云安全_K8S集群架构

已于 2024-08-01 09:42:50 修改
阅读量58 收藏
点赞数
分类专栏: 云安全 文章标签: kubernetes 容器 云原生
于 2024-03-04 16:02:12 首次发布
原文链接:https://blog.csdn.net/qq_21047625/article/details/90180406
版权

  一:K8S集群架构

  K8S的集群架构主要分为控制平面(主节点,Master节点)和计算节点(Node节点),Node中运行Pod,Pod由一组容器组成。【自解:K8S集群中的主机分为两类,一类主机中跑管理平台,这类主机集合到一起称为Master节点,另外所有的主机作为资源负载节点,称为Node节点。Master中运行apiserver,提供集群统一API入口,集群只能通过API访问调度。Node上运行容器,一组相关功能的容器组合在一起成为Pod。K8S不直接操作容器,而是操作Pod,Pod是K8S里面操作容器的基本单元。】
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

  Master节点

  Master节点是集群的控制节点,负责整个集群的管理和控制, 基本上所有的控制指令都是发给Master的, 并且他来负责调度Node来具体执行命令, 通常生产环境Master都是部署在单独的服务器, 建议使用3台以上的奇数服务器做冗余, 因为’首脑’ 宕机整个集群都会崩溃。
在这里插入图片描述
  Mater由四个逻辑组件组成, 他们分别由四个独立的守护线程, API Server, Scheduler和Controller是K8S自己做的,etcd则是使用 Core OS的成果

etcd:用户保存应用程序配置信息的守护进程,是一个k-v存储系统,存储内容为用用户发出的API请求中容器的具体要求, 是一个强一致性的

API Server: 是K8S开放给用户的唯一入口,接受用户的指令.同时对指令进行规范检查, 将合乎规范的话将其放入etcd中

Scheduler:是作为调度器 .负责的内容是寻找要部署的容器的最佳Node. 主从模式, 只能有一个正在执行的服务

Controller: 是作为控制器, K8S提供的API是声明式API. 要运行一个redis容器, 只需要声明要运行一个redis容器即可, 具体的镜像来源以及挂掉后重启等等都有控制器完成. 控制器负责用户指令的具体运行以及保证资源运行一直符合用户的需求, 作为Master的大脑. 也只能有一个正在执行的服务

  用户发起一个对容器的操作请求, API Server接受到之后会首先对用户发送的指令进行验证, 没有问题后会把指令存储到etcd. 同时Scheduler和Controller分别监听API Server请求验证成功后如果是新建容器, Scheduler会寻找最合适的Node用于运行容器, 而Controller通过监听获得指令之后会去完成指令的要求, 完成后会以轮询的方式校验资源(主要是容器)的状态和存储来etcd里面的指令要求的是否一致. 不一致的话进行重新部署资源(重启或者重新运行镜像)

  Node节点

  Node节点是作为K8S中的工作负载节点, Node节点接收Master节点分配的一些任务.
  Node的关键组件:

kubelet: 负责对pod(POD是一组 )对应容器的创建,启停等一系列的任务, kubelet时刻watch着Mater中的API Server中的资源变动, 当有和自己相关的任务的时候就会调用Docker执行具体的任务

kube-proxy: 用于实现 K8S Service(需要提供的服务) 的通信和负载均衡

Docker Engin: docker引擎, 负责Node于和容器有关的操作, K8S原生支持Docker作为容器引擎, 如果要使用其他容器引擎则需要使用对应接口集成

在这里插入图片描述
  当用户发起一个创建Pod的请求,首先Pod的信息会被存储到 etcd, 随后Master调度器会分析最适合运行这个Pod的Node, 并将信息存储到etcd, 这个时候这个Node的kubelet在Master的API Server 上面 watch到自己有事干了, 就会调用docker引擎把这一组相关的容器启动起来.
  这个时候Pod就运行起来了.
  除此之外Node还会向Master汇报Pod的运行状况, Master中的控制器汇报运行状况和 etcd中存储的Pod的信息对比, 看看是不是期望的运行状况, 不是的话重启Pod的容器, 重启不行就拉群镜像重启运行.
  在Node宕机的时候, Master还会吧这个Node上面的所有Pod通过执行调度器重新寻找适合运行的Node, 重启运行 Pod所包含的容器.

  Pod节点

  Pod是K8S里面操作容器的基本单元,是被K8S统一调度的, Pod一般是一组联系紧密的容器.
  Pod都有一个特殊的Pause容器用于代表真个Pod的状态, Paus容器的镜像是来源于K8s的平台.
在这里插入图片描述
  Pod主要要解决的问题有两个, 通常情况下一组容器的关联比较紧密, 可以看做一个在整体, 但是在管理上就出现了麻烦, 这一组业务容器无法进行统一的管理, 比如要求统一的运行启动部署, 引入Pod概念直接对Pod这组容器进行操作就更加简单, 还有运行状态的判断, 在这一组容器的运行的时候, 没有Pod就不能很好的判断整体的运行状态(一个容器挂掉算挂掉还是所有挂掉算挂掉,还是按比例), 引入Pod后, 用Pod的Pause容器状态代表整个Pod的状态, 当Pod挂掉, 重启pod包含的所有容器.
  Pod运行的容器通常联系比较傲紧密, Pod的多个容器可以共享Pod中Pause容器的IP还有Pause容器挂载的 Volume, 这样就简化和业务容器之间的配置. 很简单的解决了容器的通信和文件共享文件问题.
  同时K8S为每个Pod分配了了指定的唯一IP, 称为 Pod IP, Pod里面的容器共享这这个IP. 至于多个Pod之间跨主机的通信就要借助于虚拟二层网络, 例如Open vSwitch等等. 类似于docker使用Open vSwitch跨主机通信.

赤年
关注
专栏目录
k8s_组件架构_组件交互逻辑剖析_k8s集群安装逻辑_k8s集群安装流程梳理_开通三台青服务器_集群规划_搭建基础集群---分布式云原生部署架构搭建014
添柴程序猿的专栏
06-28 242
再通过api server去通知,workernode,然后每个节点都有一个kubelet的角色,就是,从apiserver收到指令以后,然后去,在worker node上去。信息,存入etcd数据库,然后,controller manager做了决策以后,然后由scheduler去看看适合,要部署在哪个worker node上,得到了结果以后,然后,通知秘书部,api server, 然后调度者, scheduler是通过秘书部,来对所有几点进行统计,查询,看看哪个节点适合去做什么,
k8s_集群搭建_k8s管理前端_dashboard安装部署---分布式云原生部署架构搭建017
添柴程序猿的专栏
07-03 302
添加了安全组还是不行,因为,发现,这几个机器,每个机器绑定了不同的安全组,我们修改成同一个,就是我们要访问的端口,我们就可以使用公网IP+ 30753端口访问一下,网页端的。然后再去安装一下一个dashboard,有了这个以后,操作k8s集群就不用。然后再去执行 这个命令,等上面的,状态变成了running以后。然后如果执行慢,可以直接先去下载,使用wget,然后再去。修改的时候,直接,去修改我们之前创建的VPC网络就可以了。其实就是,我们给我们之前的vpc网络,去设置的这个安全组。
K8S 云原生K8S的安全机制
koeda1的博客
01-25 1304
K8S的安全机制,对用户K8S权限的管理
k8s安全01--云安全简介
脚步不能达到的地方,眼光可以达到;眼光不能达到的地方,精神可以飞到
04-18 1077
k8s安全01--云安全简介1 基础概念1.1什么是安全1.2 基础安全原则2 说明 在时代更加普遍的今天,云安全也逐被各大厂商关注,因此有必要了解常见的云安全知识。 通过本文,可以理解安全处理的过程、基础安全准则、常见攻击类型,能够检测云安全里面的 4C(code, container, cluster, cloud),研究安全机构和安全资源。 1 基础概念 1.1什么是安全 计算机安全指的是对计算机或者计算机系统的某个项目或者资产价值的保护;这里的资产有很多种类,包括硬件、软件、数据、程序、员工,以及
2024最新最全【k8s】安全学习【非常详细】零基础入门到精通
资深程序员,曾自学JAVA,C#,如今从业于网安行业
12-24 1752
如果你也想学习:黑客&网络安全的SQL攻防。
云安全Kubernetes (K8S) 如何部署
m0_74360619的博客
12-26 540
当你应用访问数不断增加,机器逐渐增加到十几台、上百台、上千台时,每次加机器、软件更新、版本回滚,都变得非常麻烦、痛不欲生,再也不能好好的摸鱼了,人生浪费在那些没技术含量的重复性工作上。Kubernates可以为你提供集中式的管理集群机器和应用,加机器、版本升级、版本回滚,那都是一个命令就搞定的事,不停机的灰度更新,确保高可用、高性能、高扩展。用直接在物理机上部署,机器资源分配不好控制,出现Bug时,可能机器的大部分资源被某个应用占用,导致其他应用无法正常运行,无法做到应用隔离。加入时记得把"\"去掉。
超全 k8s 安全学习【非常详细】!!!
logic1001的博客
12-23 1126
如果我们在创建Pod时,将Node节点的根目录挂载到Pod的某个目录下,由于我们能在Pod内部执行命令,所以我们可以修改挂载到Pod下的Node节点根目录中文件的内容,如果我们写入恶意crontab、web shell、ssh公钥,便可以从Pod逃逸到宿主机Node,获取Node控制权。一个 Node(节点)可以有多个Pod(容器组),kubernetes master 根据每个 Node(节点)上可用资源的情况,自动调度 Pod(容器组)到最佳的 Node(节点)上。
K8S集群架构和证书
yan_0916的博客
02-26 4963
一、单节点集群架构1、解决存储2、管理K8S集群的操作,都需要在master上执行 一、单节点集群架构 master管理worker node 1、解决存储 ETCD 一般来说ETCD如果用于单master节点,ETcd只有一个, 多节点的K8S集群,假设master+worker node 一共20台以内,ETCD中的数据为2G 2、管理K8S集群的操作,都需要在master上执行 客户端管理工具,kubectl(命令行的基操)可以对yml文件进行转换成json并且对yml文件的语法进行检查 K8S安.
快速搭建一个Kubernetes_K8s集群Kubernetes架构简介
# 1. 引言 ## 1.1 Kubernetes_K8s集群的重要性 Kubernetes_K8s(通常简称为K8s)是一个用于自动部署、扩展和管理容器化应用程序的开源平台。...1. Kubernetes_K8s集群简介:介绍Kubernetes_K8s集群的基本概念和架构
容器管理之K8S集群概述
01-27
容器管理之K8S集群概述】 容器管理已成为现代企业IT基础设施的重要组成部分,得益于虚拟化技术和容器化的快速发展。企业不再受制于物理硬件的限制,而是通过自动化配置实现业务架构的规模化,能自动扩展和...
云原生k8sk8s安全机制
qq_45088125的博客
08-06 3628
Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server集群内部各个组件通信的中介, 也是外部控制的入口。所以 Kubernetes 的安全机制基本就是围绕保护 API Server 来设计的。 ...
k8s安全02--云安全工具与安全运行时
脚步不能达到的地方,眼光可以达到;眼光不能达到的地方,精神可以飞到
06-27 1139
k8s安全01--云安全工具与安全运行时基础简介安全工具与运行时CIS-CattrivySecure Runtimes注意事项说明 基础简介 本文基于 k8s安全01–云安全简介 继续介绍几个 常用的安全工具和安全配置,后续在此文中持续更新相关的安全工具。 安全工具与运行时 CIS-Cat CIS-Cat 是 The Center for Internet Security, Inc. (CIS®) 开发提供的一个免费工具,可以用来先检测系统中安全事项,以便于用户调整优化系统安全。 安装jdk,笔者使用
kubernetes(K8S)集群架构详解
m0_69287945的博客
05-06 2915
kubernetes简称k8s,是谷歌开源的容器集群管理系统,用于自动部署、扩展和管理容器化(containerized)应用程序。
Kubernetes使用集群联邦实现多集群管理
热门推荐
Kubernetes中文社区
10-30 1万+
作者介绍:有容系统工程师 吕龙。 Kubernetes使用集群联邦实现多集群管理 Kubernetes在1.3版本之后,增加了“集群联邦”Federation的功能。这个功能使企业能够快速有效的、低成本的跨区跨域、甚至在不同的平台上运行集群。这个功能可以按照地理位置创建一个复制机制,将多个kubernetes集群进行复制,即使遇到某个区域连接中断或某个数据中心故障,也保持
k8s 容忍和污点
最新发布
batman
09-12 714
该值定义尽量避免将Pod调度到存在其不能容忍的Taint的节点上,但并不是强制的,也就是说,一个没有配置Toleration的Pod优先部署至其他节点,没有其他可以调度的节点时,还是可以部署到effect为PreferNoSchedule的节点上的,NoSchedule没有这种机制。如果未被过滤的Taint中不存在effect值为NoExecute的Taint,但是存在effect值为PreferNoSchedule的Taint,则Kubernetes尝试将Pod分配到该节点。
9.11-kubeadm方式安装k8s
qq_70752758的博客
09-11 633
配置pod的yaml文件和docker-compose.uaml文件相似。
k8s防火墙networkPolicy,的核心是“自己”
2401_84019227的博客
09-11 926
xxx.xxx.xx.x/32 # 允许某个网段,但除了这个ip。2. 从哪个名称空间进来的,就设置namespaceSelector,k8s的防火墙,考虑如何配置,就是从“自己”出发,去看待流量的流向。4. 从哪些标签的pod来的,就设置podSelector。是允许哪些流量来访问我,就是ingress from,1. 从哪个端口进来的,就设置ports,3. 从哪些ip来的,就设置ipBlock。那么,没有说明的,就是不让ingress。写了规则的,是允许进入和出去的流量。
k8s防火墙networkPolicy,其他规则和端口规则ports的匹配顺序,进站策略ingress和出站策略egress中,ports规则的常用方法。
2401_84019227的博客
09-11 568
有了这个先后顺序,相对就容易理解其他规则和ports规则的匹配关系。看ip报文里面封装的TCP/UDP报文中的端口号。因为端口信息是在打开ip包之后才能看到的。如果不接收,就不有检测端口号的操作,端口策略和其他策略的顺序关系是什么。ports这个策略,和前面三个不同。ingress.from进站策略中。如果要求,只能访问什么端口,就是与。而是说,能访问所有主机的什么端口。egress.to出站策略中。如果没有强调只能访问什么端口。B接收到数据包是先看ip。各个规则和端口号的关系。各个规则和端口号的关系。
【从问题中去学习k8sk8s中的常见面试题(夯实理论基础)(二十九)
zerotoall的博客
09-11 423
思考一下问题: 97、您认为公司如何处理服务器及其安装? 考虑一家拼车公司希望通过同时扩展其平台来增加服务器数量。 您认为公司如何处理服务器及其安装? 参考答案:
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值