全容器
09-11
### 回答1: 事实上,isulad容器引擎是支持kata安全容器的。isulad是一个开源的轻量级容器运行时,它可以与不同的容器技术进行集成,包括katakata是一个基于虚拟化技术的安全容器,它可以提供更高的安全性和隔离性。isulad集成kata,可以使用kata安全容器来运行容器。这样可以在保持轻量级的同时,提供更高的安全性。 ### 回答2: isulad容器引擎是一款在国开发的轻量级容器引擎,主要用于在Linux操作系统上运行容器。它的设计目标是为了提供高性能、高可靠性和高扩展性的容器运行环境。然而,目前isulad容器引擎并不支持kata安全容器。 kata安全容器是一种基于虚拟化技术的安全容器方案。它通过在每个容器实例内部运行一个轻量级虚拟机来提供隔离和安全性。kata容器与传统容器相比,能够提供更高的安全性和隔离性,保护容器内部的数据和环境免受攻击和恶意代码的侵害。 尽管kata容器在安全性方面具有很大优势,但由于技术实现上的差异,isulad容器引擎并不支持它。这意味着在使用isulad容器引擎时,无法直接使用kata容器提供的安全特性。 如果用户需要使用kata安全容器,可以考虑使用其他容器引擎,例如Docker或者Kubernetes,它们都提供了对kata容器的支持。通过使用这些容器引擎,用户可以轻松地创建、部署和管理kata容器,同时享受到kata容器提供的额外安全性和隔离性。 ### 回答3: isulad容器引擎目前不支持kata安全容器。isulad是华为公司开源的一款容器运行时引擎,它主要用于在Linux操作系统上创建和管理容器实例。isulad注重轻量性和高性能,提供了一系列功能丰富的容器管理工具和API,以满足用户对容器化应用的需求。 但是,isulad并不支持kata安全容器。kata是一个针对安全性和性能进行优化的容器运行时,它采用虚拟化技术,通过在宿主机上创建虚拟机来运行容器,提供了更高的隔离性和安全性。 尽管kata安全容器具有许多优点,但是isulad目前还没有整合kata运行时的能力。这可能是因为isulad的设计目标和使用场景与kata不完全一致,或者是因为isulad的开发者团队还没有将kata集成到isulad。因此,如果用户有需要在isulad使用kata安全容器的需求,可能需要考虑其他容器引擎或解决方案。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值