k8s租户设置

最新推荐文章于 2024-09-02 22:02:41 发布
最新推荐文章于 2024-09-02 22:02:41 发布
阅读量157 收藏
点赞数 3
文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31871661/article/details/141159877
版权

k8s租户设置

创建租户账号

[root@kube-master-01 third-test]# cat sa.yaml 
apiVersion: v1
kind: ServiceAccount
metadata:
  name: bao
  namespace: third

创建角色

[root@kube-master-01 third-test]# more role.yaml 
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: bao-role
  namespace: third
rules:
  - apiGroups:
      - apps
      - ''
    resources:
      - deployments
      - replicasets
      - statefulsets
      - daemonsets
      - services
      - pods
      - pods/log
      - pods/exec
      - namespaces
    verbs:
      - list
      - get
      - create

创建绑定关系

[root@kube-master-01 third-test]# more rolebing.yaml 
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: third-role
  namespace: third
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: Role
  name: bao-role 
subjects:

- kind: ServiceAccount
  name: bao
  namespace: third

创建资源配额限制

[root@kube-master-01 third-test]# more resource-quota.yaml 
apiVersion: v1
kind: ResourceQuota
metadata:
  name: compute-resources
  namespace: third
spec:
  hard:
    requests.cpu: "2"
    requests.memory: 4Gi
    limits.cpu: "2.5"
    limits.memory: 4.5Gi
    pods: "10"
    count/deployments.apps: "3"
    count/services: "3"

配置上下文

#查看sa的secret
kubectl get secret -nthird
#查看sa对应的token
echo $(kubectl -n third get secret $(kubectl -n third get secret | grep bao | awk '{print $1}') -o go-template='{{.data.token}}' | base64 -d)

token=`echo $(kubectl -n third get secret $(kubectl -n third get secret | grep bao | awk '{print $1}') -o go-template='{{.data.token}}' | base64 -d)`
#打印token
echo $token

#创建user凭证绑定token
kubectl config set-credentials bao --token=$token

#配置集群
kubectl config set-cluster mycluster --insecure-skip-tls-verify=true --server=https://lb-apiserver.kubernetes.local:6443

#绑定集群关系
kubectl config set-context mycontext --cluster=mycluster --user=bao

#查看配置信息
cat /root/.kube/config

#切换到新的上下文
kubectl config use-context mycontext

#切换回原先的认证上下文
kubectl config use-context kubernetes-admin@cluster.local

配置网络隔离

[root@kube-master-01 tenant]# more network-policy.yaml 
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: tenant-datasec
  namespace: datasec
spec:
  podSelector: {}
  policyTypes:
  - Ingress
  - Egress

  ingress:
  - from:
    - namespaceSelector:    #匹配命名空间标签
        matchLabels:
          #kubesphere.io/namespace: default
          name: datasec
    - ipBlock:  #通过cidr来进行屏蔽
        cidr: 0.0.0.0/0
        except:
        - 172.22.56.0/21
  egress:
  - to:
    - ipBlock: #通过cidr来进行屏蔽
        cidr: 0.0.0.0/0
        except:
        - 172.22.56.0/21
        #- 10.233.64.0/18
        #- 10.233.0.0/18
    - namespaceSelector:
        matchLabels:
          name: datasec
Emerson_bao
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
k8s dial tcp 10.97.0.1:443: i/o timeout
weixin_40548182的博客
08-29 332
使用 kubeadm 部署完 k8s ,使用 projectcalico/tigera-operator 这个 chart 部署 calico ,卡在了 tigera-operator 这个 namespace 下的 pod tigera-operator-54b47459dd-n4x72,该 pod 一直重启,查看该 pod 日志发现如下报错。查看 endpoints,发现 kubernetes 的 ENDPOINTS 地址不对,这个地址是 node 上另外一个段的,这个段不是所有的主机都能通。
个人学习k8s相关资料
06-01
Kubernetes(简称K8s)是Google开源的一种容器编排系统,用于自动化容器化的应用程序部署、扩展和管理。这个“个人学习k8s相关资料”压缩包很可能是包含了一系列的学习资源,帮助你深入理解和掌握Kubernetes的核心...
k8s学习资料
10-31
Kubernetes,简称K8s,是Google开源的一种容器编排系统,用于自动化容器化的应用程序部署、扩展和管理。这个“k8s学习资料”压缩包包含了深入理解Kubernetes的基础和高级概念的重要资源,尤其是《Kubernetes权威指南...
k8s helm
ljj19910401的博客
09-01 1089
k8s Helm是Kubernetes的包管理工具,它通过定义、安装和升级Chart来简化Kubernetes应用的部署和管理。Helm的使用可以大大提高Kubernetes应用的部署效率和可维护性,是Kubernetes生态系统中不可或缺的一部分。参考4条信息源k8s Helm 是Kubernetes的包管理工具,类似于Linux系统中常用的apt、yum等包管理工具。Helm通过定义、安装和升级Kubernetes应用程序来简化Kubernetes应用部署的复杂性。
kubeadm部署 Kubernetes(k8s) 高可用集群【V1.20 】
srebro | 博客
09-01 1323
kubeadm是官方社区推出的一个用于快速部署kubernetes集群的工具。
k8s系列】Kubernetes Service 深度解析:从基础到实战
Young_深情不及里子的博客
09-02 639
在当今的云原生世界中,Kubernetes 已经成为容器编排和管理的事实标准。它提供了一种强大的方式来部署、扩展和管理容器化应用。然而,随着应用规模的扩大和复杂性的增加,如何有效地暴露和管理这些应用的网络服务成为了一个关键问题。Kubernetes Service 正是解决这一问题的利器。本文将分享一些笔者在这块的知识点学习过程,便于感兴趣的小伙伴可以快速理解Kubernetes组件的基础应用。
Day22_K8S
weixin_45014721的博客
09-02 697
每个Pod中都可以包含一个或者多个容器,这些容器可以分为两类:用户程序所在的容器,数量可多可少Pause容器,这是每个Pod都会有的一个根容器,它的作用有两个:可以以它为依据,评估整个Pod的健康状态可以在根容器设置Ip地址,其它容器都此Ip(Pod IP),以实现Pod内部的网路通信apiVersion: v1 #必选,版本号,例如v1kind: Pod   #必选,资源类型,例如 Podmetadata:   #必选,元数据name: string #必选,Pod名称。
K8s系列之:Operator 和 Operator Framework
zhengzaifeidelushang的博客
09-02 639
Operator 是 CRD 配合 可选的 webhook 和 controller,在 Kubernetes 体系下扩展用户业务逻辑的一套机制;kubebuilder 是社区认可度很高的一种官方、标准化 Operator 框架;按照上文实战步骤,填充用户自定义代码,就可以很方便的实现一个 Operator。
K8S ReplicaSet
王小工小工历程
08-29 602
Kubernetes(通常拼写为 Kubernetes,而不是 kubernate)中,ReplicaSet(副本集)是一种 Kubernetes 控制器,它确保由它管理的 Pod(容器组)的数量与预期的副本数量相匹配。如果 Pod 被删除或因为某些原因终止了(比如节点故障),ReplicaSet 会自动创建新的 Pod 来替换它们,以维持预期的副本数量。ReplicaSet 是 Kubernetes 部署(Deployments)和状态集(StatefulSets)等更高级抽象背后的关键组件之一。
k8s项目的发布(金丝雀发布)
Hai990218的博客
08-29 495
因为应用升级以及新旧业务切换,所以在这个过程当中如何保证对外的服务正常是一个非常重要的问题。
Kubernetes知识点问答题】Pod
最新发布
Songyaxuan075118的博客
09-02 424
Pod Pod 的根容器 Pod 的生命周期 Init 类型容器 Sidecar 类型容器和 Init 容器的区别 静态 Pod
k8s-pod 实战二 (Pod 重启策略、探针及实现方式详解)
jundao1997的专栏
08-30 573
通过这三个实战案例,你可以掌握如何在 Kubernetes 中配置和使用不同类型的探针,以确保你的应用运行在最佳状态。上述配置和命令带有详细注释,能够帮助你更好地理解每个字段的含义,使配置过程更加清晰和可控。在 Kubernetes 中,Pod 的重启策略和探针是确保应用高可用性和健壮性的重要机制。以下大纲将详细介绍 Pod 的重启策略、三种探针及其实现方式,并通过具体命令和实战案例帮助你更好地理解这些概念。探针(Probe)是 Kubernetes 用于检查容器运行状况的机制。
安装k8s集群
lj872224的博客
08-30 869
我这里搭建K8S集群使用的是本地的虚拟机,准备三台2核4G的虚拟机(内存至少2G以上),操作系统选择用centos 7以上 版本,先在三台机器上装好docker(docker的安装参考其他资料)11、安装kubelet、kubeadm、kubectl 指定版本,我们使用kubeadm方式安装k8s集群。5、在 k8s‐master机器添加hosts,执行如下命令,ip需要修改成你自己虚拟机器的ip。1 #配置使用 kubectl 命令工具(类似docker这个命令),执行上图第二个红框里的命令。
k8s-使用Network Policies实现网络隔离
dsgdauigfs的博客
08-29 1007
本字段可以看作是一个开关,如果其中包含Ingress,则Ingress部分定义的规则生效,如果是Egress则Egress部分定义的规则生效,如果都包含则全部生效。实际应用中某些命名空间中的pod可能和其他命名空间中的pod有调用关系,还可能用到一些系统命名空间中的服务(如DNS服务),所以不能将某个命名空间完全和其他所有命名空间隔离,只需要将确定没有业务调用的命名空间隔离。策略描述:更新第5步sub2中创建的策略,使sub2中的pod除了不能和sub3中的pod通信外,和其他所有地址都可通信。
k8s探针详细学习笔记
ZhanBiaoChina的博客
08-29 591
这个配置表示在容器启动 5 秒后,每 10 秒发送一次 HTTP GET 请求到 http://:8080/ready。这个配置表示在容器启动后,每 10 秒发送一次 HTTP GET 请求到 http://:8080/health。如果启动探针失败,Kubernetes 会认为容器没有成功启动,并根据重启策略来重启容器。如果就绪探针失败,Kubernetes 会阻止将新的流量发送到该容器,但不会重启容器。如果存活探针失败,Kubernetes 会根据容器的重启策略来重启容器
k8s-pod 实战八 (gRPC 探测详细分析)
jundao1997的专栏
08-30 347
通过上述配置,你可以在 Kubernetes 中使用工具对 gRPC 服务进行健康检查和就绪检查。每个配置文件和命令都带有详细注释,能够帮助你更好地理解每个字段的含义,使配置过程更加清晰和可控。这些方法不仅能够帮助你在不同环境中使用不同的配置,还能够使你的配置文件更加模块化和可维护。
K8s上运行GitHub Actions的自托管运行器
长歌的博客
08-29 550
actions-runner-controller 是 Kubernetes 上的一个自定义资源定义(Custom Resource Definition, CRD),它用于管理 GitHub Actions 的运行器(runners)。GitHub Actions 是 GitHub 的自动化功能,允许用户在 GitHub 仓库中自动执行、测试、打包、发布代码等。运行器是执行 GitHub Actions 工作流程的服务器。
k8s租户服务网格
10-13
Kubernetes租户服务网格是指在 Kubernetes 集群中,为不同的租户提供独立的服务网格,以实现服务隔离和安全性。这可以通过使用 Kubernetes 的命名空间、网络策略和 RBAC 等功能来实现。 在多租户服务网格中,每...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值