kubernetes笔记(五)

最新推荐文章于 2024-10-03 21:27:23 发布
最新推荐文章于 2024-10-03 21:27:23 发布
阅读量228 收藏 1
点赞数 2
分类专栏: k8s 文章标签: kubernetes 笔记 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42750608/article/details/142689822
版权

污点容忍

1.污点策略

Taints and Tolerations | Kubernetes

尽量不调度:PreferNoSchedule

不被调度:NoSchedule

驱逐节点:NoExecute

1)管理污点标签

# 查看污点策略
[root@master ~]# kubectl describe nodes|grep Taints


# node-0001 设置污点策略 PreferNoSchedule
[root@master ~]# kubectl taint node node-0001 k=v1:PreferNoSchedule


# node-0002 设置污点策略 NoSchedule
[root@master ~]# kubectl taint node node-0002 k=v2:NoSchedule

[root@master ~]# kubectl describe nodes |grep Taints

2)Pod资源文件

[root@master ~]# vim myphp.yaml
---
kind: Pod
apiVersion: v1
metadata:
  name: myphp
spec:
  containers:
  - name: php
    image: myos:php-fpm
    resources:
      requests:
        cpu: 1500m

3)验证污点策略

# 优先使用没有污点的节点
[root@master ~]# sed "s,myphp,php1," myphp.yaml |kubectl apply -f -

[root@master ~]# sed "s,myphp,php2," myphp.yaml |kubectl apply -f -

[root@master ~]# sed "s,myphp,php3," myphp.yaml |kubectl apply -f -

[root@master ~]# kubectl get pods -o wide


# 最后使用 PreferNoSchedule 节点
[root@master ~]# sed 's,myphp,php4,' myphp.yaml |kubectl apply -f -

[root@master ~]# kubectl get pods -o wide


# 不会使用 NoSchedule 节点
[root@master ~]# sed 's,myphp,php5,' myphp.yaml |kubectl apply -f -

[root@master ~]# kubectl get pods -o wide

验证污点标签(二)

# NoSchedule 不会影响已经创建的 Pod
[root@master ~]# kubectl taint node node-0003 k=v3:NoSchedule

[root@master ~]# kubectl describe nodes |grep Taints

[root@master ~]# kubectl get pods -o wide

4)清理实验配置

[root@master ~]# kubectl delete pod --all

[root@master ~]# kubectl taint node node-000{1..4} k-

[root@master ~]# kubectl describe nodes |grep Taints

2.容忍策略

1)设置污点标签

# 节点 node-0001,node-0002 设置污点标签 k=v1:NoSchedule
[root@master ~]# kubectl taint node node-000{1..2} k=v1:NoSchedule

# 节点 node-0003,node-0004 设置污点标签 k=v2:NoSchedule
[root@master ~]# kubectl taint node node-000{3..4} k=v2:NoSchedule

# 节点 node-0005 设置污点标签 k=v1:NoExecute
[root@master ~]# kubectl taint node node-0005 k=v1:NoExecute

[root@master ~]# kubectl describe nodes |grep Taints

2)精确匹配策略

spec->tolerations->operator: Equal

# 容忍 k=v1:NoSchedule 污点
[root@master ~]# vim myphp.yaml
---
kind: Pod
apiVersion: v1
metadata:
  name: myphp
spec:
  tolerations:
  - operator: Equal      # 完全匹配键值对
    key: k               # 键
    value: v1            # 值
    effect: NoSchedule   # 污点标签
  containers:
  - name: php
    image: myos:php-fpm
    resources:
      requests:
        cpu: 1500m

[root@master ~]# for i in php{1..3};do sed "s,myphp,${i}," myphp.yaml ;done|kubectl apply -f -

[root@master ~]# kubectl get pods -o wide

[root@master ~]# kubectl delete pod --all

3)模糊匹配策略

spec->tolerations->operator: exists

# 容忍 k=*:NoSchedule 污点
[root@master ~]# vim myphp.yaml
---
kind: Pod
apiVersion: v1
metadata:
  name: myphp
spec:
  tolerations:
  - operator: Exists     # 部分匹配,存在即可
    key: k               # 键
    effect: NoSchedule   # 污点标签
  containers:
  - name: php
    image: myos:php-fpm
    resources:
      requests:
        cpu: 1500m

[root@master ~]# for i in php{1..5};do sed "s,myphp,${i}," myphp.yaml ;done|kubectl apply -f -

[root@master ~]# kubectl get pods -o wide

[root@master ~]# kubectl delete pod --all

4)所有污点标签

spec->tolerations->operator: exists

spec->tolerations->effect: ""

# 容忍所有 node 上的污点
[root@master ~]# vim myphp.yaml 
---
kind: Pod
apiVersion: v1
metadata:
  name: myphp
spec:
  tolerations:
  - operator: Exists     # 模糊匹配
    key: k               # 键
    effect: ""           # 设置空或删除,代表所有污点标签
  containers:
  - name: php
    image: myos:php-fpm
    resources:
      requests:
        cpu: 1500m

[root@master ~]# for i in php{1..5};do sed "s,myphp,${i}," myphp.yaml ;done|kubectl apply -f -

[root@master ~]# kubectl get pods -o wide

5)清理实验配置

[root@master ~]# kubectl taint node node-000{1..5} k-

[root@master ~]# kubectl describe nodes |grep Taints

[root@master ~]# kubectl delete pod --all

3.优先级与抢占

Pod 优先级和抢占 | Kubernetes

1)非抢占优先级

# 定义优先级(队列优先)
[root@master ~]# vim mypriority.yaml
---
kind: PriorityClass
apiVersion: scheduling.k8s.io/v1
metadata:
  name: high-non
preemptionPolicy: Never
value: 1000

---
kind: PriorityClass
apiVersion: scheduling.k8s.io/v1
metadata:
  name: low-non
preemptionPolicy: Never
value: 500

[root@master ~]# kubectl apply -f mypriority.yaml 

[root@master ~]# kubectl get priorityclasses.scheduling.k8s.io

2)Pod资源文件

kubectl get priorityclasses.scheduling.k8s.io 获取优先级class
priorityClassName: 从上述获取列表中找一个需要的
# 无优先级的 Pod
[root@master ~]# cat php1.yaml 
---
kind: Pod
apiVersion: v1
metadata:
  name: php1
spec:
  nodeSelector:
    kubernetes.io/hostname: node-0004
  containers:
  - name: php
    image: myos:php-fpm
    resources:
      requests:
        cpu: "1500m"

# 低优先级 Pod
[root@master ~]# cat php2.yaml 
---
kind: Pod
apiVersion: v1
metadata:
  name: php2
spec:
  nodeSelector:
    kubernetes.io/hostname: node-0004
  priorityClassName: low-non      # 优先级名称
  containers:
  - name: php
    image: myos:php-fpm
    resources:
      requests:
        cpu: "1500m"

# 高优先级 Pod
[root@master ~]# cat php3.yaml 
---
kind: Pod
apiVersion: v1
metadata:
  name: php3
spec:
  nodeSelector:
    kubernetes.io/hostname: node-0004
  priorityClassName: high-non     # 优先级名称
  containers:
  - name: php
    image: myos:php-fpm
    resources:
      requests:
        cpu: "1500m"

3)验证非抢占优先

[root@master ~]# kubectl apply -f php1.yaml 

[root@master ~]# kubectl apply -f php2.yaml 

[root@master ~]# kubectl apply -f php3.yaml 

[root@master ~]# kubectl get pods

[root@master ~]# kubectl delete pod php1

[root@master ~]# kubectl get pods


# 清理实验 Pod
[root@master ~]# kubectl delete pod php2 php3

4)抢占策略

[root@master ~]# vim mypriority.yaml
---
kind: PriorityClass
apiVersion: scheduling.k8s.io/v1
metadata:
  name: high-non
preemptionPolicy: Never
value: 1000

---
kind: PriorityClass
apiVersion: scheduling.k8s.io/v1
metadata:
  name: low-non
preemptionPolicy: Never
value: 500

---
kind: PriorityClass
apiVersion: scheduling.k8s.io/v1
metadata:
  name: high
preemptionPolicy: PreemptLowerPriority
value: 1000

---
kind: PriorityClass
apiVersion: scheduling.k8s.io/v1
metadata:
  name: low
preemptionPolicy: PreemptLowerPriority
value: 500

[root@master ~]# kubectl apply -f mypriority.yaml 

[root@master ~]# kubectl get priorityclasses.scheduling.k8s.io

5)验证抢占优先级

# 替换优先级策略
[root@master ~]# sed 's,-non,,' -i php?.yaml

# 默认优先级 Pod
[root@master ~]# kubectl apply -f php1.yaml 

[root@master ~]# kubectl get pods


# 高优先级 Pod
[root@master ~]# kubectl apply -f php3.yaml

[root@master ~]# kubectl get pods


# 低优先级 Pod
[root@master ~]# kubectl apply -f php2.yaml

[root@master ~]# kubectl get pods

# 清理实验 Pod
[root@master ~]# kubectl delete pod --all

[root@master ~]# kubectl delete -f mypriority.yaml

4.Pod安全

1)特权容器

[root@master ~]# vim root.yaml
---
kind: Pod
apiVersion: v1
metadata:
  name: root
spec:
  hostname: myhost         # 修改主机名
  hostAliases:             # 修改 /etc/hosts
  - ip: 192.168.1.30       # IP 地址
    hostnames:             # 名称键值对
    - harbor               # 主机名
  containers:
  - name: apache
    image: myos:httpd

[root@master ~]# kubectl apply -f root.yaml 

[root@master ~]# kubectl exec -it root -- /bin/bash

[root@myhost html]# hostname

[root@myhost html]# cat /etc/hosts


[root@master ~]# kubectl delete pod root

root特权容器

Kubernetes API Reference Docs

[root@master ~]# vim root.yaml
---
kind: Pod
apiVersion: v1
metadata:
  name: root
spec:
  hostPID: true            # 特权,共享系统进程
  hostNetwork: true        # 特权,共享主机网络
  containers:
  - name: apache
    image: myos:httpd
    securityContext:       # 安全上下文值
      privileged: true     # root特权容器

[root@master ~]# kubectl get pods
NAME   READY   STATUS    RESTARTS   AGE

[root@master ~]# kubectl exec -it root -- /bin/bash
[root@node-0001 /]# 

# 系统进程特权
[root@node-0001 /]# pstree -p

# 网络特权
[root@node-0001 /]# ifconfig eth0

# root用户特权
[root@node-0001 /]# mkdir /sysroot
[root@node-0001 /]# mount /dev/vda1 /sysroot
[root@node-0001 /]# mount -t proc proc /sysroot/proc
[root@node-0001 /]# chroot /sysroot

# 删除特权容器
[root@master ~]# kubectl delete pod root

 

2)Pod安全策略

# 生产环境设置严格的准入控制
[root@master ~]# kubectl create namespace myprod

[root@master ~]# kubectl label namespaces myprod pod-


# 测试环境测试警告提示
[root@master ~]# kubectl create namespace mytest

[root@master ~]# kubectl label namespaces mytest pod-security.kubernetes.io/warn=baseline


# 创建特权容器
[root@master ~]# kubectl -n myprod apply -f root.yaml 

[root@master ~]# kubectl -n myprod get pods

[root@master ~]# kubectl -n mytest apply -f root.yaml                                    

[root@master ~]# kubectl -n mytest get pods

3)安全的Pod

[root@master ~]# vim nonroot.yaml
---
kind: Pod
apiVersion: v1
metadata:
  name: nonroot
spec:
  restartPolicy: Always
  containers:
  - name: php
    image: myos:php-fpm
    securityContext:
      allowPrivilegeEscalation: false
      runAsNonRoot: true
      runAsUser: 65534
      seccompProfile:
        type: "RuntimeDefault"
      capabilities:
        drop: ["ALL"]

[root@master ~]# kubectl -n myprod apply -f nonroot.yaml 

[root@master ~]# kubectl -n myprod get pods

[root@master ~]# kubectl -n myprod exec -it nonroot -- id

qq_42750608
关注
专栏目录
Programming-Kubernetes-Notebookbook:编程Kubernetes笔记
03-07
《编程Kubernetes笔记本》是一本深入探讨如何使用Go语言与Kubernetes进行交互的资源集合。这本书旨在帮助开发者理解和掌握在Kubernetes集群上构建、部署和管理应用的关键技能。通过Go语言,你可以更高效地利用...
04-kubernetes笔记.pdf
04-24
Kubernetes(K8s)集群中,核心组件扮演着至关重要的角色,它们确保了容器化应用的稳定性和高可用性。本文将深入探讨ReplicationController(RC)、ReplicaSet(RS)、Deployment、selector以及Horizontal Pod ...
Kubernetes详细笔记
热门推荐
写代码的渣渣苏
04-24 3万+
文章目录Kubernetes一、Kubernetes介绍1.1、应用部署方式演变1.2、kubernetes简介1.3、kubernetes组件1.4、kubernetes概念二、集群环境搭建2.1、环境规划2.1.1、集群类型2.1.2、安装方式2.1.3、主机规划2.2、环境搭建2.2.1、主机安装2.2.2、环境初始化2.2.3、安装docker2.2.4、安装Kubernetes组件2.2.5、准备集群镜像2.2.6、集群初始化2.2.7、安装网络插件2.3 集群测试2.7.1 创建一个nginx服
Kubernetes笔记
pengpm的博客
08-12 110
kubernetes,是一个全新的基于容器技术的分布式架构领先方案,是谷歌严格保密十几年的秘密武器----Borg系统的一个开源版本,于2014年9月发布第一个版本,2015年7月发布第一个正式版本。
Kubernetes学习笔记01
sjdhdbjd的博客
04-28 972
Kubernetes 是一个轻便的和可扩展的开源平台,用于管理容器化应用和服务。通过Kubernetes 能够进行应用的自动化部署和扩缩容。在 Kubernetes 中,会将组成应用的容器组合成一个逻辑单元以更易管理和发现。Kubernetes 积累了作为 Google 生产环境运行工作负载 15 年的经验,并吸收了来自于社区的最佳想法和实践。
kubernetes笔记
Drftyytf的博客
02-19 551
HostAliases:定义Pod的hosts文件(比如:/etc/hosts)里的内容。 如果只是改pod中/etc/hosts的内容的话,pod被删除重建后,数据就会丢失 使用方法: apiVersion: v1 kind: Pod ... spec: hostAliases: - ip: "10.1.2.3" hostnames: - "foo.remote" - "bar.remote" ... pod中的容器间pidNamespace的方法:https://www
kubernetes学习笔记
qq_43427354的博客
02-07 1827
一、kubernetes介绍 K8s,用于自动化容器化应用程序的部署、扩展和管理。kubernetes本质是一组服务器集群,它可以在集群的每个节点上运行特定的程序,来对节点中的容器进行管理。目的是实现资源管理的自动化,主要提供了如下的主要功能: 1、功能特点: 自我修复:如果某个容器挂了,它会在1秒内启动新的容器; 弹性收缩:可以根据流量的大小自动的启停服务; 服务发现:服务可以通过自动发现的形式找到它依赖的服务; 负载均衡:如果一个服务启动了多个,能够自动实现请求的负载均衡; 版本回退:如果发下新发布的程
Kubernetes学习笔记05
sjdhdbjd的博客
04-29 680
kubeadm是官方社区推出的一个用于快速部署kubernetes集群的工具。这个工具能通过两条指令完成一个kubernetes集群的部署:# 创建一个 Master 节点# 将一个 Node 节点加入到当前集群中$ kubeadm join <Master节点的IP和端口 >
kubernetes完整学习笔记
weixin_47027340的博客
06-02 2789
k8s完整学习笔记
Kubernetes笔记(一) Kubernetes 集群架构
艾希射日
02-10 1318
1. Kubernetes 集群架构 Kuberetes 本身是由一系列组件组成的容器编排系统,每个组件各司其职从而实现容器的调度、部署以及自动伸缩等功能。 Kubernetes 整体的架构图 1.1 Master (Control Plane)节点 集群中的控制节点,为单数数量,运行集群中的控制面板逻辑的相关组件。kube-system namespace 下的资源都会在这一个或者多个Master 节点上运行,且默认会有node-rule.kubernetes.io/master:NoSchedule
Kubernetes 笔记
weixin_34072159的博客
09-19 137
2019独角兽企业重金招聘Python工程师标准>>> ...
Kubernetes学习笔记
gyfghh的博客
04-26 1707
用于自动部署、扩缩和管理容器化应用程序的开源系统,支持自动化部署、大规模可伸缩。
很棒的kubernetes笔记:很棒的kubernetes笔记:party_popper:
01-30
很棒的Kubernetes笔记 目的 为方便更多k8s爱好者更系统性的学习文档,利用sphinx将笔记整理生成程序在线文档,方便学习交流 本文 个人信息: awesome-kubernetes-notes: 演示 目录 1.1容器编排工具 1.2 kubernetes ...
Kubernetes笔记.md
01-12
Kubernetes笔记.md
kubernetes笔记(四)
10-02
kubernetes笔记(四)
pod管理及优化
2302_81167603的博客
10-02 927
Pod是可以创建和管理Kubernetes计算的最小可部署单元一个Pod代表着集群中运行的一个进程,每个pod都有一个唯一的ip一个pod类似一个豌豆荚,包含一个或多个容器(通常是docker)多个容器间共享IPC、Network和UTC namespace。
[k8s理论知识]1.runc容器管理工具
weixin_45396500的博客
10-03 160
是一个 CLI 工具,用于根据 OCI 规范创建和运行容器。它是容器底层的核心组件,负责直接与 Linux 内核的 cgroups 和 namespaces 交互,以实现容器的隔离和资源限制。在容器生态系统中,runc是容器运行时containerd和dockerd的底层工具,被更高级的工具(docker和container)使用。runc是一个用来启动和管理容器的轻量级工具,它是开放容器项目(Open Container Initiative, OCI)的标准实现。
21.2 k8s中etcd的tls双向认证原理解析
福大大架构师每日一题
10-01 1081
tls单向认证原理tls双向认证原理在k8s中etcd监控的应用以ca.crt client.crt client.key创建的secret并挂载到prometheus中prometheus配置证书信息打到采集etcd的目的。
22.2 k8s中ksm采集的使用的dns解析
最新发布
福大大架构师每日一题
10-03 274
k8s 会为service创建cordns解析pod中dns的搜索域模拟prometheus进行dns解析后访问数据。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值