Kubernetes-in-action (八)

最新推荐文章于 2024-08-16 09:44:38 发布
最新推荐文章于 2024-08-16 09:44:38 发布
阅读量231 收藏
点赞数
分类专栏: kubernetes 文章标签: kubernetes docker 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/samveltor/article/details/129525713
版权
本文介绍了Kubernetes的运行原理,包括kubelet、apiserver、控制器等组件的功能。同时,详细阐述了服务账户(ServiceAccount)、角色基于绑定(RBAC)的权限管理,以及如何通过Role和ClusterRole来控制对资源的访问。安全防护部分强调了认证授权在API服务器中的作用。
摘要由CSDN通过智能技术生成

Kubernetes-in-action (八)

本节内容: kube 运行原理 & 安全防护 (service account, [cluster] role, [cluster] role binding,)

架构

组成

  • kube控制平面
    • etcd分布式持久化存储
    • API服务器
      • 唯一与etcd交互的组件
      • 其他组件都与其交互,来获取需要的信息,或执行资源操作
      • 主要将资源变更同步到其他控制器,由他们来进行资源变更,自己则只是通知
    • 调度器
      • 控制pod的调度,默认是default-scheduler
    • 控制器管理器
      • 每种资源都有对应的控制器,控制器一直观察资源的状态是否与配置的一样,不一样则会请求api server去变更资源的状态以达到与配置一样。
      • 更新流程:控制器 -> api server -> kubectl
      • 控制器和kubectl之间是互不相关的,都由api server这个中心来控制
  • 工作节点
    • Kubelet
      • 启动node后持续监控pod的资源状态并告诉api服务器
      • 接受api 服务器的更新指令来更新pod的状态
      • pod探针观测,并执行重启
    • Kubelet服务代理(kube-proxy)
      • 将工作节点的流量发到指定的pod,通过iptables实现将流量转发到pod上
    • 容器运⾏时(Docker、rkt或者其他)
  • 附加组件
    • Kubernetes DNS服务器
      • 利用 api 服务器的监控机制来订阅service和endpoint的变动,以及dns记录的变更
      • 在更新间隙中,可能导致dns无效
    • 仪表板
    • Ingress控制器
      • 类似一个反向代理服务器
      • 虽然配置了service,但是流量不会通过service,而是直接连上pod,从而pod可以获取到源的client ip
    • Heapster(容器集群监控)
    • 容器⽹络接⼜插件(本章后⾯会做讨论

kubectl get events --watch 是用来实时查看kubectl接收的事件

pod 运行

  • 每个pod在启动时,都会默认有一个基础容器(只执行暂停操作的容器),用于处理pod内所有的容器公用一个linux命名空间。
  • 如果基础容器被删除,则kubectl会重建它以及pod的所有容器。
  • 例: 一个只声明nginx容器的pod, 生成pod时会有两个容器被创建

kube的网络

  • pod间的通讯实现
    • 没有时NAT(网络地址转换)来实现pod的通讯,为了简洁
    • 集群内部是一个局域网,所以可以通过ip地址直接访问(不同node)
    • 同node上:
      • 每个pod中基础容器会创建网络命名空间让pod内的所有容器都走同一个网络接口
      • pod会通过一个虚拟网络接口来连接到一个网桥: pod A -> veth pair -> bridge -> veth pair -> pod B

service的实现

  • service 无法被ping通,因为是个虚拟ip地址
  • service相关的事情都是由kube-proxy进程处理,对于service和endpoint的变化,kube-proxy会更新到相应的iptables中,这样在一个请求在来后会被重定向到pod的地址。

安全防护

kube 中由一系列的认证授权插件,在一个请求到达api服务器时,会经过这些插件,如果有一个通过则说明可以请求

ServiceAccount

作用
  • 一种kube的资源
  • 默认将service account配置的secret加载到pod中
  • 每个ServiceAccount只能在自己的ns中使用
实践
  • 创建一个sa : sa-> service account 缩写,同样使用kubectl get sa等命令
  • pod绑定这个sa
  • 查看 sa是否可以拉取pod信息 (容器ambassador默认启动一个kube-proxy,所以可以访问api服务器)
    • kubectl exec -it curl-custom-sa -c main curl localhost:8001/api/v1/pods
  • 检验pod的secret
    • kubectl get sa -o yaml # 查看 token secret 名称
    • kubectl describe secret my-sa-token-tc54g # 查看token,默认是jwt格式
    • kubectl exec -it curl-custom-sa -c main -- cat /var/run/secrets/kubernetes.io/serviceaccount/token #
      容器内挂载的token内容
apiVersion: v1
kind: ServiceAccount
metadata:
  name: my-sa
imagePullSecrets:
  - name: my-secret

---

apiVersion: v1
kind: Pod
metadata:
  name: curl-custom-sa
spec:
  serviceAccountName: my-sa
  containers:
    - name: main
      image: curlimages/curl:7.87.0
      command: [ "sleep", "9999999" ]
    - name: ambassador
      image: luksa/kubectl-proxy:1.6.2

RBAC

概念
  • RBAC授权插件将⽤户⾓⾊作为决定⽤户能否执⾏操作的关键因素
  • 由两组资源控制 (均可用kube get命令)
    • Role(⾓⾊)和ClusterRole(集群⾓⾊),它们指定了在资源上可以执⾏哪些动词
      • Role只能用于创建或者指定的ns
        • 可以用yaml文件或者命令(kubectl create role service-reader --verb=get --verb=list --resource=services -n bar)创建
    • RoleBinding (⾓⾊绑定) 和 ClusterRoleBinding (集群⾓⾊绑定),它们将上述⾓⾊绑定到特定的⽤户、组或ServiceAccounts上
      • RoleBinding:将role绑定到一个或多个 service account 或者 组、用户
        • 可以跨命名空间绑定service account
        • 命令: kubectl create rolebinding test --role=service-reader --serviceaccount=foo:default -n foo
实践:Role,RoleBinding
  • 创建两个ns: foo,bar
    • kubectl create ns foo, kubectl create ns bar
  • 在两个空间中创建具有kube-proxy和curl工具的pod
    • kubectl create -f curl-custom-sa.yaml -n bar
    • kubectl create -f curl-custom-sa.yaml -n foo
apiVersion: v1
kind: Pod
metadata:
  name: curl-custom-sa
spec:
  serviceAccountName: default
  containers:
  - name: main
    image: curlimages/curl:7.87.0
    command: ["sleep", "9999999"]
  - name: ambassador
    image: luksa/kubectl-proxy:1.6.2
  • 创建一个role,并给role赋予访问service的权限
    • kubectl create -f role.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: foo
  name: service-reader
rules:
  - apiGroups: [ "" ]
    verbs: [ "get", "list" ]
    resources: [ "services" ]
  • 给role绑定 foo,bar两个空间default的serviceaccount
    • kubectl create rolebinding test --role=service-reader --serviceaccount=foo:default -n foo
    • kubectl create rolebinding test2 --role=service-reader --serviceaccount=bar:default -n foo
  • 通过pod访问api server,查看是否具有访问权限
    • kubectl exec -it curl-custom-sa -c main -n bar -- curl http://localhost:8001/api/v1/namespaces/foo/services
    • kubectl exec -it curl-custom-sa -c main -n foo -- curl http://localhost:8001/api/v1/namespaces/bar/services

RoleBinding可以在foo空间中声明, 但是可以将role 绑定到 bar空间的service account,因为role的声明是在foo中,
若是如此配置,则可以让bar空间的pod访问到foo空间的services (如上述实践)

由此得出: RoleBinding、Role都是和命名空间相关的,既这个命名空间的资源可以让谁访问,是这个空间内的谁还是其他的谁(角色)

实践:ClusterRole,ClusterRoleBinding

有些资源不在命名空间中,所以需要用集群范围的角色定义。 如 pv、node、ns
集群资源只能用 ClusterRoleBinding 而不能用 RoleBinding

  • 创建一个cluster role, 并赋予访问pv的权限. [不需要指定命名空间]
  • 创建cluster role binding, 将role绑定到foo,bar的service account
    • kubectl create clusterrolebinding pv-test --clusterrole=pv-reader --serviceaccount=foo:default --serviceaccount=bar:default
  • 检查名称空间内的pod是否具有访问pv的权限
    • kubectl exec -it curl-custom-sa -c main -n bar -- curl http://localhost:8001/api/v1/persistentvolumes
    • kubectl exec -it curl-custom-sa -c main -n foo -- curl http://localhost:8001/api/v1/persistentvolumes
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: pv-reader
rules:
- apiGroups: [""]
  verbs: ["get", "list"]
  resources: ["persistentvolumes"]
实践:ClusterRole,RoleBinding

使用RoleBinding结合ClusterRole: ClusterRole中配置资源范围只有RoleBinding所在的命名空间

使用ClusterRoleBinding结合ClusterRole: ClusterRole中配置资源范围作用与整个集群。

  • 在foo,bar中创建一个rolebinding,将clusterrole view (kube自带的) 绑定他们。
    • kubectl create rolebinding view-test --clusterrole=view --serviceaccount=foo:default -n foo
    • kubectl create rolebinding view-test --clusterrole=view --serviceaccount=bar:default -n bar
  • 查看foo和bar中的pod是否可以查询命名空间内所有pod
    • kubectl exec -it curl-custom-sa -c main -n foo -- curl http://localhost:8001/api/v1/namespaces/foo/pods
    • kubectl exec -it curl-custom-sa -c main -n bar -- curl http://localhost:8001/api/v1/namespaces/bar/pods
  • 查看foo和bar中的pod是否可以查询集群内所有pod
    • kubectl exec -it curl-custom-sa -c main -n bar -- curl http://localhost:8001/api/v1/pods # 失败, 403
  • 删除foo中的role binding,添加一个cluster role binding,再次查看是否可以查询集群内的所有pod
    • kubectl delete rolebinding view-test -n foo
    • kubectl create clusterrolebinding view-test --clusterrole=view --serviceaccount=foo:default
    • kubectl exec -it curl-custom-sa -c main -n foo -- curl http://localhost:8001/api/v1/pods # 成功

role、cluster role、role binding、 cluster role binding 之间的用法要多试试才能加深理解

  • 从书中copy的
    从书中copy的
simple哇
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kubernetes-in-action-2nd-edition:Kubernetes in Action第2版书中的代码
05-02
Kubernetes in Action,第二版该存储库包含《 一书中的所有代码(以及一些其他文件)。购书该书尚未出版,但可以通过Manning抢先体验计划获得。 您可以或在购买该书。探索代码档案代码存档是按章组织的。 您可以通过...
kubernetes-in-action-master.zip
06-10
这个压缩包“kubernetes-in-action-master.zip”包含了书中的所有代码示例,旨在避免读者手动输入时可能出现的错误,提供了一个方便的资源库,可以直接引用和学习。 首先,我们来看看“openssl-1.0.2g.tar.gz”这个...
Kubernetes-in-action (一)
samveltor的博客
11-18 527
学习kube的一些总结和笔记
Kubernetes-in-action (二)
samveltor的博客
11-30 516
Kubernetes-in-action (二)
Kubernetes-in-action (十二)
samveltor的博客
03-17 822
总结前几篇
Kubernetes-in-action (三)
samveltor的博客
12-14 304
Kubernetes-in-action (三)
Kubernetes-in-action (十一)
samveltor的博客
03-16 300
本节内容: 1. 基于CPU使⽤率配置pod的⾃动横向伸缩,了解Cluster Autoscaler 2. pod的节点选择:节点污点,节点亲缘性规则,节点⾮亲缘性的功能
Kubernetes-in-action (四)
samveltor的博客
12-15 379
Kubernetes-in-action (四)
Kubernetes in action中文 - 第1章 kubernetes介绍
haima95的博客
11-08 1128
1 容器实现隔离的机制。多个进程运行在同一个操作系统上,容器隔离他们有两个机制 Linux命名空间,它使每个进程只能看到它自己的系统视图(文件,进程,网络接口,主机名等) Linux控制组(cgroups),它限制了进程能使用的资源量(CPU,内存,网络带宽等) 2 Docker有三个主要概念 镜像:包含了打包的应用程序及其所依赖的环境 镜像仓库:存放Docker镜像,以及促进不同人和不同电脑间共享这些镜像 容器:通常是一个Linux容器,基于Docker镜像被创建 3 Docker镜像是由多
fabric8io/kubernetes-client 简单使用
热门推荐
狠狠地幸福的博客
11-03 2万+
1、创建默认的k8s客户端 Config config = new ConfigBuilder().withMasterUrl("http://x.x.x.x:1234").build(); KubernetesClient client = new DefaultKubernetesClient(config); 2、获取目标资源的操作权,相应实现类的对象,常见如下。 client.names...
Kubernetes-in-action (六)
samveltor的博客
01-06 608
本节内容:downward api, kube api-server
kubernetes-bootcamp
砚墨
09-21 1788
Kubernetes Lab 1 – Kubernetes Local Setup Kubernetes is an open-source platform for automating deployment, scaling, and operations of application containers across clusters of hosts. Kubernetes seeks to foster an ecosystem of components and tools that rel.
kubernetes-in-action.pdf.zip
01-30
Kubernetes in Action》是Manning出版社在2018年发布的一本深入介绍Kubernetes技术的专业书籍。这本书详尽地阐述了Kubernetes的核心概念、架构以及如何在实践中部署和管理容器化应用。Kubernetes(简称k8s)是...
kubernetes-in-action:来自 Kubernetes in Action 一书中的代码
08-03
这个压缩包“kubernetes-in-action-master”正是这些实战代码的集合,其中可能包括配置文件、脚本以及演示特定功能的样例应用。 首先,我们要了解 Kubernetes 是什么。Kubernetes,通常简称为 K8s,是一个开源的...
Kubernetes in Action--2018
04-20
Kubernetes in Action is a comprehensive guide to effectively developing and running applications in a Kubernetes environment. Before diving into Kubernetes, the book gives an overview of container ...
Kubernetes】k8s集群存储卷(pvc存储卷)
最新发布
weixin_68840588的博客
08-16 929
k8s集群存储卷(pvc存储卷)
k8s学习笔记
wwwvipp的博客
08-14 386
StartupProbe探针的作用。
Rocky系统部署k8s1.28.2单节点集群(Containerd)+Kuboard
Lzcsfg的博客
08-13 1043
kubernetes(k8s)是2014年由Google公司基于Go语言编写的一款开源的容器集群编排系统,用于自动化容器的部署、扩缩容和管理;kubernetes(k8s)是基于Google内部的Borg系统的特征开发的一个版本,集成了Borg系统大部分优势;官方地址:Kubernetes代码托管平台:https://github.com/Kubernetes k8s集群需要建⽴在多个节点上,将多个节点组建成一个集群,然后进⾏统⼀管理,但是在k8s集群内部,这些节点⼜被划分成了两类⻆⾊:
kubernetes】k8s对外服务之Ingress
qq_54188720的博客
08-13 1218
K8S集群外部的客户端访问K8S集群内部的方案基于Service实现:NodePort、LoadBalancer、externalIPs 只能支持四层代理转发,如果K8S集群规模较大运行的业务服务较多,NodePort端口/externalIPs管理成本会很高基于Ingress实现:支持七层代理转发,可自定义规则根据用户请求的域名或URL路径转发给指定的Service端点实现Pod的代理访问一般来说,ingress-controller的形式都是一个pod,里面跑着daemon程序和反向代理程序。dae
Kubernetes实战:部署与管理容器化应用
"Manning.Kubernetes.in.Action.1617293725" 是一本由Marko Lukša编著的专业书籍,专注于教授如何使用Kubernetes部署基于容器的分布式应用。书中从DockerKubernetes的基础知识开始,逐步构建你的第一个Kubernetes...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值