Heapster启动的进一步研究

最新推荐文章于 2019-08-08 12:40:47 发布
最新推荐文章于 2019-08-08 12:40:47 发布
阅读量133 收藏
点赞数
文章标签: 运维
原文链接:https://segmentfault.com/a/1190000003085801
版权

kube-apiserver启动的时候如果加了如下的参数:

--admission_control=ServiceAccount

会自动生成一个apiserver.crt和apiserver.key文件,所在目录是/var/run/kubernetes/,并且程序启动后会发现,有一个默认的serviceaccount,这种模式下我们创建的resource都会有一个默认的serviceaccount。

kube-controller-manager启动时有这么两个参数:

--root-ca-file="": If set, this root certificate authority will be included in service account's token secret. This must be a valid PEM-encoded CA bundle.

--service-account-private-key-file="": Filename containing a PEM-encoded private RSA key used to sign service account tokens.

这两个参数指定了要用哪些文件做token和根证书。若我们将这两个参数分别设定值为apiserver.crt和apiserver.key,那么启动后,执行:

kubectl get secrets

命令,并详细地查看该secret可以看到,该secret中有了两个data:ca.crt和token,他们分别是apiserver.crt和apiserver.key进行再次加密后的数据。

这样,我们创建一个heapster,heapster所属的serviceaccount的secret中的两个data,会被copy到创建出来的容器中,我们可以进入该容器找到两个数据。

我们看到kubernetes的源码中,apiserver的模块有这么一个函数,这个函数在启动apiserver的时候会被调用:

func GenerateSelfSignedCert(host, certPath, keyPath string, alternateIPs []net.IP, alternateDNS []string) error {
        priv, err := rsa.GenerateKey(rand.Reader, 2048)
        if err != nil {
            return err
        }

        template := x509.Certificate{
            SerialNumber: big.NewInt(1),
            Subject: pkix.Name{
                CommonName: fmt.Sprintf("%s@%d", host, time.Now().Unix()),
            },
            NotBefore: time.Now(),
            NotAfter:  time.Now().Add(time.Hour * 24 * 365),

            KeyUsage:              x509.KeyUsageKeyEncipherment | x509.KeyUsageDigitalSignature,
            ExtKeyUsage:           []x509.ExtKeyUsage{x509.ExtKeyUsageServerAuth},
            BasicConstraintsValid: true,
        }
        ...
    }

这个函数的功能是创建crt和key,调用这个函数的地方是kubernetes\cmd\kube-apiserver\app\server.go

if s.TLSCertFile == "" && s.TLSPrivateKeyFile == "" {
                    s.TLSCertFile = path.Join(s.CertDirectory, "apiserver.crt")
                    s.TLSPrivateKeyFile = path.Join(s.CertDirectory, "apiserver.key")
                    // TODO (cjcullen): Is PublicAddress the right address to sign a cert with?
                    alternateIPs := []net.IP{config.ServiceReadWriteIP}
                    alternateDNS := []string{"kubernetes.default.svc", "kubernetes.default", "kubernetes"}
                    // It would be nice to set a fqdn subject alt name, but only the kubelets know, the apiserver is clueless
                    // alternateDNS = append(alternateDNS, "kubernetes.default.svc.CLUSTER.DNS.NAME")
                    if err := util.GenerateSelfSignedCert(config.PublicAddress.String(), s.TLSCertFile, s.TLSPrivateKeyFile, alternateIPs, alternateDNS); err != nil {
                        glog.Errorf("Unable to generate self signed cert: %v", err)
                    } else {
                        glog.Infof("Using self-signed cert (%s, %s)", s.TLSCertFile, s.TLSPrivateKeyFile)
                    }
                }

通过上一篇可以知heapster启动后是要向apiserver做https请求的,所以crt和token必不可少。那为什么我们不直接拿这边的crt和key去用呢?

这篇文章详细地讲了证书生成的相关知识,其中的“添加了SAN的证书生成的过程”和上文源码中调用生成证书的地方是相似的,但是生成证书的过程中,hostname部分引用了了一个host@time.Now()作为/CN。见源代码中这句:

 Subject: pkix.Name{
                    CommonName: fmt.Sprintf("%s@%d", host, time.Now().Unix()),
                },

这句将生成crt的时候的hostname设置成了host@time,比如vm-56-65@23542343562 这样的形式,而且每次重启了apiserver,hostname都会变,容器内部可不知道这个hostname,所以根本没法访问。

heapster内部会记录apiserver的几个common name,即kubernetes源码中的:

[]string{"kubernetes.default.svc", "kubernetes.default", "kubernetes"}

我认为这肯定是要与kubernetes自生成的crt公用而设计的。 至于为什么不行,等有时间再研究。

weixin_33709590
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
heapster1.5.4
03-21
heapster1.5.4
Heapster
vito
11-02 1084
用法Heapster在openshift和k8s中默认使用,使用标签--metric_resolution可以设置数据存储周期,默认存储周期是60秒。 所有端点/metrics/{metric-name}/可以接收start和end参数,这两个参数指定了开始和结束时间序列,时间设置格式是字符串类型编码成RFC3339.类型,如该开始时间没有设定,默认值为0,如该结束时间没有设定,默认值为开始时间以后
kubernetes的Service Account
weixin_33919941的博客
05-31 297
kubernetes的Service Account Service account作用Service account是为了方便Pod里面的进程调用Kubernetes API或其他外部服务。 Service account使用场景运行在pod里的进程需要调用Kubernetes API以及非Kubernetes API的其它服务。Service Account它并不是给kubernetes集群...
KUBERNETES-1-19-资源需求、限制及HeapSter
拙能胜巧
12-21 1522
1.mkdir metrics创建测试目录。 vim pod-demo.yaml编辑文件。cat pod-demo.yaml查看文件(注意这里的resources:参数)。 kubectl apply -f pod-demo.yaml声明资源。kubectl get pods | grep pod-demo获取Pod信息发现被挂起(之前的taints参数没有去除的缘故)。kubectl taint...
在Kubernetes集群中部署Heapster
hty46565的博客
12-19 6868
背景公司的容器云平台需要新增应用的自动扩缩容功能,以便能够更加智能化的对应用进行管理。Kubernetes官方提供了HPA(Horizontal Pod Autoscaling)资源对象。要让我们部署的应用做到自动水平的(水平指的是增减Pod副本数量)进行扩缩容,我们只需要在Kubernetes集群中创建HPA资源对象,然后让该资源对象关联某一需要进行自动扩缩容的应用即可。HPA默认的是以Pod平均
k8s dashboard 集成heapster pod资源监控界面
u010955999的博客
04-09 3284
k8s dashboard的界面中仅显示了pod一些配置信息以及node层面的监控,无法图形化展现集群度量指标信息。下图为dashboard界面:而如果要展示图形化的集群度量指标信息,就需要安装一个dashboard插件:heapsterHeapster原生支持K8s(v1.0.6及以后版本)和CoreOS,并且支持多种存储后端,比如:InfluxDB、ElasticSearch、Kafka等,...
heapster-amd64
09-26
k8s heapster镜像,镜像使用方法: docker load -i heapster-amd64-v1.5.3.tar.gz
docker_heapster.tar.gz
07-31
docker_heapster.tar.gz
heapster-amd64-v1.5.3
09-27
heapster-amd64-v1.5.3镜像,镜像使用方法: docker load -i heapster-amd64-v1.5.3.tar.gz
docker_heapster_influxdb.tar.gz
07-31
docker_heapster_influxdb.tar.gz
kubernetes下heapster的部署案例
weixin_33738555的博客
08-07 120
注:本案例在我的部署环境下是可行的,但不保证在所有环境下都可行。我尽可能讲得直白而详细,因为我自己也才刚开始接触,已经做过深入研究的可以浏览,若有什么错误,烦请指正,感激不尽! 我的环境: K8S1.0.0+flannel+docker1.6的分布式集群。 这里先不赘述flannel的部署了,以后有时间再写相关的文档。 1. Ser...
helm 部署 heapster 组件
qhh0205
08-08 976
之前工作用的 k8s 集群(GKE)都是支持 kubectl top node 查看节点资源使用情况的,最近自己本地新搭的集群发现用不了该命令。网上搜索了下发现是由于缺少集群指标收集组件导致,目前常用的集群指标收集组件是 heapster 和 metrics-server,看官方介绍 heapster 要逐渐被淘汰了,更推荐 metrics-server。但是为了适配后续要安装的 kubernet...
修改kubelet启动参数
weixin_34204057的博客
04-02 4937
2019独角兽企业重金招聘Python工程师标准>>> ...
<总结> 部署 Kubernetes+Heapster+InfluxDB+Grafana 详解
yang.zhou欢迎各位
10-25 1万+
1. 部署 Kubernetes 一 、安装步骤 准备工作 关闭防火墙 为了避免和Docker的iptables产生冲突,我们需要关闭node上的防火墙: 1 2 $ systemctl stop firewalld $ systemctl disable firewalld 安装NTP 为了让各个服务器的时间
Kubernetes Dashboard集成Heapster
xiaomin1991222的专栏
03-06 273
默认安装后的Kubernetes dashboard 如下图所示,是无法图形化展现集群度量指标信息的: 图形化展示度量指标的实现需要集成k8s的另外一个Addons组件: Heapster 。 Heapster原生支持K8s(v1.0.6及以后版本)和 CoreOS ,并且支持多种存储后端,比如: InfluxDB 、 ElasticSearch 、 Kafka 等,这个风格和k8s的...
容器service endpoint with name xxx already exist问题
JuixG的博客
12-12 5986
这是因为利用docker compose启的容器再用docker rm命令删除后,网络仍然被占用,需要手动清理   解决办法:      最好是用docker compose命令删除容器,然后再次构建容器即可
kubenetes创建pod后,无法启动容器
dengchendeng的专栏
08-05 1226
1、获取pod信息 [root@izwz98e5znt7xgdg8aj0cfz ~]# kubectl get pod NAME READY STATUS RESTARTS AGE redis-master-c9gzd 0/1 ContainerCreating 0 17m 2、查...
二进制部署K8S集群从0到1
Colin_Root
07-26 4290
二进制部署K8S集群从0到1管理集群中的TLS集群部署环境规划环境准备创建TLS证书和秘钥创建CA(Certificate Authority)创建kubeconfig文件下载kubectl创建kubectl kubeconfig文件创建TLS Bootstrapping token创建kubelet bootstrapping kubeconfig文件创建kube-proxy kubeconfi...
kubernetes的Service Account和secret
热门推荐
柳清风的专栏
06-04 2万+
Service AccountService Account概念的引入是基于这样的使用场景:运行在pod里的进程需要调用Kubernetes API以及非Kubernetes API的其它服务。Service Account它并不是给kubernetes集群的用户使用的,而是给pod里面的进程使用的,它为pod提供必要的身份认证。kubectl get sa --all-namespacesNAME
Docker监控工具对比:cAdvisor、Heapster与mesos-exporter
"这篇文档主要讨论了性能采集工具在Docker环境中的对比,涉及cAdvisor、Heapster和mesos-exporter。cAdvisor专注于本机和容器的资源监控,支持Docker信息展示,但历史数据需借助如influxdb的持久化存储。Heapster...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值