云安全容器安全扫盲 之 如何在Kubenetes(K8S)中部署应用

最新推荐文章于 2023-06-18 23:08:00 发布
最新推荐文章于 2023-06-18 23:08:00 发布
阅读量192 收藏
点赞数
文章标签: kubernetes 安全 java docker 容器
原文链接:https://mp.weixin.qq.com/s?__biz=MzU1NjgzOTAyMg==&mid=2247505567&idx=1&sn=606f9a4c3027b5d13f3f0d63e38ba93a&chksm=fc3c6f9ecb4be68855b60d4bd72e63b4b35b4f2f61aba7f88bc1c527056c574c79c4488f2983&scene=126&sessionid=0
版权

文章来源 | MS08067 安全实验室

本文作者:Taoing(Web安全攻防讲师)

一.部署pod

1. kubectl run 直接部署pod

kubectl run testapp --image=ccr.ccs.tencentyun.com/k8s-tutorial/test-k8s:v1

2. 使用yaml文件创建pod

817ec14412b7fec8f23561c41b049847.png  

apiVersion:API版本

kind:类型

metadata:数据元

name:定义pod的名字

spec:规格

containers:容器

name:容器名字

image:镜像地址

kubectl apply -f pod.yaml

639989fc36674aed3e20e254a30740dc.png

这里我没有拉取到,使用别人的图解释下。

test-k8s 是使用yaml文件创建的

testapp 是使用 命令行创建的。

3.部署

0c1f53b27e403800804a6e93483cf668.png

Deployment 通过 label 关联起来 Pods

2dfb5b281900d2c95557b8eaa8c81e66.png

4. pod 常用操作命令

283ac3c50ee8ef931f3f5c45c2006eea.png102a372d5a8b5550e91a79be06a0db68.png

部署应用

kubectl apply -f app.yaml

681a2d15fa716f1a2dee74e316b46771.png

kubectl get pod -o wide

bfa0d9dc0a41eefc253e48d16a6ccd73.png

describe查看 pod 详情

3cf74e50372d20c53c4ef05dfa8d788c.png

查看pod运行日志

kubectl logs pod-name

b671740ac7515e27b0eb3e3251dd7e6b.png

exec进入 Pod 容器终端

kubectl exec -it pod-name -- bash

a779fdfc3fdb8c03a172130deb558e41.png

复制文件操作

c7915eb1f1944870814740c8855db759.png

pod集群内端口映射到节点

9e777da4febb0953133fed79e683566a.png

76b7e6454df1f25b914b4caa39f31935.png

7a20ad2b0801ef7ace241d44a2840ec1.png

kubectl get all 查看全部

230261ca4972303ee34f0c2a94a5d597.png

更多命令

1420ac47d5ab3740e9e04213023fe721.png

二.部署service

1. service特性

·Service 通过 label 关联对应的 Pod

·Service 生命周期不跟 Pod 绑定,不会因为Pod 重建 改变IP

·提供负载均衡功能,自动转发流量到不同的Pod

·可以对集群外部提供访问端口

·集群内部可通过服务名字访问

6f666e797a674ce110bb8c9e3a2adefd.png

2. 创建service

通过标签test-k8s跟对应的 Pod 关联上

该service的名字是test-k8s;

通过标签app: test-k8s与pod进行关联。

service.yaml

6182e19b07296b47699825e3f508cd87.png

应用配置 kubectl apply -f service.yaml
查看服务 kubectl get svc

8ce19ad36c533c93c805995349e7a308.png

查看服务详情 kubectl describe svc test-k8s

可以发现 Endpoints 是各个 Pod 的 IP,也就是他会把流量转发到这些节点。

0b4d2323fb82ec83635cc14ce69f2461.png

服务的默认类型是ClusterIP,只能在集群内部访问,我们可以进入到 Pod 里面访问:
kubectl exec -it pod-name -- bash
curl http://test-k8s:8080

如果要在集群外部访问,可以通过端口转发实现(只适合临时测试用):
kubectl port-forward service/test-k8s 8888:8080

36b3043f93319fbb21191b4cd19a6dd9.png

8a971e8d9f4b22b7831df65461f50893.png

如果你用 minikube,也可以这样minikube service test-k8s

2b70af1c819f95ce20b080f511143390.png

多端口

多端口时必须配置 name

53eef24d92fb102e78b789659b27b681.png

总结

ClusterIP

默认的,仅在集群内可用

NodePort

暴露端口到节点,提供了集群外部访问的入口
端口范围固定 30000 ~ 32767

LoadBalancer

需要负载均衡器(通常都需要云服务商提供,裸机可以安装METALLB测试)
会额外生成一个 IP 对外服务。

三.部署StatefulSet

1. 什么是 StatefulSet

StatefulSet 是用来管理有状态的应用,例如数据库。

之前我们部署的应用,都是不需要存储数据,不需要记住状态的,可以随意扩充副本,每个副本都是一样的,可替代的。

而像数据库、Redis 这类有状态的,则不能随意扩充副本。

StatefulSet 会固定每个 Pod 的名字

2. 部署 StatefulSet 类型的 Mongodb

cfc0d0fc0d89840d36673fd9874bc52f.png5e37ef7b1528449efb6c8b1a83226cf1.png

kubectl apply -f mongo.yaml

8496dbe5803c0474bf64a98416184ba8.png

kubectl get StatefulSet

5b100bf36d1e6213bef843f27927b895.png

StatefulSet 特性

b414f8f0293a8f02f162cbf878ed3950.png

Service的CLUSTER-IP是空的,Pod 名字也是固定的。

1995b3473a42dc53b1c0fbdbccb3823a.png

Pod 创建和销毁是有序的,创建是顺序的,销毁是逆序的。

bed96c0c717e56d2a8617e42038c1c25.png

524b4bfd8a1ef2b3e30b65c0adac3b05.png

销毁是逆序的

c3df9beacbdfaa43c7bef6eede760526.png

a580b04f08923241a3ee7a37982eb21f.png

Pod 重建不会改变名字,除了IP,所以不要用IP直连

cc03d64d60985e91d14a2d9d8681a003.png

Endpoints 会多一个 hostname

kubectl get Endpoints mongodb -o yaml

17ac2464a513d12fbb5d0d21a51947cc.png

访问时,如果直接使用 Service 名字连接,会随机转发请求
要连接指定 Pod,可以这样pod-name.service-name
运行一个临时 Pod 连接数据测试下

kubectl run mongodb-client --rm --tty -i --restart='Never' --image docker.io/bitnami/mongodb:4.4.10-debian-10-r20 --command -- bash

4a7264c5cf3dca46c64f4e2c8d2ac69f.png

来和20000+位同学加入MS08067一起学习吧!

0b03a4e1985af495b84572385a4b859f.gif

Ms08067安全实验室
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
k8s安全03--云安全工具 kube-bench & OPA
脚步不能达到的地方,眼光可以达到;眼光不能达到的地方,精神可以飞到
11-08 818
k8s安全03--云安全工具 kube-bench & OPA1 介绍2 安全工具2.1 kube-bench2.2 OPA Gatekeeper3 注意事项4 说明 1 介绍 本文基于 k8s安全02–云安全工具与安全运行时 继续介绍几个 常用的安全工具,包括 kube-bench 和 OPA(Open Policy Agent)。 2 安全工具 2.1 kube-bench kube-bench 努力像 Center for Internet Security, Inc. (CIS®), CIS
云安全Kubernetes (K8S) 如何部署
Ms08067安全实验室
12-22 357
文章来源 | MS08067 安全实验室本文作者:Taoing(Web安全攻防讲师)Kubernetes (K8S) 是什么它是一个为容器应用提供集群部署和管理的开源工具,由 Google 开发。Kubernetes这个名字源于希腊语,意为“舵手”或“飞行员”。k8s 这个缩写是因为k和s之间有八个字符的关系。Google在2014年开源了Kubernetes项目。主要特性:高可用,不宕机,自动...
【云原生 • Kubernetes】认识 k8sk8s 架构、核心概念点介绍
最新发布
justlpf的专栏
06-18 329
k8s 本质上就是用来简化微服务的开发和部署的,关注点包括自愈和自动伸缩、调度和发布、调用链监控、配置管理、Metrics 监控、日志监控、弹性和容错、API 管理、服务安全等,k8s 将这些微服务的公共关注点以组件形式封装打包到 k8s 这个大平台,让开发人员在开发微服务时专注于业务逻辑的实现,而不需要去特别关系微服务底层的这些公共关注点,大大简化了微服务应用的开发和部署,提高了开发效率。副本集就是一种基本的发布机制,可以实现基本的或者高级的应用发布,但操作较为繁琐。master 节点由以下组件组成;
基于Kubernetes构建企业容器云【入门实战篇】- 创建第一个K8S应用(六)
weixin_34166847的博客
06-06 124
创建第一个K8S应用 操作主机:master 1.手动创建一个应用 1.创建一个测试用的deployment [root@linux-node1 ~]# kubectl run net-test --image=alpine --replicas=2 sleep 360000 2.查看获取IP情况 [root@linux-node1 ~]# kubectl get pod -o wide NA...
k8s基础知识扫盲及企业落地实践
HackDaily
07-05 691
k8s基础知识概念扫盲以及k8s企业级真实落地实践分享
EXCEL在办公应用之基本扫盲.docx
12-16
"EXCEL在办公应用之基本扫盲" EXCEL在办公应用可以分为多个方面,以下是基本扫盲的知识点: 1. 跨列居与合并后居的区别:跨列居是指让选定的区域的各个数据在区域显示,但是各个单元格之间还是...
零基础入门 Kubernetes,你需要知道这些
01-20
Kubernetes,简称k8s,是一个开源的容器调度平台,起源于希腊语“舵手”,寓意着它在容器领域的导航作用。Kubernetes是由Google在2014年6月开源的,其设计灵感来源于Google内部运行多年的大型集群管理系统Borg。在...
00.k8s+containerd环境实施文档V1.2
06-08
本资料为团队整理的k8s+container相关概念整理与从零到1实施部署过程记录,主要目的为转向云编程提供基础概念与基础运行环境。 1).解决k8s相关概念扫盲问题 2). 解决k8s+contanerd搭建一个基本运行环境参考
敏捷开发之Scrum扫盲
03-04
现在敏捷开发是越来越火了,人人都在谈敏捷,人人都在学习Scrum和XP...为了不落后他人,于是我也开始学习Scrum,今天主要是对我最近阅读的相关资料,根据自己的理解,用自己的话来讲述Scrum的各个环节,主要目的有...
k8s扫盲
热门推荐
Simon's Dream
12-23 1万+
k8s扫盲 容器编排技术 容器编排将部署、管理、弹性伸缩、容器网络管理都自动化处理,当需要管理成百上千个 containers 和主机时,企业将从容器编排获得极大优势。容器编排为基于微服务的应用程序提供了一个理想的应用程序部署单元和自包含的执行环境,这使应用可以在同一硬件上,以微服务的形式运行多个独立的模块,对每个模块获得更好的控制和生命周期管理。 容器编排常用于自动化和管理任务,比如: 资源调配和部署 配置和调度 资源分配 容器可用性 跨基础架构根据负载压力扩展或移除容器 负载平衡和流量路由 监控容器
K8s容器部署安全规范建议
justlpf的专栏
06-09 688
随着K8s在生产和测试环境用的越来越多,对安全性的关注也会越来越多,为了保证业务平稳运行,平台安全可控,可以参考如下集群应用规范,从最佳性能,最小权限,最大可用性等方面保证k8s集群和应用的服务质量。1、基础镜像使用统一标准的基础镜像;2、时区统一使用Asia/Shanghai时区;3、容器内使用非root用户运行主进程;4、容器内只能运行一个主进程,禁止使用systemd管理进程;5、镜像内不能存储凭据密钥等敏感文件;6、镜像内不能存储大量运行时临时文件,比如日志、调试文件;
kubernetes(K8S) 容器管理“扫盲“ 学习笔记
山河已无恙
06-15 2772
太多人活得不像自己。思想是别人的意见,生活是别人的模仿,情感是别人的引述。----王尔德
容器化进阶KubernetesK8S)详解
weixin_64672480的博客
06-05 2797
作为Kubernetes系统的入口,其封装了核心对象的增删改查操作,以RESTful API接口方式提供给外部客户和内部组件调用。维护的REST对象持久化到Etcd存储。Kubernetes Scheduler 为新建立的Pod进行节点(node)选择(即分配机器),负责集群的资源调度。组件抽离,可以方便替换成其他调度器。负责执行各种控制器,目前已经提供了很多控制器来保证Kubernetes的正常运行。
Kubernetes扫盲
熊出没注意
07-04 6145
Kubernetes是什么?Kubernetes的架构是怎样的?Kubernetes的基本概念介绍。
Kubernetes 安装集群与部署应用
萌宅鹿的技术小屋
02-03 1159
Kubernetes 快速上手 + 实践Kubenetes 简介Kubernetes (K8S) 是什么不同的部署方案什么时候需要 K8SK8S 集群架构安装 K8S 集群minikube云平台搭建裸机搭建(Bare Metal)购买服务器开始搭建部署应用到集群部署应用 YAML 文件根据镜像PodDeployment部署应用演示Pod 报错解决更多命令工作负载分类现存问题 学习视频:Kubernetes (K8S) 3 小时快速上手 + 实践,无废话纯干货 参考文档:https://k8s.easydo
Kubernetes——部署应用到集群
吴声子夜歌的博客
06-20 508
k8s
k8s使用(kubernetes
欧气满满大顺顺的博客
08-07 1911
你可以用 Helm 快速搭建一个 kubernetes-dashboard,这样你就有了一个 WEB 界面,可以可视化的进行一些操作和管理。Kubernetes 可以为你提供集式的管理集群机器和应用,加机器、版本升级、版本回滚,那都是一个命令就搞定的事,不停机的灰度更新,确保高可用、高性能、高扩展。工作节点,可以是虚拟机或物理计算机,任务都在这里跑,机器性能需要好点;主节点,控制平台,不需要很高性能,不跑任务,通常一个就行了,也可以开多个主节点来提高集群可用度。...
Docker与虚拟机、k8s扫盲
Jio的博客
07-01 645
Docker是创造容器的工具,是应用容器引擎 虚拟机:VMWare、openStack 容器和虚拟机的对比 Build, Ship and Run:搭建、发送、运行 Build once,Run anywhere 三大核心概念: 镜像(Image):是一个特殊的文件系统。它除了提供容器运行时所需的程序、库、资源、配置等文件外,还包含了一些为运行时准备的一些配置参数(例如环境变量)。镜像不包含任何动态数据,其内容在构建之后也不会被改变 仓库(Repository):负责对Docker镜.
k8s-扫盲系列-01
u010953880的专栏
09-10 133
https://kubernetes.io/zh/docs/setup/ 使用 Docker Compose 可以轻松、高效的管理容器,它是一个用于定义和运行多容器 Docker应用程序工具。但是他无法同时管理多台计算机,而Kubernetes 可以管理大规模的集群,使集群的每一个节点彼此连接,能够像控制一台单一的计算机一样控制整个集群。 Kubernetes 得益于 Docker 的特性,服务的创建和销毁变得非常快速、简单,实现了集群规模的管理、编排方案,使应用的发布、重启、扩缩容能够自动化
matlab扫盲--任.doc
07-06
在教育领域,MATLAB也被广泛应用于教学和科研工作,成为了学术研究和学生学习的重要工具。而在金融领域,MATLAB更是成为了量化金融分析的重要工具,用于大规模数据的分析和处理,进行风险评估、金融建模等工作。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值